As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Por padrão, o Amazon Bedrock usa chaves AWS gerenciadas para criptografia de sessão. Para obter mais informações sobre a criptografia padrão que o Amazon Bedrock usa, consulte Criptografia de dados.
Para uma camada adicional de segurança, você pode criptografar os dados da sessão com uma chave gerenciada pelo cliente. Para usar sua própria chave, especifique o Amazon Resource Name (ARN) da chave para a operação KMSKeyArn da CreateSessionAPI. O usuário ou a função que está criando a sessão deve ter permissão para usar a chave. Você pode usar a seguinte política do IAM para conceder as permissões necessárias.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:session:arn": "arn:aws:bedrock:${region}:${account}:session/*"
},
"StringEquals": {
"kms:ViaService": "bedrock.${region}.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:ViaService": "bedrock.${region}.amazonaws.com"
}
}
}
]
}
