本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
默认情况下,Amazon Bedrock 使用 AWS托管密钥进行会话加密。有关 Amazon Bedrock 使用的默认加密的更多信息,请参阅数据加密。
为了获得额外的安全保护,您可以使用客户管理的密钥加密会话数据。要使用您自己的密钥,请在 CreateSessionAPI 操作KMSKeyArn中指定密钥的亚马逊资源名称 (ARN)。创建会话的用户或角色必须拥有使用密钥的权限。您可以使用以下 IAM 策略来授予所需的权限。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:session:arn": "arn:aws:bedrock:${region}:${account}:session/*"
},
"StringEquals": {
"kms:ViaService": "bedrock.${region}.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:ViaService": "bedrock.${region}.amazonaws.com"
}
}
}
]
}
