本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
根據預設,Amazon Bedrock 會使用 AWS受管金鑰進行工作階段加密。如需 Amazon Bedrock 預設加密使用的詳細資訊,請參閱資料加密。
如需多一層安全性,您可以使用客戶受管金鑰加密工作階段資料。若要使用您自己的金鑰,請在 CreateSession API 操作KMSKeyArn中指定 金鑰的 Amazon Resource Name (ARN)。建立工作階段的使用者或角色必須具有使用金鑰的許可。您可以使用下列 IAM 政策來授予必要的許可。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:session:arn": "arn:aws:bedrock:${region}:${account}:session/*"
},
"StringEquals": {
"kms:ViaService": "bedrock.${region}.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:ViaService": "bedrock.${region}.amazonaws.com"
}
}
}
]
}
