Verschlüsselung von Kundendienstmitarbeiterressourcen mit kundenseitig verwalteten Schlüsseln (CMK) - Amazon Bedrock
Erstellen eines kundenseitig verwalteten SchlüsselsErstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten SchlüsselÄndern des kundenseitig verwalteten Schlüssels

Verschlüsselung von Kundendienstmitarbeiterressourcen mit kundenseitig verwalteten Schlüsseln (CMK)

Sie können jederzeit einen kundenseitig verwalteten Schlüssel erstellen und damit die Informationen eines Kundendienstmitarbeiters verschlüsseln. Verwenden Sie dazu die folgenden Informationen, die Sie bei der Erstellung des Kundendienstmitarbeiters angegeben haben.

Anmerkung

Die folgenden Kundendienstmitarbeiterressourcen werden nur für nach dem 22. Januar 2025 erstellte Kundendienstmitarbeiter verschlüsselt.

Aktion CMK-fähige Felder Beschreibung
CreateAgent instruction Weist den Kundendienstmitarbeiter an, was er tun und wie er mit Benutzern interagieren soll
basePromptTemplate Definiert die Prompt-Vorlage, durch die die Prompt-Standardvorlage ersetzt werden soll
CreateAgentActionGroup description Beschreibt die Aktionsgruppe
apiSchema Enthält entweder die Details des API-Schemas für die Aktionsgruppe des Kundendienstmitarbeiters oder die Nutzdaten im JSON- oder YAML-Format, die das Schema definiert
s3 Enthält Details zum Amazon-S3-Objekt mit dem API-Schema für die Aktionsgruppe des Kundendienstmitarbeiters
functionSchema Enthält Details des Funktionsschemas für die Aktionsgruppe des Kundendienstmitarbeiters oder die Nutzdaten im JSON-YAML-Format, die das Schema definiert
AssociateAgentKnowledgeBase description Beschreibt, wofür der Kundendienstmitarbeiter die Wissensdatenbank verwenden soll
AssociateAgentCollaborator collaborationInstruction Anweisungen für den Kundendienstmitarbeiter

Führen Sie zum Verwenden eines kundenseitig verwalteten Schlüssels folgende Schritte aus:

  1. Erstellen Sie einen kundenseitig verwalteten Schlüssel mit AWS Key Management Service.

  2. Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel

Erstellen eines kundenseitig verwalteten Schlüssels

Sie können einen symmetrischen, kundenseitig verwalteten Schlüssel erstellen, indem Sie die AWS Management-Konsole oder die AWS Key Management Service -APIs verwenden.

Stellen Sie zunächst sicher, dass Sie über die erforderlichen CreateKey-Berechtigungen verfügen, und folgen Sie dann den Schritten zum Erstellen eines symmetrischen, kundenseitig verwalteten Schlüssels im AWS Key Management Service-Entwicklerhandbuch.

Schlüsselrichtlinie: Schlüsselrichtlinien steuern den Zugriff auf den kundenseitig verwalteten Schlüssel. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel im AWS Key Management Service-Entwicklerhandbuch.

Wenn Sie den Kundendienstmitarbeiter nach dem 22. Januar 2025 erstellt haben und dessen Informationen mit dem kundenseitig verwalteten Schlüssel verschlüsseln möchten, stellen Sie sicher, dass der Benutzer oder die Rolle, die die API-Operationen für Kundendienstmitarbeiter aufruft, in der Schlüsselrichtlinie über die folgenden Berechtigungen verfügt:

  • kms:GenerateDataKey – Gibt einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS zurück.

  • kms:Decrypt – Entschlüsselt Geheimtext, der mit einem KMS-Schlüssel verschlüsselt wurde.

Beim Erstellen des Schlüssels wird ein Arn-Wert für den Schlüssel zurückgegeben, den Sie bei der Erstellung des Kundendienstmitarbeiters als customerEncryptionKeyArn verwenden können.

Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel

Wenn Sie Agentenressourcen mit einem kundenseitig verwalteten Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock die Agentenressourcen in Ihrem Namen ver- und entschlüsseln kann.

Identitätsbasierte Richtlinien

Fügen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer mit Berechtigungen für Aufrufe von Kundenmitarbeiter-APIs an, die Kundendienstmitarbeiterressourcen in Ihrem Namen ver- und entschlüsseln. Diese Richtlinie bestätigt, dass der Benutzer, der einen API-Aufruf tätigt, über AWS KMS-Berechtigungen verfügt. Sie müssen ${region}, ${account-id}, ${agent-id} und ${key-id} durch die entsprechenden Werte ersetzen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptAgents",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Ressourcenbasierte Richtlinie

Hängen Sie die folgende ressourcenbasierte Richtlinie nur dann an den AWS KMS-Schlüssel an, wenn Sie Aktionsgruppen erstellen, bei denen das Schema in Amazon S3 verschlüsselt ist. In anderen Anwendungsfällen müssen Sie keine ressourcenbasierte Richtlinie anhängen.

Um die folgende ressourcenbasierte Richtlinie anzuhängen, ändern Sie den Umfang der Berechtigungen nach Bedarf und ersetzen Sie ${region}, ${account-id}, ${agent-id} und ${key-id} durch die entsprechenden Werte.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Ändern des kundenseitig verwalteten Schlüssels

Amazon-Bedrock-Kundendienstmitarbeiter unterstützen keine erneute Verschlüsselung versionierter Kundendienstmitarbeiter, wenn der kundenseitig verwaltete Schlüssel, der dem DRAFT-Mitarbeiter zugeordnet ist, geändert wird oder wenn Sie vom kundenseitig verwalteten Schlüssel zum AWS-eigenen Schlüssel wechseln. Nur die Daten für die DRAFT-Ressource werden mit dem neuen Schlüssel erneut verschlüsselt.

Stellen Sie sicher, dass Sie keine Berechtigungen für Schlüssel für einen versionierten Kundendienstmitarbeiter löschen oder entfernen, wenn Sie ihn für die Bereitstellung von Produktionsdaten verwenden.

Rufen Sie GetAgentVersion auf und überprüfen Sie den in der Antwort enthaltenen Schlüssel customerEncryptionKeyArn, um die von einer Version verwendeten Schlüssel anzuzeigen und zu überprüfen.