Verschlüsselung von Agentenressourcen für Agenten, die vor dem 22. Januar 2025 erstellt wurden

Wichtig

Wenn Sie Ihren Agenten nach dem 22. Januar 2025 erstellt haben, folgen Sie den Anweisungen für Verschlüsselung von Agentenressourcen.

Amazon Bedrock verschlüsselt die Sitzungsinformationen Ihres Agenten. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem AWS-verwalteten Schlüssel. Optional können Sie die Agentenartefakte mit einem kundenseitig verwalteten Schlüssel verschlüsseln.

Weitere Informationen zu AWS KMS keys finden Sie unter Kundenseitig verwaltete Schlüssel im Entwicklerhandbuch für AWS Key Management Service.

Wenn Sie Sitzungen mit Ihrem Agenten mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock Agentenressourcen in Ihrem Namen ver- und entschlüsseln kann.

Fügen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer mit Berechtigungen für InvokeAgent-Aufrufe an. Diese Richtlinie bestätigt, dass der Benutzer, der einen InvokeAgent-Anruf tätigt, über KMS-Berechtigungen verfügt. Ersetzen Sie ${region}, ${account-id}, ${agent-id} und ${key-id} durch die entsprechenden Werte.

Hängen Sie die folgende ressourcenbasierte Richtlinie Ihrem KMS-Schlüssel an. Ändern Sie den Geltungsbereich der Berechtigungen nach Bedarf. Ersetzen Sie ${region}, ${account-id}, ${agent-id} und ${key-id} durch die entsprechenden Werte.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRootModifyKMSKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
        },
        {
            "Sid": "AllowBedrockEncryptAgent",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
                }
            }
        },
        {
            "Sid": "AllowRoleEncryptAgent",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/Role"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
        },
        {
            "Sid": "AllowAttachmentPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Best Practices für vorbeugende Sicherheitsmaßnahmen für Agenten

Verschlüsselung von Flow-Ressourcen