Verschlüsselung von Agentenressourcen für Agenten, die vor dem 22. Januar 2025 erstellt wurden

Wichtig

Wenn Sie Ihren Agenten nach dem 22. Januar 2025 erstellt haben, folgen Sie den Anweisungen für Verschlüsselung von Agentenressourcen

Amazon Bedrock verschlüsselt die Sitzungsinformationen Ihres Agenten. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem AWS verwalteten Schlüssel. Optional können Sie die Agentenartefakte mit einem kundenverwalteten Schlüssel verschlüsseln.

Weitere Informationen zu finden Sie unter AWS KMS keys Vom Kunden verwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Wenn Sie Sitzungen mit Ihrem Agenten mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock Agentenressourcen in Ihrem Namen ver- und entschlüsseln kann.

Fügen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer mit Berechtigungen für InvokeAgent-Aufrufe an. Diese Richtlinie bestätigt, dass der Benutzer, der einen InvokeAgent-Anruf tätigt, über KMS-Berechtigungen verfügt. Ersetzen Sie,${region}, und durch die entsprechenden Werte${account-id}. ${agent-id} ${key-id}

Hängen Sie die folgende ressourcenbasierte Richtlinie Ihrem KMS-Schlüssel an. Ändern Sie den Geltungsbereich der Berechtigungen nach Bedarf. Ersetzen Sie${region}, ${account-id}${agent-id}, und ${key-id} durch die entsprechenden Werte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::${account-id}:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}"
                }
            }
        },
        {
            "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::${account-id}:role/${role}"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
},
        {
           "Sid": "Allow the attachment of persistent resources",
           "Effect": "Allow",
           "Principal": {
               "Service": "bedrock.amazonaws.com"
           },
           "Action": [
               "kms:CreateGrant",
               "kms:ListGrants",
               "kms:RevokeGrant"
           ],
           "Resource": "*",
           "Condition": {
               "Bool": {
                   "kms:GrantIsForAWSResource": "true"
               }
           }
         }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Methoden zur präventiven Sicherheit für Agenten

Verschlüsselung von Flow-Ressourcen