Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsseln von Agentensitzungen mit kundenseitig verwaltetem Schlüssel (CMK)
Wenn Sie Speicher für Ihren Agenten aktiviert haben und Agentensitzungen mit einem kundenseitig verwalteten Schlüssel verschlüsseln, müssen Sie die folgende Schlüsselrichtlinie und die IAM-Berechtigungen für Aufruflidentitäten konfigurieren, um Ihren kundenseitig verwalteten Schlüssel zu konfigurieren.
Kundenseitig verwaltete CMK-Schlüsselrichtlinie
Amazon Bedrock verwendet diese Berechtigungen, um verschlüsselte Datenschlüssel zu generieren und die generierten Schlüssel dann zur Verschlüsselung des Agentenspeichers zu verwenden. Amazon Bedrock benötigt außerdem Berechtigungen, um den generierten Datenschlüssel mit unterschiedlichen Verschlüsselungskontexten erneut zu verschlüsseln. Berechtigungen zum erneuten Verschlüsseln werden auch verwendet, wenn ein kundenseitig verwalteter Schlüssel zwischen einem anderen kundenseitig verwalteten Schlüssel oder einem serviceeigenen Schlüssel wechselt. Weitere Informationen finden Sie unter Hierarchischer Schlüsselbund.
Ersetzen Sie $region, account-id und ${caller-identity-role} durch die entsprechenden Werte.
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
IAM-Berechtigungen zum Verschlüsseln und Entschlüsseln des Agentenspeichers
Die folgenden IAM-Berechtigungen sind für die API der Identität zum Aufrufen von Agenten erforderlich, um den KMS-Schlüssel für Agenten mit aktiviertem Speicher zu konfigurieren. Amazon Bedrock-Agenten verwenden diese Berechtigungen, um sicherzustellen, dass die Anruferidentität über die in der oben genannten wichtigen Richtlinie genannten Berechtigungen APIs zum Verwalten, Trainieren und Bereitstellen von Modellen verfügt. Für die Agents APIs , die diese aufrufen, verwendet der Amazon Bedrock-Agent die kms:Decrypt Berechtigungen der Anruferidentität, um den Speicher zu entschlüsseln.
Ersetzen Sie $region, account-id und ${key-id} durch die entsprechenden Werte.
