Cifrado de los recursos del agente con claves administradas por el cliente (CMK) - Amazon Bedrock
Creación de una clave administrada por el clienteCreación de una política de claves y asociación a la clave administrada por el clienteModificación de la clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de los recursos del agente con claves administradas por el cliente (CMK)

Puede crear en cualquier momento una clave administrada por el cliente para cifrar la información de su agente utilizando la siguiente información sobre el agente proporcionada al crear el agente.

nota

Los siguientes recursos de agentes solo se cifrarán para los agentes creados después del 22 de enero de 2025.

Action Campos habilitados para CMK Description (Descripción)
CreateAgent instruction Indica al agente lo que debe hacer y cómo debe interactuar con los usuarios.
basePromptTemplate Define la plantilla de petición con la que reemplazar la plantilla de petición predeterminada
CreateAgentActionGroup description Descripción del grupo de acciones.
apiSchema Contiene los detalles de apiSchema del grupo de acciones del agente o la carga útil con formato JSON o YAML que define el esquema
s3 Contiene los detalles sobre el objeto de Amazon S3 que contiene el apiSchema para el grupo de acciones del agente
functionSchema Contiene los detalles del esquema de función del grupo de acciones del agente o la carga útil con formato JSON o YAML que define el esquema
AssociateAgentKnowledgeBase description Descripción de para qué utiliza el agente la base de conocimiento
AssociateAgentCollaborator collaborationInstruction Instrucciones para el agente colaborador

Para usar una clave administrada por el cliente, siga estos pasos:

  1. Cree una clave de administrada por el cliente con el AWS Key Management Service.

  2. Cree una política de claves y asóciela a la clave administrada por el cliente.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante la consola AWS de administración o la AWS Key Management Service APIs.

En primer lugar, asegúrese de que tiene los permisos de CreateKey necesarios y, a continuación, siga los pasos que se indican en Creación de una clave simétrica administrada por el cliente en la Guía para desarrolladores de AWS Key Management Service .

Política de claves: las políticas de claves controlan el acceso a la clave administrada por el cliente. cliente o a su cuenta y región.Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .

Si ha creado su agente después del 22 de enero de 2025 y quiere utilizar una clave administrada por el cliente para cifrar la información del agente, asegúrese de que el usuario o el rol que llama a las operaciones de la API del agente tenga los siguientes permisos en la política de claves:

  • kms: GenerateDataKey — devuelve una clave de datos simétrica única para usarla fuera de AWS KMS.

  • KMS:Decrypt: descifra texto cifrado con una clave de KMS.

Al crear la clave, se devuelve un Arn para la clave que puede utilizar como customerEncryptionKeyArn al crear el agente.

Creación de una política de claves y asociación a la clave administrada por el cliente

Si cifra los recursos del agente con una clave administrada por el cliente, debe configurar una política basada en identidades y una política basada en recursos para que Amazon Bedrock pueda cifrar y descifrar los recursos del agente en su nombre.

Política basada en la identidad

Adjunte la siguiente política basada en la identidad a un rol o usuario de IAM con permisos para realizar llamadas a un agente APIs que cifra y descifra los recursos del agente en su nombre. Esta política valida que el usuario que realiza la llamada a la API tiene permisos. AWS KMS Sustituya los campos ${region}, ${account-id}, ${agent-id} y ${key-id} por los valores adecuados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptAgents",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Política basada en recursos

Adjunte la siguiente política basada en recursos a su AWS KMS clave solo si va a crear grupos de acciones en los que el esquema de Amazon S3 esté cifrado. No necesita asociar una política basada en recursos para ningún otro caso de uso.

Para asociar la siguiente política basada en recursos, cambie el alcance de los permisos según sea necesario y sustituya ${region}, ${account-id}, ${agent-id} y ${key-id} por los valores adecuados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Modificación de la clave administrada por el cliente

Los agentes de Amazon Bedrock no admiten el recrifrado de los agentes versionados cuando se cambia la clave gestionada por el cliente asociada al agente DRAFT o cuando se pasa de una clave gestionada por el cliente a AWS una clave propia. Con la nueva clave, solo se volverán a cifrar los datos del recurso DRAFT.

Asegúrese de no eliminar ni quitar los permisos de ninguna clave de un agente con control de versiones si lo utiliza para entregar datos de producción.

Para ver y verificar las claves que utiliza una versión, llama GetAgentVersiony compruébalo customerEncryptionKeyArn en la respuesta.