Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Cifrado de los recursos del agente para agentes creados antes del 22 de enero de 2025 **importante** Si ha creado su agente *después del* 22 de enero de 2025, siga las instrucciones de [Cifrado de los recursos de los agentes](encryption-agents-new.md). Amazon Bedrock cifra la información de la sesión de su agente. De forma predeterminada, Amazon Bedrock cifra estos datos mediante una clave AWS gestionada. Si lo desea, puede cifrar los artefactos del agente mediante una clave administrada por el cliente. Para obtener más informaciónAWS KMS keys, consulte [las claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la Guía *AWS Key Management Servicepara desarrolladores*. Si cifra las sesiones con su agente con una clave de KMS personalizada, debe configurar la siguiente política basada en identidades y la política basada en recursos para que Amazon Bedrock pueda cifrar y descifrar los recursos del agente en su nombre. 1. Asocie la siguiente política basada en identidades a un usuario o rol de IAM con permisos para realizar llamadas `InvokeAgent`. Esta política valida que el usuario que realice una llamada `InvokeAgent` tenga permisos de KMS. Sustituya los campos *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* y *\$1\$1key-id\$1* por los valores adecuados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptDecryptAgents", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id" } } } ] } ``` ------ 1. Asocie la siguiente política basada en recursos a su clave KMS. Cambie el alcance de los permisos según sea necesario. Sustituya los campos *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* y *\$1\$1key-id\$1* por los valores adecuados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowBedrockEncryptAgent", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId" } } }, { "Sid": "AllowRoleEncryptAgent", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/Role" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowAttachmentPersistentResources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] } ``` ------