Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement des ressources de l’agent à l’aide de clés gérées par le client (CMK)
Vous pouvez à tout moment créer une clé gérée par le client pour chiffrer les informations de votre agent à l’aide des informations d’agent suivantes fournies lors de la création de votre agent.
**Note**
Les ressources d’agent suivantes ne seront cryptées que pour les agents créés après le 22 janvier 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/cmk-agent-resources.html)
Pour utiliser une clé gérée par le client, procédez comme suit :
1. Créez une clé gérée par le client avec AWS Key Management Service.
1. Créez une stratégie de clé et attachez-la à la clé gérée par le client
## Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du AWS Key Management Service APIs.
Assurez-vous d’abord que vous disposez des autorisations `CreateKey`, puis suivez les étapes de la rubrique [Création d’une clé symétrique gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS Key Management Service *.
**Stratégie de clé** : les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez [Gestion de l’accès à la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide du développeur AWS Key Management Service *.
Si vous avez créé votre agent après le 22 janvier 2025 et que vous souhaitez utiliser une clé gérée par le client pour chiffrer les informations de votre agent, assurez-vous que l’utilisateur ou le rôle qui appelle les opérations d’API de l’agent dispose des autorisations suivantes dans la stratégie de clé :
+ [kms : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — renvoie une clé de données symétrique unique à utiliser en dehors de AWS KMS.
+ [KMS:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) : déchiffre le texte chiffré par une clé KMS.
La création de la clé renvoie un `Arn` pour la clé que vous pouvez utiliser en tant que `customerEncryptionKeyArn`, lors de la création de votre agent.
## Création d’une stratégie de clé et association à la clé gérée par le client
Si vous chiffrez les ressources d’agent à l’aide d’une clé gérée par le client, vous devez configurer une stratégie basée sur l’identité et une stratégie basée sur les ressources pour permettre à Amazon Bedrock de chiffrer et de déchiffrer les ressources de l’agent en votre nom.
**Politique basée sur l'identité**
Associez la politique basée sur l'identité suivante à un rôle ou à un utilisateur IAM autorisé à passer des appels à un agent chargé de chiffrer et de déchiffrer APIs les ressources de l'agent en votre nom. Cette politique confirme que l'utilisateur effectuant un appel d'API dispose d' AWS KMS autorisations. Remplacez `${region}`, `${account-id}`, `${agent-id}` et `${key-id}` par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Politique basée sur les ressources**
Associez la politique basée sur les ressources suivante à votre AWS KMS clé *uniquement* si vous créez des groupes d'action dans lesquels le schéma d'Amazon S3 est chiffré. Il n’est pas nécessaire d’attacher une stratégie basée sur les ressources pour les autres cas d’utilisation.
Pour attacher la stratégie basée sur les ressources suivante, modifiez la portée des autorisations si nécessaire et remplacez les valeurs `${region}`, `${account-id}`, `${agent-id}` et `${key-id}` par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Modification de la clé gérée par le client
Les agents Amazon Bedrock ne prennent pas en charge le rechiffrement des agents versionnés lorsque la clé gérée par le client associée à l'agent *DRAFT* est modifiée ou lorsque vous passez d'une clé gérée par le client à AWS une clé détenue. Seules les données pour la ressource *DRAFT* seront rechiffrées avec la nouvelle clé.
Assurez-vous de ne pas supprimer les autorisations pour les clés d’un agent versionné si vous l’utilisez pour traiter des données de production.
Pour voir et vérifier les clés utilisées par une version, appelez [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)et vérifiez-les `customerEncryptionKeyArn` dans la réponse.