Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des sessions d’agents avec une clé gérée par le client (CMK)
Si vous avez activé la mémoire pour votre agent et si vous chiffrez les sessions de l’agent à l’aide d’une clé gérée par le client, vous devez configurer la stratégie de clé suivante et les autorisations IAM de l’identité d’appel pour configurer votre clé gérée par le client.
Politique clé gérée par le client
Amazon Bedrock utilise ces autorisations pour générer des clés de données chiffrées, puis utilise les clés générées pour chiffrer la mémoire de l’agent. Amazon Bedrock a également besoin d’autorisations pour rechiffrer la clé de données générée dans différents contextes de chiffrement. Les autorisations de rechiffrement sont également utilisées lorsque la clé gérée par le client passe d’une clé gérée par le client à une autre clé détenue par le service. Pour plus d’informations, consultez Trousseau hiérarchique.
Remplacez $region, account-id et ${caller-identity-role} par les valeurs appropriées.
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
Autorisations IAM pour chiffrer et déchiffrer la mémoire de l’agent
Les autorisations IAM suivantes sont nécessaires pour que l’identité appelant l’API Agents puisse configurer la clé KMS pour les agents dont la mémoire est activée. Les agents Amazon Bedrock utilisent ces autorisations pour s'assurer que l'identité de l'appelant est autorisée à disposer des autorisations mentionnées dans la politique clé ci-dessus APIs pour gérer, former et déployer des modèles. Pour les agents APIs qui invoquent, l'agent Amazon Bedrock utilise les kms:Decrypt autorisations de l'identité de l'appelant pour déchiffrer la mémoire.
Remplacez $region, account-id et ${key-id} par les valeurs appropriées.
