Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi sumber daya agen dengan kunci yang dikelola pelanggan (CMK)
Anda dapat setiap saat membuat kunci yang dikelola pelanggan untuk mengenkripsi informasi agen Anda menggunakan informasi agen berikut yang diberikan saat membangun agen Anda.
**catatan**
Sumber daya agen berikut hanya akan dienkripsi untuk agen yang dibuat setelah 22 Januari 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/cmk-agent-resources.html)
Untuk menggunakan kunci yang dikelola pelanggan, selesaikan langkah-langkah berikut:
1. Buat kunci yang dikelola pelanggan dengan AWS Key Management Service.
1. Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS Key Management Service APIs
Pertama pastikan bahwa Anda memiliki `CreateKey` izin dan kemudian, ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) *Pengembang*.
**Kebijakan utama** - kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda telah membuat agen Anda setelah 22 Januari 2025 dan ingin menggunakan kunci yang dikelola pelanggan untuk mengenkripsi informasi agen Anda, pastikan bahwa pengguna atau peran yang memanggil operasi API agen memiliki izin berikut dalam kebijakan utama:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — mengembalikan kunci data simetris yang unik untuk digunakan di luar KMS. AWS
+ [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — mendekripsi ciphertext yang dienkripsi oleh kunci KMS.
Pembuatan kunci mengembalikan kunci `Arn` yang dapat Anda gunakan sebagai`customerEncryptionKeyArn`, saat membuat agen Anda.
## Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
Jika Anda mengenkripsi sumber daya agen dengan kunci yang dikelola pelanggan, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya agar Amazon Bedrock mengenkripsi dan mendekripsi sumber daya agen atas nama Anda.
**Kebijakan berbasis identitas**
Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan ke agen APIs yang mengenkripsi dan mendekripsi sumber daya agen atas nama Anda. Kebijakan ini memvalidasi pengguna yang membuat panggilan API memiliki AWS KMS izin. Ganti`${region}`,`${account-id}`,`${agent-id}`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Kebijakan berbasis sumber daya**
Lampirkan kebijakan berbasis sumber daya berikut ke AWS KMS kunci Anda *hanya* jika Anda membuat grup tindakan tempat skema di Amazon S3 dienkripsi. Anda tidak perlu melampirkan kebijakan berbasis sumber daya untuk kasus penggunaan lainnya.
Untuk melampirkan kebijakan berbasis sumber daya berikut, ubah cakupan izin seperlunya dan ganti`${region}`,, `${account-id}``${agent-id}`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Mengubah kunci yang dikelola pelanggan
Agen Amazon Bedrock tidak mendukung enkripsi ulang agen berversi saat kunci yang dikelola pelanggan yang terkait dengan agen *DRAFT* diubah atau saat Anda berpindah dari kunci yang dikelola pelanggan ke kunci yang dimiliki. AWS Hanya data untuk sumber daya *DRAFT* yang akan dienkripsi ulang dengan kunci baru.
Pastikan Anda tidak menghapus atau menghapus izin untuk kunci apa pun untuk agen berversi jika menggunakannya untuk menyajikan data produksi.
Untuk melihat dan memverifikasi kunci yang digunakan oleh versi, panggil [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)dan periksa `customerEncryptionKeyArn` di respons.