Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi sumber daya Amazon Bedrock Flows
Amazon Bedrock mengenkripsi data Anda saat istirahat. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelola AWS . Secara opsional, Anda dapat mengenkripsi data menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnya AWS KMS keys, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
Jika Anda mengenkripsi data dengan kunci KMS kustom, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya berikut untuk mengizinkan Amazon Bedrock mengenkripsi dan mendekripsi data atas nama Anda.
-
Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan Amazon Bedrock Flows API. Kebijakan ini memvalidasi pengguna yang membuat panggilan Amazon Bedrock Flows memiliki izin KMS. Ganti
${region},${account-id},${flow-id}, dan${key-id}dengan nilai yang sesuai.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock Flows to encrypt and decrypt data", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] } -
Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS Anda. Ubah ruang lingkup izin seperlunya. Ganti
{IAM-USER/ROLE-ARN},${region},${account-id},${flow-id}, dan${key-id}dengan nilai yang sesuai.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the IAM user or IAM role of Flows API caller to use the key to encrypt and decrypt data.", "Effect": "Allow", "Principal": { "AWS": "{IAM-USER/ROLE-ARN}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] } -
Untuk eksekusi flow, lampirkan kebijakan berbasis identitas berikut ke peran layanan dengan izin untuk membuat dan mengelola alur. Kebijakan ini memvalidasi bahwa peran layanan Anda memiliki AWS KMS izin. Ganti
region,account-id,flow-id, dankey-iddengan nilai yang sesuai.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow data encryption and decryption with flow executions in Amazon Bedrock.", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:region:account-id:flow/flow-id", "kms:ViaService": "bedrock.region.amazonaws.com" } } } ] }
