Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia delle risorse degli agenti con chiavi gestite dal cliente (CMK)
Puoi creare in qualsiasi momento una chiave gestita dal cliente per crittografare le informazioni del tuo agente utilizzando le seguenti informazioni sull'agente fornite durante la creazione dell'agente.
Nota
Le seguenti risorse per gli agenti verranno crittografate solo per gli agenti creati dopo il 22 gennaio 2025.
| Azione | Campi abilitati per CMK | Descrizione |
|---|---|---|
| CreateAgent | instruction |
Indica all'agente cosa deve fare e come deve interagire con gli utenti |
basePromptTemplate |
Definisce il modello di prompt con cui sostituire il modello di prompt predefinito | |
| CreateAgentActionGroup | description |
Descrizione del gruppo di azioni |
apiSchema |
Contiene i dettagli dello schema API per il gruppo di azioni dell'agente o il payload in formato JSON o YAML che definisce lo schema | |
s3 |
Contiene dettagli sull'oggetto Amazon S3 contenente lo schema API per il gruppo di azioni dell'agente | |
functionSchema |
Contiene i dettagli dello schema delle funzioni per il gruppo di azioni dell'agente o il payload in formato JSON-YAML che definisce lo schema | |
| AssociateAgentKnowledgeBase | description |
Descrizione dello scopo per cui l'agente dovrebbe utilizzare la knowledge base |
| AssociateAgentCollaborator | collaborationInstruction |
Istruzioni per l'agente collaboratore |
Per utilizzare una chiave gestita dal cliente, completa i seguenti passaggi:
-
Crea una chiave gestita dal cliente con AWS Key Management Service.
-
Crea una politica chiave e allegala alla chiave gestita dal cliente
Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS Key Management Service APIs
Assicurati innanzitutto di disporre CreateKey delle autorizzazioni e poi segui i passaggi per la creazione di una chiave gestita dal cliente simmetrica nella Guida per gli sviluppatori.AWS Key Management Service
Politica chiave: le politiche chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alla chiave gestita dal cliente nella Guida per gli AWS Key Management Service sviluppatori.
Se hai creato il tuo agente dopo il 22 gennaio 2025 e desideri utilizzare la chiave gestita dal cliente per crittografare le informazioni del tuo agente, assicurati che l'utente o il ruolo che esegue le operazioni dell'API dell'agente disponga delle seguenti autorizzazioni nella politica chiave:
-
kms: GenerateDataKey — restituisce una chiave dati simmetrica unica da utilizzare al di fuori di KMS. AWS
-
KMS:Decrypt — decrittografa il testo cifrato che è stato crittografato da una chiave KMS.
La creazione della chiave restituisce un Arn per la chiave che puoi usare come, durante la creazione del tuo agente. customerEncryptionKeyArn
Crea una politica chiave e allegala alla chiave gestita dal cliente
Se crittografi le risorse degli agenti con una chiave gestita dal cliente, devi impostare una politica basata sull'identità e una politica basata sulle risorse per consentire ad Amazon Bedrock di crittografare e decrittografare le risorse degli agenti per tuo conto.
Politica basata sull'identità
Allega la seguente policy basata sull'identità a un ruolo o utente IAM con le autorizzazioni per effettuare chiamate a un agente APIs che crittografa e decrittografa le risorse dell'agente per tuo conto. Questa policy verifica che l'utente che effettua la chiamata API disponga delle autorizzazioni. AWS KMS Sostituisci${region}, ${account-id}${agent-id}, e ${key-id} con i valori appropriati.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] }
Politica basata sulle risorse
Allega la seguente politica basata sulle risorse alla tua AWS KMS chiave solo se stai creando gruppi di azioni in cui lo schema in Amazon S3 è crittografato. Non è necessario allegare una politica basata sulle risorse per altri casi d'uso.
Per allegare la seguente politica basata sulle risorse, modifica l'ambito delle autorizzazioni secondo necessità e sostituisci${region},${account-id}, ${agent-id} e con i valori appropriati. ${key-id}
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] }
Modifica della chiave gestita dal cliente
Gli agenti Amazon Bedrock non supportano la ricrittografia degli agenti con versione quando la chiave gestita dal cliente associata all'agente DRAFT viene modificata o quando passi dalla chiave gestita dal cliente alla AWS chiave di proprietà. Solo i dati della risorsa DRAFT verranno ricrittografati con la nuova chiave.
Assicurati di non eliminare o rimuovere le autorizzazioni per alcuna chiave per un agente con versione se lo utilizzi per fornire dati di produzione.
Per visualizzare e verificare le chiavi utilizzate da una versione, chiamate GetAgentVersione controllate la customerEncryptionKeyArn nella risposta.
