Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia delle risorse degli agenti con chiavi gestite dal cliente (CMK)
Puoi creare in qualsiasi momento una chiave gestita dal cliente per crittografare le informazioni di un agente utilizzando le seguenti informazioni fornite durante la creazione dell’agente.
**Nota**
Le seguenti risorse per gli agenti vengono crittografate solo per gli agenti creati dopo il 22 gennaio 2025.
****
- **[CreateAgent](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgent.html)**
- **Campi abilitati per CMK:** instruction / **Description:** Istruisce l’agente su cosa deve fare e come deve interagire con gli utenti
- **Campi abilitati per CMK:** basePromptTemplate / **Description:** Definisce il modello di prompt con cui sostituire quello predefinito
- **[CreateAgentActionGroup](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgentActionGroup.html)**
- **Campi abilitati per CMK:** description / **Description:** Descrizione del gruppo di azioni
- **Campi abilitati per CMK:** [apiSchema](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_APISchema.html) / **Description:** Contiene i dettagli di apiSchema per il gruppo di azioni dell’agente o il payload in formato JSON o YAML che definisce lo schema
- **Campi abilitati per CMK:** [s3](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_APISchema.html) / **Description:** Contiene i dettagli sull’oggetto Amazon S3 contenente l’elemento apiSchema per il gruppo di azioni dell’agente
- **Campi abilitati per CMK:** functionSchema / **Description:** Contiene i dettagli dello schema di funzioni per il gruppo di azioni dell’agente o il payload in formato JSON o YAML che definisce lo schema
- **[AssociateAgentKnowledgeBase](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_AssociateAgentKnowledgeBase.html)**
- **Campi abilitati per CMK:** description
- **Description:** Descrizione dello scopo per cui l’agente deve utilizzare la knowledge base
- **[AssociateAgentCollaborator](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_AssociateAgentCollaborator.html)**
- **Campi abilitati per CMK:** collaborationInstruction
- **Description:** Istruzioni per l’agente collaboratore
Per utilizzare una chiave gestita dal cliente, attieniti alla seguente procedura:
1. Crea una chiave gestita dal cliente con il AWS Key Management Service.
1. Creare una policy della chiave e collegarla alla chiave gestita dal cliente
## Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS Key Management Service APIs
Assicurati innanzitutto di disporre di autorizzazioni `CreateKey`, quindi segui la procedura per la [creazione di una chiave gestita dal cliente simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Policy della chiave**: le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell’accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Se hai creato il tuo agente dopo il 22 gennaio 2025 e desideri utilizzare la chiave gestita dal cliente per crittografare le informazioni del tuo agente, assicurati che l’utente o il ruolo che chiama le operazioni dell’API dell’agente disponga delle seguenti autorizzazioni nella policy della chiave:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — restituisce una chiave dati simmetrica unica da utilizzare al di fuori di KMS. AWS
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): decrittografa il testo criptato che è stato crittografato da una chiave KMS.
La creazione della chiave restituisce un `Arn` per la chiave che puoi utilizzare come `customerEncryptionKeyArn`, durante la creazione del tuo agente.
## Creare una policy della chiave e collegarla alla chiave gestita dal cliente
Se crittografi le risorse degli agenti con una chiave gestita dal cliente, devi configurare una policy basata su identità e una policy basata su risorse, per consentire ad Amazon Bedrock di crittografare e decrittografare le risorse degli agenti per tuo conto.
**Politica basata sull'identità**
Allega la seguente policy basata sull'identità a un ruolo o utente IAM con le autorizzazioni per effettuare chiamate a un agente APIs che crittografa e decrittografa le risorse dell'agente per tuo conto. Questa policy verifica che l'utente che effettua la chiamata API disponga delle autorizzazioni. AWS KMS Sostituisci `${region}`, `${account-id}`, `${agent-id}` e `${key-id}` con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:agent/${agent-id}"
}
}
}
]
}
```
------
**Politica basata sulle risorse**
Allega la seguente politica basata sulle risorse alla tua AWS KMS chiave *solo* se stai creando gruppi di azioni in cui lo schema in Amazon S3 è crittografato. Non è necessario collegare una policy basata su risorse per altri casi d’uso.
Per collegare la seguente policy basata su risorse, modifica l’ambito delle autorizzazioni secondo necessità e sostituisci `${region}`, `${account-id}`, `${agent-id}` e `${key-id}` con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:agent/${agent-id}"
}
}
}
]
}
```
------
## Modifica della chiave gestita dal cliente
Gli agenti Amazon Bedrock non supportano la ricrittografia degli agenti con versione quando la chiave gestita dal cliente associata all'agente *DRAFT* viene modificata o quando si passa dalla chiave gestita dal cliente alla AWS chiave di proprietà. Solo i dati della risorsa *DRAFT* vengono nuovamente crittografati con la nuova chiave.
Assicurati di non eliminare o rimuovere le autorizzazioni per alcuna chiave per un agente con versione se lo utilizzi per fornire dati di produzione.
Per visualizzare e verificare le chiavi utilizzate da una versione, chiama [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)e controllala `customerEncryptionKeyArn` nella risposta.