Crittografia delle risorse Amazon Bedrock Flows - Amazon Bedrock

Crittografia delle risorse Amazon Bedrock Flows

Amazon Bedrock esegue la crittografia dei dati a riposo. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave gestita da AWS. Facoltativamente, puoi crittografare i dati utilizzando una chiave gestita dal cliente.

Per ulteriori informazioni su AWS KMS keys, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.

Se crittografi i dati con una chiave KMS personalizzata, devi configurare le seguenti policy, basata sull’identità e basata sulle risorse, per consentire ad Amazon Bedrock di crittografare e decrittografare i dati per tuo conto.

  1. Allega la seguente policy basata sull’identità a un ruolo IAM o a un utente con autorizzazioni per effettuare chiamate API di Amazon Bedrock Flows. Questa policy verifica che l’utente che effettua chiamate Amazon Bedrock Flows disponga delle autorizzazioni KMS. Sostituisci ${region}, ${account-id}, ${flow-id} e ${key-id} con i valori appropriati.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptFlow",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

  2. Allega la seguente policy basata sulle risorse alla chiave KMS. Modifica l’ambito delle autorizzazioni, se necessario. Sostituisci {IAM-USER/ROLE-ARN}, ${region}, ${account-id}, ${flow-id} e ${key-id} con i valori appropriati.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRootModifyKMSId",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
        },
        {
            "Sid": "AllowRoleUseKMSKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/RoleName"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

  3. Per le esecuzioni del flusso, allega la seguente policy basata sull’identità a un ruolo di servizio con autorizzazioni per creare e gestire i flussi. Questa policy verifica che il ruolo di servizio dell’utente disponga delle autorizzazioni AWS KMS. Sostituisci region, account-id, flow-id e key-id con i valori appropriati.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptionFlows",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}