Crittografia delle sessioni degli agenti con la chiave gestita dal cliente (CMK)

Se hai abilitato la memoria per il tuo agente e crittografi le relative sessioni con una chiave gestita dal cliente, per configurare tale chiave devi configurare la seguente policy della chiave e le autorizzazioni IAM per l’identità chiamante.

Policy della chiave gestita dal cliente

Amazon Bedrock utilizza queste autorizzazioni per generare chiavi dei dati crittografati che quindi utilizza per crittografare la memoria degli agenti. Amazon Bedrock necessita inoltre delle autorizzazioni per crittografare nuovamente la chiave dati generata con contesti di crittografia differenti. Le autorizzazioni per la ripetizione della crittografia vengono utilizzate anche quando la chiave gestita dal cliente viene trasferita a un’altra chiave gestita dal cliente o a una chiave di proprietà del servizio. Per ulteriori informazioni, consulta Portachiavi gerarchici.

Sostituisci $region, account-id e ${caller-identity-role} con i valori appropriati.


{
    "Version": "2012-10-17",		 	 	 
    {
        "Sid": "Allow access for bedrock to enable long term memory",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "bedrock.amazonaws.com",
            ],
        },
        "Action": [
            "kms:GenerateDataKeyWithoutPlainText",
            "kms:ReEncrypt*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "$account-id"
            },
            "ArnLike": {
                "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
            }
        }
        "Resource": "*"
    },
    {
        "Sid": "Allow the caller identity control plane permissions for long term memory",
        "Effect": "Allow", 
        "Principal": {
            "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
        },
        "Action": [
            "kms:GenerateDataKeyWithoutPlainText",
            "kms:ReEncrypt*"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
            }
        }
    },
    {
        "Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
                "kms:ViaService": "bedrock.$region.amazonaws.com" 
            }
        }
    }
}

Autorizzazioni IAM per crittografare e decrittografare la memoria degli agenti

Le seguenti autorizzazioni IAM sono necessarie per consentire all’identità che chiama l’API Agent di configurare la chiave KMS per gli agenti con memoria abilitata. Gli agenti di Amazon Bedrock utilizzano queste autorizzazioni per assicurarsi che l'identità del chiamante sia autorizzata a disporre delle autorizzazioni menzionate nella politica chiave di cui sopra per gestire, APIs addestrare e distribuire modelli. Per gli agenti APIs that invoke, l'agente Amazon Bedrock utilizza le kms:Decrypt autorizzazioni dell'identità del chiamante per decrittografare la memoria.

Sostituisci $region, account-id e ${key-id} con i valori appropriati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crittografia delle risorse degli agenti con chiavi gestite dal cliente (CMK)

Best practice relative alla sicurezza preventiva per gli agenti