Amazon Bedrock Flows リソースの暗号化 - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock Flows リソースの暗号化

Amazon Bedrock は保管中のデータを暗号化します。デフォルトでは、Amazon Bedrock はこのデータを暗号化するのに AWS マネージドキーを使用します。必要に応じて、カスタマーマネージドキーを使用してデータを暗号化できます。

詳細については AWS KMS keys、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

カスタム KMS キーを使用してデータを暗号化する場合は、Amazon Bedrock がユーザーに代わってデータを暗号化および復号できるように、次のアイデンティティベースのポリシーとリソースベースのポリシーを設定する必要があります。

  1. Amazon Bedrock Flows API コールを実行するアクセス許可を持つ IAM ロールまたはユーザーに、次のアイデンティティベースのポリシーをアタッチします。このポリシーは、Amazon Bedrock Flows 呼び出しを行うユーザーに KMS アクセス許可があることを検証します。${region}${account-id}${flow-id}${key-id} を適切な値に置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptFlow",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

  2. 次のリソースベースのポリシーを KMS キーにアタッチします。必要に応じてアクセス許可の範囲を変更します。{IAM-USER/ROLE-ARN}${region}${account-id}${flow-id}${key-id} を適切な値に置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRootModifyKMSId",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
        },
        {
            "Sid": "AllowRoleUseKMSKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/RoleName"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

  3. フロー実行の場合、フローを作成および管理するためのアクセス許可を持つサービスロールに、次のアイデンティティベースのポリシーをアタッチします。このポリシーは、サービスロールに AWS KMS アクセス許可があることを検証します。regionaccount-idflow-idkey-id を適切な値に置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptionFlows",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}