翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Bedrock Flows リソースの暗号化
<a name="encryption-flows"></a>

Amazon Bedrock は、保管中のデータを暗号化します。デフォルトでは、Amazon Bedrock はこのデータを暗号化するのに AWS マネージドキーを使用します。必要に応じて、カスタマーマネージドキーを使用して、データを暗号化することもできます。

詳細についてはAWS KMS keys、「 *AWS Key Management Serviceデベロッパーガイド*」の[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。

カスタム KMS キーを使用してデータを暗号化する場合は、Amazon Bedrock がユーザーに代わってデータを暗号化および復号化できるように、次のアイデンティティベースポリシーとリソースベースポリシーを設定する必要があります。

1. Amazon Bedrock Flows API コールを実行するアクセス許可がある IAM ロールまたはユーザーに、次のアイデンティティベースポリシーをアタッチします。このポリシーは、Amazon Bedrock Flows コールを実行するユーザーに KMS アクセス許可が付与されていることを検証します。*\$1\$1region\$1*、*\$1\$1account-id\$1*、*\$1\$1flow-id\$1*、*\$1\$1key-id\$1* を適切な値に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "EncryptFlow",
               "Effect": "Allow",
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
               "Condition": {
                   "StringEquals": {
                       "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
                       "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                   }
               }
           }
       ]
   }
   ```

------

1. 次のリソースベースのポリシーを KMS キーにアタッチします。必要に応じてアクセス許可の範囲を変更します。*\$1IAM-USER/ROLE-ARN\$1*、*\$1\$1region\$1*、*\$1\$1account-id\$1*、*\$1\$1flow-id\$1*、*\$1\$1key-id\$1* を適切な値に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AllowRootModifyKMSId",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::123456789012:root"
               },
               "Action": "kms:*",
               "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
           },
           {
               "Sid": "AllowRoleUseKMSKey",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::123456789012:role/RoleName"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
               "Condition": {
                   "StringEquals": {
                       "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
                       "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                   }
               }
           }
       ]
   }
   ```

------

1. [フローの実行](flows-create-async.md)には、[フローを作成および管理するためのアクセス許可を持つサービスロール](flows-permissions.md)に、次のアイデンティティベースのポリシーをアタッチします。このポリシーは、サービスロールに AWS KMSアクセス許可があることを検証します。*region*、*account-id*、*flow-id*、*key-id* を適切な値に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "EncryptionFlows",
               "Effect": "Allow",
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
               "Condition": {
                   "StringEquals": {
                       "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
                       "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                   }
               }
           }
       ]
   }
   ```

------