セッションの暗号化 - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セッションの暗号化

デフォルトでは、Amazon Bedrock はセッション暗号化に AWSマネージドキーを使用します。Amazon Bedrock が使用するデフォルトの暗号化の詳細については、「データの暗号化」を参照してください。

セキュリティをさらに強化するには、カスタマーマネージドキーを使用して、セッションデータを暗号化できます。独自のキーを使用するには、CreateSession API オペレーションの KMSKeyArn に、キーの Amazon リソースネーム (ARN) を指定します。セッションを作成するユーザーまたはロールには、このキーを使用するためのアクセス許可が必要です。必要なアクセス許可は、次の IAM ポリシーを使用して付与できます。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:bedrock:session:arn": "arn:aws:bedrock:us-east-1:123456789012:session/*"
                },
                "StringEquals": {
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}