기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon Bedrock Flows 리소스 암호화 Amazon Bedrock은 저장 데이터를 암호화합니다. 기본적으로 Amazon Bedrock은 AWS 관리형 키를 사용하여 이 데이터를 암호화합니다. 선택 사항으로, 고객 관리형 키를 사용하여 데이터를 암호화할 수 있습니다. 에 대한 자세한 내용은 *AWS Key Management Service개발자 안내서*의 [고객 관리형 키를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS keys참조하세요. 사용자 지정 KMS 키로 데이터를 암호화하는 경우 Amazon Bedrock이 사용자 대신 데이터를 암호화하고 복호화하도록 허용하려면 다음 ID 기반 정책 및 리소스 기반 정책을 설정해야 합니다. 1. Amazon Bedrock Flows API를 직접 호출할 수 있는 권한이 있는 IAM 역할 또는 사용자에게 다음 ID 기반 정책을 연결합니다. 이 정책은 Amazon Bedrock Flows를 직접 호출할 수 있는 사용자에게 KMS 권한이 있는지 확인합니다. *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1flow-id\$1*, *\$1\$1key-id\$1*를 적절한 값으로 바꿉니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptFlow", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. 다음 리소스 기반 정책을 KMS 키에 연결합니다. 필요에 따라 권한의 범위를 변경합니다. *\$1IAM-USER/ROLE-ARN\$1*, *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1flow-id\$1* 및 *\$1\$1key-id\$1*를 적절한 값으로 바꿉니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSId", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowRoleUseKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/RoleName" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. [흐름 실행](flows-create-async.md)의 경우 [흐름을 생성하고 관리할 권한이 있는 서비스 역할](flows-permissions.md)에 다음 자격 증명 기반 정책을 연결합니다. 이 정책은 서비스 역할에 AWS KMS권한이 있는지 확인합니다. *region*, *account-id*, *flow-id*, *key-id*를 적절한 값으로 바꿉니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptionFlows", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------