Criptografia de recursos de agente com chaves gerenciadas pelo cliente (CMKs) - Amazon Bedrock
Criar uma chave gerenciada pelo clienteCriar uma política de chave e anexá-la à chave gerenciada pelo clienteAlterar a chave gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de recursos de agente com chaves gerenciadas pelo cliente (CMKs)

Você pode, a qualquer momento, criar uma chave gerenciada pelo cliente para criptografar as informações do agente usando as informações fornecidas a seguir ao criar agente.

nota

Os recursos de agente serão criptografados somente para os agentes criados após 22 de janeiro de 2025.

Ação Campos habilitados para CMK Description
CreateAgent instruction Instrui o agente sobre o que ele deve fazer e como deve interagir com os usuários.
basePromptTemplate Define o modelo de prompt pelo qual substituir o modelo de prompt padrão.
CreateAgentActionGroup description Descrição do grupo de ação
apiSchema Contém os detalhes de apiSchema para o grupo de ação do agente ou a carga útil em formato JSON ou YAML que define o esquema.
s3 Contém detalhes sobre o objeto do Amazon S3 que contém a apiSchema apara o grupo de ação do agente.
functionSchema Contém detalhes do esquema da função para o grupo de ação do agente ou a carga útil em formato JSON-YAML que define o esquema.
AssociateAgentKnowledgeBase description Descrição de para que o agente deve usar a base de conhecimento
AssociateAgentCollaborator collaborationInstruction Instruções para o agente colaborador

Para usar uma chave gerenciada pelo cliente, execute as seguintes etapas:

  1. Crie uma chave gerenciada pelo cliente com o AWS Key Management Service.

  2. Crie uma política de chave e a anexe à chave gerenciada pelo cliente.

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS Key Management Service APIs

Primeiro, verifique se você tem permissões CreateKey e, em seguida, siga as etapas para Criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Política de chave: as políticas de chave controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Consulte mais informações para saber como gerenciar o acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Se você criou o agente depois de 22 de janeiro de 2025 e deseja usar a chave gerenciada pelo cliente para criptografar as informações do agente, o usuário ou o perfil que chama as operações de API do agente deve ter as seguintes permissões na política de chave:

  • kms: GenerateDataKey — retorna uma chave de dados simétrica exclusiva para uso fora do AWS KMS.

  • kms:Decrypt: descriptografa texto cifrado criptografado com uma chave do KMS.

A criação da chave exibe um Arn para a chave que você pode usar como customerEncryptionKeyArn ao criar o agente.

Criar uma política de chave e anexá-la à chave gerenciada pelo cliente

Se você criptografar recursos do agente com uma chave gerenciada pelo cliente, deverá configurar uma política baseada em identidade e uma política baseada em recursos para permitir que o Amazon Bedrock criptografe e descriptografe os recursos do agente em seu nome.

Política baseada em identidade

Anexe a seguinte política baseada em identidade a uma função ou usuário do IAM com permissões para fazer chamadas para agentes APIs que criptografam e descriptografam recursos do agente em seu nome. Essa política valida que o usuário que faz a chamada de API tem AWS KMS permissões. Substitua ${region}, ${account-id}, ${agent-id} e ${key-id} pelos valores apropriados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptAgents",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Política baseada em recursos

Anexe a seguinte política baseada em recursos à sua AWS KMS chave somente se você estiver criando grupos de ação nos quais o esquema no Amazon S3 é criptografado. Você não precisa anexar uma política baseada em recursos para nenhum outro caso de uso.

Para anexar a política baseada em recursos a seguir, altere o escopo das permissões conforme necessário e substitua ${region}, ${account-id} e ${agent-id} e ${key-id} pelos valores apropriados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Alterar a chave gerenciada pelo cliente

Os agentes do Amazon Bedrock não oferecem suporte à recriptografia de agentes versionados quando a chave gerenciada pelo cliente associada ao agente DRAFT é alterada ou quando você passa da chave gerenciada pelo cliente para a chave própria. AWS Somente os dados do recurso DRAFT serão criptografados novamente com a nova chave.

Não exclua nem remova as permissões de nenhuma chave de um agente versionado se a estiver usando para fornecer dados de produção.

Para visualizar e verificar as chaves que estão sendo usadas por uma versão, ligue GetAgentVersione verifique a customerEncryptionKeyArn resposta.