Criptografia de recursos de agente com chaves gerenciadas pelo cliente (CMKs) - Amazon Bedrock
Criar uma chave gerenciada pelo clienteCriar uma política de chave e anexá-la à chave gerenciada pelo clienteAlterar a chave gerenciada pelo cliente

Criptografia de recursos de agente com chaves gerenciadas pelo cliente (CMKs)

Você pode, a qualquer momento, criar uma chave gerenciada pelo cliente para criptografar as informações do agente usando as informações fornecidas a seguir ao criar agente.

nota

Os recursos de agente serão criptografados somente para os agentes criados após 22 de janeiro de 2025.

Ação Campos habilitados para CMK Descrição
CreateAgent instruction Instrui o agente sobre o que ele deve fazer e como deve interagir com os usuários.
basePromptTemplate Define o modelo de prompt pelo qual substituir o modelo de prompt padrão.
CreateAgentActionGroup description Descrição do grupo de ação
apiSchema Contém os detalhes de apiSchema para o grupo de ação do agente ou a carga útil em formato JSON ou YAML que define o esquema.
s3 Contém detalhes sobre o objeto do Amazon S3 que contém a apiSchema apara o grupo de ação do agente.
functionSchema Contém detalhes do esquema da função para o grupo de ação do agente ou a carga útil em formato JSON-YAML que define o esquema.
AssociateAgentKnowledgeBase description Descrição de para que o agente deve usar a base de conhecimento
AssociateAgentCollaborator collaborationInstruction Instruções para o agente colaborador

Para usar uma chave gerenciada pelo cliente, execute as seguintes etapas:

  1. Crie uma chave gerenciada pelo cliente com o AWS Key Management Service.

  2. Crie uma política de chave e a anexe à chave gerenciada pelo cliente.

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o Console de Gerenciamento da AWS ou as APIs do AWS Key Management Service.

Primeiro, verifique se você tem permissões CreateKey e, em seguida, siga as etapas para Criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Política de chave: as políticas de chave controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Consulte mais informações para saber como gerenciar o acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Se você criou o agente depois de 22 de janeiro de 2025 e deseja usar a chave gerenciada pelo cliente para criptografar as informações do agente, o usuário ou o perfil que chama as operações de API do agente deve ter as seguintes permissões na política de chave:

  • kms:GenerateDataKey: retorna uma chave de dados simétrica exclusiva para uso fora do AWS KMS.

  • kms:Decrypt: descriptografa texto cifrado criptografado com uma chave do KMS.

A criação da chave exibe um Arn para a chave que você pode usar como customerEncryptionKeyArn ao criar o agente.

Criar uma política de chave e anexá-la à chave gerenciada pelo cliente

Se você criptografar recursos do agente com uma chave gerenciada pelo cliente, deverá configurar uma política baseada em identidade e uma política baseada em recursos para permitir que o Amazon Bedrock criptografe e descriptografe os recursos do agente em seu nome.

Política baseada em identidade

Anexe a política baseada em identidade a um usuário ou perfil do IAM com permissão para fazer chamadas a APIs do agente que criptografam e descriptografam recursos do agente em seu nome. Essa política valida que o usuário que está fazendo uma chamada de API tem permissões do AWS KMS. Substitua ${region}, ${account-id}, ${agent-id} e ${key-id} pelos valores apropriados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptAgents",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Política baseada em recursos

Anexe a política baseada em recursos a seguir à sua chave do AWS KMS somente se você estiver criando grupos de ação nos quais o esquema no Amazon S3 é criptografado. Você não precisa anexar uma política baseada em recursos para nenhum outro caso de uso.

Para anexar a política baseada em recursos a seguir, altere o escopo das permissões conforme necessário e substitua ${region}, ${account-id} e ${agent-id} e ${key-id} pelos valores apropriados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

Alterar a chave gerenciada pelo cliente

Os Agentes do Amazon Bedrock não permitem criptografar novamente os agentes versionados quando a chave gerenciada pelo cliente associada ao agente DRAFT é alterada ou quando você muda da chave gerenciada pelo cliente para a uma chave pertencente à AWS. Somente os dados do recurso DRAFT serão criptografados novamente com a nova chave.

Não exclua nem remova as permissões de nenhuma chave de um agente versionado se a estiver usando para fornecer dados de produção.

Para visualizar e verificar as chaves que estão sendo usadas por uma versão, chame GetAgentVersion e verifique o customerEncryptionKeyArn na resposta.