As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia de recursos de agente com chaves gerenciadas pelo cliente (CMKs)
Você pode, a qualquer momento, criar uma chave gerenciada pelo cliente para criptografar as informações do agente usando as informações fornecidas a seguir ao criar agente.
**nota**
Os recursos de agente serão criptografados somente para os agentes criados após 22 de janeiro de 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/cmk-agent-resources.html)
Para usar uma chave gerenciada pelo cliente, execute as seguintes etapas:
1. Crie uma chave gerenciada pelo cliente com o AWS Key Management Service.
1. Crie uma política de chave e a anexe à chave gerenciada pelo cliente.
## Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS Key Management Service APIs
Primeiro, verifique se você tem permissões `CreateKey` e, em seguida, siga as etapas para [Criar uma chave simétrica gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
**Política de chave**: as políticas de chave controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Consulte mais informações para saber como [gerenciar o acesso às chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Se você criou o agente depois de 22 de janeiro de 2025 e deseja usar a chave gerenciada pelo cliente para criptografar as informações do agente, o usuário ou o perfil que chama as operações de API do agente deve ter as seguintes permissões na política de chave:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — retorna uma chave de dados simétrica exclusiva para uso fora do AWS KMS.
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): descriptografa texto cifrado criptografado com uma chave do KMS.
A criação da chave exibe um `Arn` para a chave que você pode usar como `customerEncryptionKeyArn` ao criar o agente.
## Criar uma política de chave e anexá-la à chave gerenciada pelo cliente
Se você criptografar recursos do agente com uma chave gerenciada pelo cliente, deverá configurar uma política baseada em identidade e uma política baseada em recursos para permitir que o Amazon Bedrock criptografe e descriptografe os recursos do agente em seu nome.
**Política baseada em identidade**
Anexe a seguinte política baseada em identidade a uma função ou usuário do IAM com permissões para fazer chamadas para agentes APIs que criptografam e descriptografam recursos do agente em seu nome. Essa política valida que o usuário que faz a chamada de API tem AWS KMS permissões. Substitua `${region}`, `${account-id}`, `${agent-id}` e `${key-id}` pelos valores apropriados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Política baseada em recursos**
Anexe a seguinte política baseada em recursos à sua AWS KMS chave *somente* se você estiver criando grupos de ação nos quais o esquema no Amazon S3 é criptografado. Você não precisa anexar uma política baseada em recursos para nenhum outro caso de uso.
Para anexar a política baseada em recursos a seguir, altere o escopo das permissões conforme necessário e substitua `${region}`, `${account-id}` e `${agent-id}` e `${key-id}` pelos valores apropriados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Alterar a chave gerenciada pelo cliente
Os agentes do Amazon Bedrock não oferecem suporte à recriptografia de agentes versionados quando a chave gerenciada pelo cliente associada ao agente *DRAFT* é alterada ou quando você passa da chave gerenciada pelo cliente para a chave própria. AWS Somente os dados do recurso *DRAFT* serão criptografados novamente com a nova chave.
Não exclua nem remova as permissões de nenhuma chave de um agente versionado se a estiver usando para fornecer dados de produção.
Para visualizar e verificar as chaves que estão sendo usadas por uma versão, ligue [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)e verifique a `customerEncryptionKeyArn` resposta.