Criptografia de recursos de agentes para agentes criados antes de 22 de janeiro de 2025

Importante

Se você criou seu agente depois de 22 de janeiro de 2025, siga as instruções para Criptografia de recursos do agente

O Amazon Bedrock criptografa as informações da sessão do agente. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave AWS gerenciada. Opcionalmente, é possível criptografar os artefatos de agente usando uma chave gerenciada pelo cliente.

Para obter mais informações sobre AWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

Se você criptografar as sessões de agente com uma chave personalizada do KMS, deverá configurar a política baseada em identidade e a política baseada em recurso a seguir para permitir que o Amazon Bedrock criptografe e descriptografe recursos do agente em seu nome.

Anexe a política baseada em identidade a seguir a um usuário ou perfil do IAM com permissão para fazer chamadas InvokeAgent. Essa política valida que o usuário que está fazendo uma chamada InvokeAgent tem as permissões do KMS. Substitua o ${region} ${account-id}${agent-id},, e ${key-id} pelos valores apropriados.

Anexe a política baseada em recurso a seguir à sua chave do KMS. Altere o escopo das permissões conforme necessário. Substitua o ${region} ${account-id}${agent-id},, e ${key-id} pelos valores apropriados.

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        },
        {
            "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/Role"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow the attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Prática recomendada de segurança preventiva para agentes

Criptografia de recursos de fluxo