As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criptografia de recursos de agentes para agentes criados antes de 22 de janeiro de 2025 **Importante** Se você criou seu agente *depois* de 22 de janeiro de 2025, siga as instruções em [Criptografia de recursos do agente](encryption-agents-new.md). O Amazon Bedrock criptografa as informações da sessão do agente. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave AWS gerenciada. Opcionalmente, é possível criptografar os artefatos de agente usando uma chave gerenciada pelo cliente. Para obter mais informações sobreAWS KMS keys, consulte [Chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do AWS Key Management Service desenvolvedor*. Se você criptografar as sessões de agente com uma chave personalizada do KMS, deverá configurar a política baseada em identidade e a política baseada em recurso a seguir para permitir que o Amazon Bedrock criptografe e descriptografe recursos do agente em seu nome. 1. Anexe a política baseada em identidade a seguir a um usuário ou perfil do IAM com permissão para fazer chamadas `InvokeAgent`. Essa política valida que o usuário que está fazendo uma chamada `InvokeAgent` tem as permissões do KMS. Substitua *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* e *\$1\$1key-id\$1* pelos valores apropriados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptDecryptAgents", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id" } } } ] } ``` ------ 1. Anexe a política baseada em recurso a seguir à sua chave do KMS. Altere o escopo das permissões conforme necessário. Substitua *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* e *\$1\$1key-id\$1* pelos valores apropriados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowBedrockEncryptAgent", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId" } } }, { "Sid": "AllowRoleEncryptAgent", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/Role" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowAttachmentPersistentResources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] } ``` ------