As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia dos recursos do Amazon Bedrock Flows
O Amazon Bedrock criptografa seus dados em repouso. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave gerenciada pela AWS . Opcionalmente, você pode criptografar os dados usando uma chave gerenciada pelo cliente.
Para obter mais informações sobre AWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.
Se você criptografar dados com uma chave KMS personalizada, deverá configurar a seguinte política baseada em identidade e política baseada em recursos para permitir que o Amazon Bedrock criptografe e descriptografe dados em seu nome.
-
Anexe a seguinte política baseada em identidade a uma função ou usuário do IAM com permissões para fazer chamadas à API Amazon Bedrock Flows. Essa política valida que o usuário que faz chamadas do Amazon Bedrock Flows tem permissões KMS. Substitua o
${region}${account-id}${flow-id},, e${key-id}pelos valores apropriados.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock Flows to encrypt and decrypt data", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] } -
Anexe a política baseada em recurso a seguir à sua chave do KMS. Altere o escopo das permissões conforme necessário. Substitua o
{IAM-USER/ROLE-ARN}${region}${account-id},${flow-id},, e${key-id}pelos valores apropriados.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the IAM user or IAM role of Flows API caller to use the key to encrypt and decrypt data.", "Effect": "Allow", "Principal": { "AWS": "{IAM-USER/ROLE-ARN}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] } -
Para execuções de fluxo, anexe a seguinte política baseada em identidade a uma função de serviço com permissões para criar e gerenciar fluxos. Essa política valida se sua função de serviço tem AWS KMS permissões. Substitua o
regionaccount-idflow-id,, ekey-idpelos valores apropriados.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow data encryption and decryption with flow executions in Amazon Bedrock.", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:region:account-id:flow/flow-id", "kms:ViaService": "bedrock.region.amazonaws.com" } } } ] }
