Criptografia de sessão - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de sessão

Por padrão, o Amazon Bedrock usa chaves AWS gerenciadas para criptografia de sessão. Para ter mais informações sobre a criptografia padrão que o Amazon Bedrock usa, consulte Criptografia de dados.

Para obter uma camada adicional de segurança, é possível criptografar dados da sessão com uma chave gerenciada pelo cliente. Para usar sua própria chave, especifique o Amazon Resource Name (ARN) da chave para a operação KMSKeyArn da CreateSessionAPI. O usuário ou o perfil que criar a sessão deve ter permissões para usar a chave. Você pode usar a política do IAM a seguir para conceder as permissões necessárias.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:bedrock:session:arn": "arn:aws:bedrock:us-east-1:123456789012:session/*"
                },
                "StringEquals": {
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}