本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 会话加密 默认情况下,Amazon Bedrock 使用AWS托管密钥进行会话加密。有关 Amazon Bedrock 使用的默认加密的更多信息,请参阅[数据加密](https://docs.aws.amazon.com/bedrock/latest/userguide/data-encryption.html)。 为了增加一层安全性,您可以使用客户自主管理型密钥对会话数据进行加密。要使用您自己的密钥,请在 [CreateSession](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_CreateSession.html)API 操作`KMSKeyArn`中指定密钥的亚马逊资源名称 (ARN)。创建会话的用户或角色必须具有使用此密钥的权限。您可以使用以下 IAM 策略授予所需的权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:bedrock:session:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:session/*" }, "StringEquals": { "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}", "Condition": { "StringEquals": { "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------