使用客戶自管金鑰 (CMK) 加密代理程式資源 - Amazon Bedrock
建立客戶受管金鑰建立金鑰政策並將其連接至客戶自管金鑰變更客戶自管金鑰

使用客戶自管金鑰 (CMK) 加密代理程式資源

您可以隨時使用建置代理程式時提供的下列代理程式資訊,建立客戶自管金鑰來加密代理程式的資訊。

注意

系統只會針對 2025 年 1 月 22 日之後建立的代理程式加密下列代理程式資源。

動作 已啟用 CMK 的欄位 說明
CreateAgent instruction 指示代理程式應做什麼,以及其應如何與使用者互動
basePromptTemplate 定義要取代預設提示範本的提示範本
CreateAgentActionGroup description 動作群組的描述
apiSchema 包含代理程式動作群組的 apiSchema 詳細資訊,或定義結構描述的 JSON 或 YAML 格式承載
s3 包含 Amazon S3 物件的詳細資訊,其中包含代理程式動作群組的 apiSchema
functionSchema 包含代理程式動作群組的函數結構描述詳細資訊,或定義結構描述的 JSON-YAML 格式承載
AssociateAgentKnowledgeBase description 代理程式應如何使用知識庫的說明
AssociateAgentCollaborator collaborationInstruction 協作者代理程式的指示

若要使用客戶自管金鑰,請完成下列步驟:

  1. 使用 AWS Key Management Service 建立客戶自管金鑰。

  2. 建立金鑰政策並連接至客戶自管金鑰

建立客戶受管金鑰

您可以使用 AWS 管理主控台或 AWS Key Management Service API,建立對稱的客戶受管金鑰。

首先確定您擁有 CreateKey 許可,然後遵循《AWS Key Management Service 開發人員指南》中的建立對稱客戶自管金鑰步驟。

金鑰政策:金鑰政策會控制客戶自管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的管理客戶自管金鑰的存取權限

如果您在 2025 年 1 月 22 日之後建立代理程式,並想要使用客戶自管金鑰來加密代理程式的資訊,請確定呼叫代理程式 API 操作的使用者或角色在金鑰政策中具有下列許可:

建立金鑰會傳回 Arn 作為金鑰,您可以在建立代理程式時使用該金鑰作為 customerEncryptionKeyArn

建立金鑰政策並將其連接至客戶自管金鑰

如果使用客戶自管金鑰加密代理程式資源,您必須設定身分型政策和資源型政策,以允許 Amazon Bedrock 代表您加密和解密代理程式資源。

身分型政策

將下列身分型政策連接至具有許可的 IAM 角色或使用者,以呼叫代表您加密和解密代理程式資源的代理程式 API。此政策會驗證進行 API 呼叫的使用者是否具有 AWS KMS 許可。將 ${region}${account-id}${agent-id}${key-id} 取代為適當的值。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EncryptAgents",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

以資源為基礎政策

只有在您建立在 Amazon S3 中結構描述已加密的動作群組時,才能將下列資源型政策連接至 AWS KMS 金鑰。您不需要為任何其他使用案例連接資源型政策。

若要連接下列資源型政策,請視需要變更許可範圍,並以適當的值取代 ${region}${account-id}${agent-id}${key-id}

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}

變更客戶自管金鑰

當與 DRAFT 代理程式相關聯的客戶自管金鑰有所變更,或當您從客戶自管金鑰移至 AWS 擁有的金鑰時,Amazon Bedrock 代理程式不支援重新加密版本控制的代理程式。只會使用新金鑰重新加密 DRAFT 資源的資料。

如果使用版本控制的代理程式來提供生產資料,請確定您不會刪除或移除其任何金鑰的許可。

若要檢視和驗證版本所使用的金鑰,請呼叫 GetAgentVersion 並檢查回應中的 customerEncryptionKeyArn