翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 2025 年 1 月 22 日より前に作成されたエージェントのエージェントリソースの暗号化
<a name="encryption-agents"></a>

**重要**  
2025 年 1 月 22 日*以降*にエージェントを作成した場合は、「[エージェントリソースの暗号化](encryption-agents-new.md)」の手順に従います。

Amazon Bedrock はエージェントのセッション情報を暗号化します。デフォルトでは、Amazon Bedrock は AWS マネージドキーを使用してこのデータを暗号化します。オプションで、カスタマーマネージドキーを使用して、エージェントアーティファクトを暗号化することもできます。

詳細については AWS KMS keys、「 *AWS Key Management Service デベロッパーガイド*」の[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。

カスタム KMS キーを使用してエージェントとのセッションを暗号化する場合、Amazon Bedrock がユーザーに代わってエージェントリソースを暗号化および復号できるように、次の ID ベースのポリシーとリソースベースのポリシーを設定する必要があります。

1. `InvokeAgent` 呼び出しを行うアクセス許可を持つ IAM ロールまたはユーザーに次の ID ベースのポリシーをアタッチします。このポリシーは、`InvokeAgent` 呼び出しを行うユーザーに KMS アクセス許可があることを確認します。{{${region}}}、{{${account-id}}}、{{${agent-id}}}、${{{key-id}}} を適切な値に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "EncryptDecryptAgents",
               "Effect": "Allow",
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}",
               "Condition": {
                   "StringEquals": {
                       "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:agent/{{agent-id}}"
                   }
               }
           }
       ]
   }
   ```

------

1. 次のリソースベースのポリシーを KMS キーにアタッチします。必要に応じてアクセス許可の範囲を変更します。{{${region}}}、{{${account-id}}}、{{${agent-id}}}、{{${key-id}}} を適切な値に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AllowRootModifyKMSKey",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::{{123456789012}}:root"
               },
               "Action": "kms:*",
               "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{KeyId}}"
           },
           {
               "Sid": "AllowBedrockEncryptAgent",
               "Effect": "Allow",
               "Principal": {
                   "Service": "bedrock.amazonaws.com"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{KeyId}}",
               "Condition": {
                   "StringEquals": {
                       "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:agent/{{AgentId}}"
                   }
               }
           },
           {
               "Sid": "AllowRoleEncryptAgent",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::{{123456789012}}:role/{{Role}}"
               },
               "Action": [
                   "kms:GenerateDataKey*",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{KeyId}}"
           },
           {
               "Sid": "AllowAttachmentPersistentResources",
               "Effect": "Allow",
               "Principal": {
                   "Service": "bedrock.amazonaws.com"
               },
               "Action": [
                   "kms:CreateGrant",
                   "kms:ListGrants",
                   "kms:RevokeGrant"
               ],
               "Resource": "*",
               "Condition": {
                   "Bool": {
                       "kms:GrantIsForAWSResource": "true"
                   }
               }
           }
       ]
   }
   ```

------