翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon Bedrock Flows リソースの暗号化 Amazon Bedrock は、保管中のデータを暗号化します。デフォルトでは、Amazon Bedrock はこのデータを暗号化するのに AWS マネージドキーを使用します。必要に応じて、カスタマーマネージドキーを使用して、データを暗号化することもできます。 詳細についてはAWS KMS keys、「 *AWS Key Management Serviceデベロッパーガイド*」の[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。 カスタム KMS キーを使用してデータを暗号化する場合は、Amazon Bedrock がユーザーに代わってデータを暗号化および復号化できるように、次のアイデンティティベースポリシーとリソースベースポリシーを設定する必要があります。 1. Amazon Bedrock Flows API コールを実行するアクセス許可がある IAM ロールまたはユーザーに、次のアイデンティティベースポリシーをアタッチします。このポリシーは、Amazon Bedrock Flows コールを実行するユーザーに KMS アクセス許可が付与されていることを検証します。{{${region}}}、{{${account-id}}}、{{${flow-id}}}、{{${key-id}}} を適切な値に置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptFlow", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:flow/${flow-id}", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. 次のリソースベースのポリシーを KMS キーにアタッチします。必要に応じてアクセス許可の範囲を変更します。{{{IAM-USER/ROLE-ARN}}}、{{${region}}}、{{${account-id}}}、{{${flow-id}}}、{{${key-id}}} を適切な値に置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSId", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{123456789012}}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/KeyId" }, { "Sid": "AllowRoleUseKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/RoleName" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:flow/FlowId", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. [フローの実行](flows-create-async.md)には、[フローを作成および管理するためのアクセス許可を持つサービスロール](flows-permissions.md)に、次のアイデンティティベースのポリシーをアタッチします。このポリシーは、サービスロールに AWS KMSアクセス許可があることを検証します。{{region}}、{{account-id}}、{{flow-id}}、{{key-id}} を適切な値に置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptionFlows", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:flow/{{flow-id}}", "kms:ViaService": "bedrock.{{us-east-1}}.amazonaws.com" } } } ] } ``` ------