As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criptografia dos recursos do Amazon Bedrock Flows O Amazon Bedrock criptografa seus dados em repouso. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave gerenciada pela AWS. Opcionalmente, é possível criptografar os dados usando uma chave gerenciada pelo cliente. Para obter mais informações sobreAWS KMS keys, consulte [Chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do AWS Key Management Service desenvolvedor*. Se você criptografar dados com uma chave personalizada do KMS, deverá configurar a política baseada em identidade e a política baseada em recursos a seguir para permitir que o Amazon Bedrock criptografe e descriptografe dados em seu nome. 1. Anexe a política baseada em identidade a seguir a um usuário ou perfil do IAM com permissões para fazer chamadas de API ao recurso Fluxos do Amazon Bedrock. Essa política valida que o usuário que está fazendo chamadas ao recurso Fluxos do Amazon Bedrock tem as permissões do KMS. Substitua {{${region}}}, {{${account-id}}}, {{${flow-id}}} e {{${key-id}}} pelos valores apropriados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptFlow", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:flow/${flow-id}", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. Anexe a política baseada em recurso a seguir à sua chave do KMS. Altere o escopo das permissões conforme necessário. Substitua o {{{IAM-USER/ROLE-ARN}}} {{${region}}}{{${account-id}}},{{${flow-id}}},, e {{${key-id}}} pelos valores apropriados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSId", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{123456789012}}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/KeyId" }, { "Sid": "AllowRoleUseKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/RoleName" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:flow/FlowId", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. Em [Execuções de fluxo](flows-create-async.md), anexe a política baseada em identidade a seguir a um [perfil de serviço com permissões para criar e gerenciar fluxos](flows-permissions.md). Essa política valida se sua função de serviço tem AWS KMS permissões. Substitua {{region}}, {{account-id}}, {{flow-id}} e {{key-id}} pelos valores apropriados. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptionFlows", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:flow/{{flow-id}}", "kms:ViaService": "bedrock.{{us-east-1}}.amazonaws.com" } } } ] } ``` ------