本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 代理资源的加密 默认情况下,静态数据加密有助于降低保护敏感数据的操作开销和复杂性。同时,它还支持构建符合严格加密合规性和监管要求的安全应用程序。 Amazon Bedrock 使用默认 AWS拥有的密钥来自动加密代理的信息。这包括控制面板和会话数据。您无法查看、管理或审核 AWS 自有密钥的使用情况。有关更多信息,请参阅 [AWS 拥有的密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。 虽然您无法禁用此加密层,但您可以选择使用客户管理的密钥而不是由客户 AWS拥有的密钥来加密代理的信息。Amazon Bedrock 支持使用您可以创建、拥有和管理的对称客户托管密钥 (CMK),而不是默认 AWS 拥有的加密。有关更多信息,请参阅[客户自主管理型密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。 **重要** Amazon Bedrock 使用 AWS 自有密钥自动加密您的代理的会话信息,不收取任何费用。 AWS 使用客户托管密钥需支付 KMS 费用。有关定价的更多信息,请参阅 [AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing/)。 如果您是在 2025 年 1 月 22 日*之前*创建的代理,并且想要使用客户自主管理型密钥来加密代理资源,请按照[加密 2025 年 1 月 22 日之前创建的代理的代理资源](encryption-agents.md)中的说明进行操作。