本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 針對 2025 年 1 月 22 日之前建立的代理程式,加密代理程式資源 **重要** 如果您在 2025 年 1 月 22 日*之後*建立代理程式,請遵循 [代理程式資源加密](encryption-agents-new.md) 的指示 Amazon Bedrock 會將您的代理程式工作階段資訊加密。根據預設,Amazon Bedrock 會使用 AWS 受管金鑰加密此資料。或者,您可以使用客戶自管金鑰加密代理程式成品。 如需 的詳細資訊 AWS KMS keys,請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。 如果使用自訂 KMS 金鑰使用代理程式加密工作階段,您必須設定下列身分型政策和資源型政策,以允許 Amazon Bedrock 代表您加密和解密代理程式資源。 1. 將下列身分型政策連接到 IAM 角色或具有撥打 `InvokeAgent` 通話許可權的使用者。此政策會驗證撥打 `InvokeAgent` 通話的使用者具有 KMS 許可權。將 {{${region}}}、{{${account-id}}}、{{${agent-id}}} 和 {{${key-id}}} 取代為適當的值。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptDecryptAgents", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:agent/{{agent-id}}" } } } ] } ``` ------ 1. 將下列的資源型政策連接至您的 KMS 金鑰。視需要變更許可權範圍。將 {{${region}}}、{{${account-id}}}、{{${agent-id}}} 和 {{${key-id}}} 取代為適當的值。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{123456789012}}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{KeyId}}" }, { "Sid": "AllowBedrockEncryptAgent", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{KeyId}}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:agent/{{AgentId}}" } } }, { "Sid": "AllowRoleEncryptAgent", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{123456789012}}:role/{{Role}}" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{KeyId}}" }, { "Sid": "AllowAttachmentPersistentResources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] } ``` ------