Steuern Sie die Berechtigungen für die Generierung und Verwendung von Amazon Bedrock API-Schlüsseln - Amazon Bedrock
Beispielrichtlinien zur Steuerung der Generierung und Verwendung von API-Schlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie die Berechtigungen für die Generierung und Verwendung von Amazon Bedrock API-Schlüsseln

Die Generierung und Verwendung von Amazon Bedrock API-Schlüsseln wird durch Aktionen und Bedingungsschlüssel sowohl in den Amazon Bedrock- als auch in den IAM-Services gesteuert.

Steuerung der Generierung von Amazon Bedrock API-Schlüsseln

Die CreateServiceSpecificCredential Aktion iam: steuert die Generierung eines dienstspezifischen Schlüssels (z. B. eines langfristigen Amazon Bedrock API-Schlüssels). Sie können diese Aktion auf IAM-Benutzer als Ressource beschränken, um die Anzahl der Benutzer einzuschränken, für die ein Schlüssel generiert werden kann.

Sie können die folgenden Bedingungsschlüssel verwenden, um Bedingungen an die Genehmigung für die iam:CreateServiceSpecificCredential Aktion zu knüpfen:

  • iam: ServiceSpecificCredentialAgeDays — Ermöglicht es Ihnen, in der Bedingung die Ablaufzeit des Schlüssels in Tagen anzugeben. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um nur die Erstellung von API-Schlüsseln zuzulassen, die innerhalb von 90 Tagen ablaufen.

  • iam: ServiceSpecificCredentialServiceName — Ermöglicht es Ihnen, in der Bedingung den Namen eines Dienstes anzugeben. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um nur die Erstellung von API-Schlüsseln für Amazon Bedrock und nicht für andere Dienste zuzulassen.

Kontrolle der Verwendung von Amazon Bedrock API-Schlüsseln

Das Fundament: Die CallWithBearerToken Aktion steuert die Verwendung eines kurz- oder langfristigen Amazon Bedrock-API-Schlüssels.

Sie können den bedrock:bearerTokenType Bedingungsschlüssel mit String-Bedingungsoperatoren verwenden, um den Typ des Inhaber-Tokens anzugeben, für das die Genehmigung beantragt werden soll. bedrock:CallWithBearerToken Sie können einen der folgenden Werte angeben:

  • SHORT_TERM— Spezifiziert kurzfristige Amazon Bedrock API-Schlüssel in der Bedingung.

  • LONG_TERM— Spezifiziert langfristige Amazon Bedrock API-Schlüssel in der Bedingung.

In der folgenden Tabelle wird zusammengefasst, wie verhindert werden kann, dass eine Identität Amazon Bedrock API-Schlüssel generiert oder verwendet:

Zweck Langfristiger Schlüssel Kurzfristiger Schlüssel
Die Generierung von Schlüsseln verhindern Hängen Sie eine Richtlinie, die die iam:CreateServiceSpecificCredential Aktion verweigert, an eine IAM-Identität an. N/A
Die Verwendung eines Schlüssels verhindern Fügen Sie dem IAM-Benutzer, der dem Schlüssel zugeordnet ist, eine Richtlinie an, die die bedrock:CallWithBearerToken Aktion verweigert. Fügen Sie IAM-Identitäten, die den Schlüssel nicht verwenden sollen, eine Richtlinie hinzu, die die bedrock:CallWithBearerToken Aktion verweigert.
Warnung

Da ein kurzfristiger Amazon Bedrock API-Schlüssel vorhandene Anmeldeinformationen aus einer Sitzung verwendet, können Sie seine Verwendung verhindern, indem Sie die bedrock:CallWithBearerToken Aktion für die Identität ablehnen, die den Schlüssel generiert hat. Sie können die Generierung eines kurzfristigen Schlüssels jedoch nicht verhindern.

Beispielrichtlinien zur Steuerung der Generierung und Verwendung von API-Schlüsseln

Wählen Sie beispielsweise IAM-Richtlinien zur Steuerung der Generierung und Verwendung von API-Schlüsseln aus den folgenden Themen aus:

Verhindern Sie, dass eine Identität langfristige Schlüssel generiert und Amazon Bedrock API-Schlüssel verwendet

Um zu verhindern, dass eine IAM-Identität langfristige Amazon Bedrock API-Schlüssel generiert und Amazon Bedrock API-Schlüssel verwendet, fügen Sie der Identität die folgende Richtlinie bei:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Warnung

  • Sie können die Generierung von kurzfristigen Schlüsseln nicht verhindern.

  • Diese Richtlinie verhindert die Erstellung von Anmeldeinformationen für alle AWS Dienste, die die Erstellung dienstspezifischer Anmeldeinformationen unterstützen. Weitere Informationen finden Sie unter Dienstspezifische Anmeldeinformationen für IAM-Benutzer.

Verhindern Sie, dass eine Identität kurzfristige API-Schlüssel verwendet

Um zu verhindern, dass eine IAM-Identität kurzfristige Amazon Bedrock API-Schlüssel verwendet, fügen Sie der Identität die folgende Richtlinie bei:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        }
}

Verhindern Sie, dass eine Identität langfristige API-Schlüssel verwendet

Um zu verhindern, dass eine IAM-Identität langfristige Amazon Bedrock API-Schlüssel verwendet, fügen Sie der Identität die folgende Richtlinie bei:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Verhindern Sie ausdrücklich, dass eine Identität kurzfristige API-Schlüssel verwendet

Um ausdrücklich zu verhindern, dass eine IAM-Identität kurzfristige Amazon Bedrock-API-Schlüssel verwendet, aber die Verwendung anderer API-Schlüssel zuzulassen, fügen Sie der Identität die folgende Richtlinie bei:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Verhindern Sie ausdrücklich, dass eine Identität langfristige API-Schlüssel verwendet

Um ausdrücklich zu verhindern, dass eine IAM-Identität langfristige Amazon Bedrock API-Schlüssel verwendet, aber die Verwendung anderer API-Schlüssel zuzulassen, fügen Sie der Identität die folgende Richtlinie bei:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Erlaube die Erstellung von Amazon Bedrock-Schlüsseln nur, wenn sie innerhalb von 90 Tagen ablaufen

Damit eine IAM-Identität nur dann einen langfristigen API-Schlüssel erstellen kann, wenn sie für Amazon Bedrock bestimmt ist und die Ablaufzeit 90 Tage oder weniger beträgt, fügen Sie der Identität die folgende Richtlinie bei:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}