Steuern von Berechtigungen für das Generieren und Verwenden von API-Schlüsseln von Amazon Bedrock - Amazon Bedrock
Beispielrichtlinien zur Steuerung der Generierung und Verwendung von API-Schlüsseln

Steuern von Berechtigungen für das Generieren und Verwenden von API-Schlüsseln von Amazon Bedrock

Das Generieren und Verwenden von API-Schlüsseln von Amazon Bedrock wird durch Aktionen und Bedingungsschlüssel sowohl in den Amazon-Bedrock- als auch in den IAM-Services gesteuert.

Steuerung der Generierung von API-Schlüsseln von Amazon Bedrock

Die Aktion iam:CreateServiceSpecificCredential steuert das Generieren eines servicespezifischen Schlüssels (z. B. eines langfristigen API-Schlüssels von Amazon Bedrock). Sie können diese Aktion auf IAM-Benutzer als Ressource beschränken, um die Anzahl der Benutzer einzuschränken, für die ein Schlüssel generiert werden kann.

Mit den folgenden Bedingungsschlüsseln können Sie Bedingungen mit der Berechtigung für die Aktion iam:CreateServiceSpecificCredential verknüpfen:

  • iam:ServiceSpecificCredentialAgeDays – Ermöglicht Ihnen, die Ablaufzeit des Schlüssel in der Bedingung anzugeben Sie können diesen Bedingungsschlüssel zum Beispiel verwenden, um nur das Erstellen von API-Schlüsseln zu erlauben, die innerhalb von 90 Tagen ablaufen.

  • iam:ServiceSpecificCredentialServiceName – Ermöglicht Ihnen, den Namen des Service in der Bedingung anzugeben Sie können diesen Bedingungsschlüssel zum Beispiel verwenden, um nur das Erstellen von API-Schlüsseln für Amazon Bedrock zuzulassen und nicht für andere Services.

Steuern der Verwendung von API-Schlüsseln von Amazon Bedrock

Die Aktion bedrock:CallWithBearerToken steuert die Verwendung eines kurz- oder langfristigen API-Schlüssels von Amazon Bedrock.

Sie können den bedrock:bearerTokenType-Bedingungsschlüssel mit Bedingungsoperatoren für Zeichenfolgen verwenden, um den Typ des Bearer-Tokens anzugeben, für den die Berechtigungen für bedrock:CallWithBearerToken angewendet werden soll. Sie können einen der folgenden Werte angeben:

  • SHORT_TERM – Spezifiziert kurzfristige API-Schlüssel von Amazon Bedrock in der Bedingung

  • LONG_TERM – Spezifiziert langfristige API-Schlüssel von Amazon Bedrock in der Bedingung

In der folgenden Tabelle finden Sie komprimierte Informationen dazu, wie verhindert werden kann, dass eine Identität API-Schlüssel von Amazon Bedrock generiert oder verwendet:

Zweck Langfristiger Schlüssel Kurzfristiger Schlüssel
Verhindern des Generierens von Schlüsseln Fügen Sie eine Richtlinie an, die einer IAM-Identität die iam:CreateServiceSpecificCredential-Aktion verweigert. N/A
Verhindern der Verwendung eines Schlüssels Fügen Sie eine Richtlinie hinzu, die dem IAM-Benutzer, der mit dem Schlüssel verknüpft ist, die bedrock:CallWithBearerToken-Aktion verweigert. Fügen Sie eine Richtlinie hinzu, die IAM-Identitäten, die den API-Schlüssel nicht verwenden sollen, die bedrock:CallWithBearerToken-Aktion verweigert.
Warnung

Da ein kurzfristiger API-Schlüssel von Amazon Bedrock vorhandene Anmeldeinformationen aus einer Sitzung verwendet, können Sie seine Verwendung verhindern, indem Sie die bedrock:CallWithBearerToken-Aktion der Identität verweigern, die den Schlüssel generiert hat. Sie können das Generieren eines kurzfristigen Schlüssels jedoch nicht verhindern.

Beispielrichtlinien zur Steuerung der Generierung und Verwendung von API-Schlüsseln

Beispiel-IAM-Richtlinien für das Steuern der Generierung und Verwendung von API-Schlüsseln finden Sie in den folgenden Themen:

Verhindern, dass eine Identität langfristige API-Schlüssel generiert und API-Schlüssel von Amazon Bedrock verwendet

Um zu verhindern, dass eine IAM-Identität langfristige API-Schlüssel von Amazon Bedrock generiert oder API-Schlüssel von Amazon Bedrock verwendet, hängen Sie folgende Richtlinie an die Identität an:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Warnung

  • Sie können die Generierung von kurzfristigen Schlüsseln nicht verhindern.

  • Diese Richtlinie verhindert das Erstellen von Anmeldeinformationen für alle AWS-Services, die das Erstellen servicespezifischer Anmeldeinformationen unterstützen. Weitere Informationen finden Sie unter Servicespezifische Anmeldeinformationen für IAM-Benutzer.

Verhindern, dass eine Identität kurzfristige API-Schlüssel verwendet

Um zu verhindern, dass eine IAM-Identität kurzfristige API-Schlüssel von Amazon Bedrock verwendet, hängen Sie folgende Richtlinie an die Identität an:

Verhindern, dass eine Identität langfristige API-Schlüssel verwendet

Um zu verhindern, dass eine IAM-Identität langfristige API-Schlüssel von Amazon Bedrock verwendet, hängen Sie folgende Richtlinie an die Identität an:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Explizit verhindern, dass eine Identität kurzfristige API-Schlüssel verwendet

Wenn Sie explizit verhindern möchten, dass eine IAM-Identität kurzfristige API-Schlüssel von Amazon Bedrock verwendet, Sie aber die Verwendung anderer API-Schlüssel zulassen möchten, hängen Sie folgende Richtlinie an die Identität an:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Explizit verhindern, dass eine Identität langfristige API-Schlüssel verwendet

Wenn Sie explizit verhindern möchten, dass eine IAM-Identität langfristige API-Schlüssel von Amazon Bedrock verwendet, Sie aber die Verwendung anderer API-Schlüssel zulassen möchten, hängen Sie folgende Richtlinie an die Identität an:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Das Erstellen von Amazon-Bedrock-Schlüsseln nur erlauben, wenn diese innerhalb von 90 Tagen ablaufen

Damit eine IAM-Identität nur dann einen langfristigen API-Schlüssel erstellen kann, wenn dieser für Amazon Bedrock bestimmt ist und zudem nach spätestens 90 Tagen abläuft, hängen Sie folgende Richtlinie an die Identität an:

JSON
{
   "Version":"2012-10-17",		 	 	 		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}