Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Umgang mit kompromittierten langfristigen und kurzfristigen Amazon Bedrock API-Schlüsseln
Wenn Ihr API-Schlüssel kompromittiert wird, sollten Sie die Nutzungsberechtigungen widerrufen. Es gibt verschiedene Methoden, mit denen Sie Berechtigungen für einen Amazon Bedrock API-Schlüssel widerrufen können:
-
Für langfristige Amazon Bedrock API-Schlüssel können Sie das UpdateServiceSpecificCredential,, oder verwenden ResetServiceSpecificCredential, DeleteServiceSpecificCredentialum Berechtigungen auf folgende Weise zu widerrufen:
-
Setzen Sie den Status des Schlüssels auf inaktiv. Sie können den Schlüssel später reaktivieren.
-
Setzen Sie den Schlüssel zurück. Diese Aktion generiert ein neues Passwort für den Schlüssel.
-
Löscht den Schlüssel dauerhaft.
Um diese Aktionen über die API auszuführen, müssen Sie sich mit AWS Anmeldeinformationen und nicht mit einem Amazon Bedrock API-Schlüssel authentifizieren.
-
Sowohl für langfristige als auch für kurzfristige Amazon Bedrock API-Schlüssel können Sie IAM-Richtlinien anhängen, um Berechtigungen zu widerrufen.
Den Status eines langfristigen Amazon Bedrock API-Schlüssels ändern
Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:
- Console
-
Um einen Schlüssel zu deaktivieren
-
Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock/.
-
Wählen Sie im linken Navigationsbereich API-Schlüssel aus.
-
Wählen Sie im Abschnitt API-Schlüssel für Amazon Bedrock einen Schlüssel aus.
-
Wählen Sie Aktionen.
-
Wählen Sie Deactivate (Deaktivieren).
Um einen Schlüssel zu reaktivieren
-
Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock/.
-
Wählen Sie im linken Navigationsbereich API-Schlüssel aus.
-
Wählen Sie im Abschnitt API-Schlüssel für Amazon Bedrock einen Schlüssel aus.
-
Wählen Sie Aktionen.
-
Wählen Sie Reaktivieren aus.
- Python
-
Um einen Schlüssel mithilfe der API zu deaktivieren, senden Sie eine UpdateServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt und geben Sie das Status AS an. Inactive Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu deaktivieren und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId},
status="Inactive"
)
Um einen Schlüssel mithilfe der API zu reaktivieren, senden Sie eine UpdateServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt und geben Sie das as an. Status Active Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu reaktivieren und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId},
status="Active"
)
Setzen Sie einen langfristigen Amazon Bedrock API-Schlüssel zurück
Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:
- Console
-
Um einen Schlüssel zurückzusetzen
-
Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock/.
-
Wählen Sie im linken Navigationsbereich API-Schlüssel aus.
-
Wählen Sie im Abschnitt API-Schlüssel für Amazon Bedrock einen Schlüssel aus.
-
Wählen Sie Aktionen.
-
Wählen Sie Schlüssel zurücksetzen.
- Python
-
Um einen Schlüssel mithilfe der API zurückzusetzen, senden Sie eine ResetServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zurückzusetzen und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.
import boto3
iam_client = boto3.client("iam")
iam_client.reset_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId}
)
Löschen Sie einen langfristigen Amazon Bedrock API-Schlüssel
Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:
- Console
-
So löschen Sie einen Schlüssel
-
Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock/.
-
Wählen Sie im linken Navigationsbereich API-Schlüssel aus.
-
Wählen Sie im Abschnitt API-Schlüssel für Amazon Bedrock einen Schlüssel aus.
-
Wählen Sie Aktionen.
-
Wählen Sie Löschen aus.
- Python
-
Um einen Schlüssel mithilfe der API zu löschen, senden Sie eine DeleteServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu löschen und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.
import boto3
iam_client = boto3.client("iam")
iam_client.delete_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId}
)
Fügen Sie IAM-Richtlinien hinzu, um Berechtigungen für die Verwendung eines Amazon Bedrock API-Schlüssels zu entfernen
Dieser Abschnitt enthält einige IAM-Richtlinien, mit denen Sie den Zugriff auf einen Amazon Bedrock-API-Schlüssel einschränken können.
Einer Identität die Möglichkeit verweigern, Anrufe mit einem Amazon Bedrock API-Schlüssel zu tätigen
Die Aktion, die es einer Identität ermöglicht, Aufrufe mit einem Amazon Bedrock API-Schlüssel zu tätigen, istbedrock:CallWithBearerToken. Um zu verhindern, dass eine Identität Aufrufe mit dem Amazon Bedrock API-Schlüssel tätigt, können Sie je nach Schlüsseltyp eine IAM-Richtlinie an eine Identität anhängen:
-
Langfristiger Schlüssel — Ordnen Sie die Richtlinie dem IAM-Benutzer zu, der mit dem Schlüssel verknüpft ist.
-
Kurzfristiger Schlüssel — Ordnen Sie die Richtlinie der IAM-Rolle zu, die zur Generierung des Schlüssels verwendet wurde.
Die IAM-Richtlinie, die Sie der IAM-Identität zuordnen können, lautet wie folgt:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
}
Machen Sie eine IAM-Rollensitzung ungültig
Wenn ein kurzfristiger Schlüssel kompromittiert wird, können Sie seine Verwendung verhindern, indem Sie die Rollensitzung, die zur Generierung des Schlüssels verwendet wurde, für ungültig erklären. Um die Rollensitzung für ungültig zu erklären, fügen Sie der IAM-Identität, die den Schlüssel generiert hat, die folgende Richtlinie hinzu. 2014-05-07T23:47:00ZErsetzen Sie es durch die Zeit, nach der die Sitzung für ungültig erklärt werden soll.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
}
}
}
