Handhaben von kompromittierten langfristigen und kurzfristigen API-Schlüsseln von Amazon Bedrock - Amazon Bedrock
Ändern des Status eines langfristigen API-SchlüsselsZurücksetzen eines langfristigen API-SchlüsselsLöschen eines langfristigen API-SchlüsselsAnhängen von IAM-Richtlinien, um Berechtigungen für das Verwenden eines API-Schlüssels zu entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Handhaben von kompromittierten langfristigen und kurzfristigen API-Schlüsseln von Amazon Bedrock

Wenn Ihr API-Schlüssel kompromittiert wurde, sollten Sie Berechtigungen für dessen Verwendung widerrufen. Es gibt verschiedene Methoden, mit denen Sie Berechtigungen für einen API-Schlüssel von Amazon Bedrock widerrufen können:

  • Für langfristige Amazon Bedrock API-Schlüssel können Sie das UpdateServiceSpecificCredential,, oder verwenden ResetServiceSpecificCredential, DeleteServiceSpecificCredentialum Berechtigungen auf folgende Weise zu widerrufen:

    • Setzen Sie den Status des Schlüssels auf „inaktiv“. Sie können diesen später wieder aktivieren.

    • Setzen Sie den Schlüssel zurück. Diese Aktion generiert ein neues Passwort für den Schlüssel.

    • Löschen Sie den Schlüssel dauerhaft.

    Anmerkung

    Um diese Aktionen über die API auszuführen, müssen Sie sich mit AWS Anmeldeinformationen und nicht mit einem Amazon Bedrock API-Schlüssel authentifizieren.

  • Sie können sowohl für langfristige als auch für kurzfristige API-Schlüssel von Amazon Bedrock IAM-Richtlinien anhängen, um Berechtigungen zu widerrufen.

Ändern des Status eines langfristigen API-Schlüssels von Amazon Bedrock

Wenn Sie verhindern müssen, dass ein Schlüssel vorübergehend verwendet wird, deaktivieren Sie ihn. Wenn er wieder verwendet werden kann, aktivieren Sie ihn erneut.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:

Console
So deaktivieren Sie einen Schlüssel

  1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus, dessen Status Inaktiv ist.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Deactivate (Deaktivieren).

  6. Wählen Sie zur Bestätigung API-Schlüssel deaktivieren aus. Der Status des Schlüssels ändern sich in Inaktiv.

So reaktivieren Sie einen Schlüssel

  1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus, dessen Status Inaktiv ist.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Aktivieren aus.

  6. Wählen Sie zur Bestätigung API-Schlüssel aktivieren aus. Der Status des Schlüssels ändern sich in Aktiv.

Python

Um einen Schlüssel mithilfe der API zu deaktivieren, senden Sie eine UpdateServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt und geben Sie das AS an. Status Inactive Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu deaktivieren und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Um einen Schlüssel mithilfe der API zu reaktivieren, senden Sie eine UpdateServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt und geben Sie das as an. Status Active Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu reaktivieren und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Zurücksetzen eines langfristigen API-Schlüssels von Amazon Bedrock

Wenn der Wert Ihres Schlüssels kompromittiert wurde oder Sie ihn nicht mehr haben, setzen Sie ihn zurück. Der Schlüssel darf noch nicht abgelaufen sein. Wenn er bereits abgelaufen ist, löschen Sie den Schlüssel und erstellen Sie einen neuen.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:

Console
So setzten Sie einen Schlüssel zurück

  1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Schlüssel zurücksetzen aus.

  6. Klicken Sie auf Weiter.

Python

Um einen Schlüssel mithilfe der API zurückzusetzen, senden Sie eine ResetServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zurückzusetzen und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Löschen eines langfristigen API-Schlüssels von Amazon Bedrock

Wenn Sie einen Schlüssel nicht mehr benötigen oder dieser abgelaufen ist, löschen Sie ihn.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:

Console
So löschen Sie einen Schlüssel

  1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Löschen aus.

  6. Bestätigen Sie das Löschen.

Python

Um einen Schlüssel mithilfe der API zu löschen, senden Sie eine DeleteServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu löschen und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Anhängen von IAM-Richtlinien, um Berechtigungen für das Verwenden eines API-Schlüssels von Amazon Bedrock zu entfernen

In diesem Abschnitt finden Sie einige IAM-Richtlinien, mit denen Sie den Zugriff auf einen API-Schlüssel von Amazon Bedrock einschränken können.

Einer Identität die Möglichkeit verweigern, Aufrufe mit einem API-Schlüssel von Amazon Bedrock zu tätigen

Die Aktion, die es einer Identität ermöglicht, Aufrufe mit einem API-Schlüssel von Amazon Bedrock zu tätigen, ist bedrock:CallWithBearerToken. Wenn Sie verhindern möchten, dass eine Identität Aufrufe mit dem API-Schlüssel von Amazon Bedrock tätigt, können Sie – je nach Art des Schlüssel – Eine IAM-Richtlinie an eine Identität anhängen:

  • Langfristiger Schlüssel – Hängen Sie die Richtlinie an den mit dem Schlüssel verknüpften IAM-Benutzer an.

  • Kurzfristiger Schlüssel – Hängen Sie die Richtlinie an die IAM-Rolle an, mit der der Schlüssel erstellt wurde.

Die IAM-Richtlinie, die Sie an die IAM-Identität anhängen können, sieht wie folgt aus:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Ungültig machen einer IAM-Rollensitzung

Wenn ein kurzfristiger Schlüssel kompromittiert wurde, können Sie dessen Verwendung verhindern, indem Sie die Gültigkeit der Rollensitzung, mit der der Schlüssel generiert wurde, aufheben. Um die Rollensitzung ungültig zu machen, hängen Sie die folgende Richtlinie an die IAM-Identität an, die den Schlüssel generiert hat. 2014-05-07T23:47:00ZErsetzen Sie es durch die Zeit, nach der die Sitzung für ungültig erklärt werden soll.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}