Umgang mit kompromittierten langfristigen und kurzfristigen Amazon Bedrock API-Schlüsseln - Amazon Bedrock
Ändern Sie den Status eines langfristigen API-SchlüsselsSetzen Sie einen langfristigen API-Schlüssel zurückLöschen Sie einen langfristigen API-SchlüsselHängen Sie IAM-Richtlinien an, um Berechtigungen für die Verwendung eines API-Schlüssels zu entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umgang mit kompromittierten langfristigen und kurzfristigen Amazon Bedrock API-Schlüsseln

Wenn Ihr API-Schlüssel kompromittiert wird, sollten Sie die Nutzungsberechtigungen widerrufen. Es gibt verschiedene Methoden, mit denen Sie Berechtigungen für einen Amazon Bedrock API-Schlüssel widerrufen können:

  • Für langfristige Amazon Bedrock API-Schlüssel können Sie das UpdateServiceSpecificCredential,, oder verwenden ResetServiceSpecificCredential, DeleteServiceSpecificCredentialum Berechtigungen auf folgende Weise zu widerrufen:

    • Setzen Sie den Status des Schlüssels auf inaktiv. Sie können den Schlüssel später reaktivieren.

    • Setzen Sie den Schlüssel zurück. Diese Aktion generiert ein neues Passwort für den Schlüssel.

    • Löscht den Schlüssel dauerhaft.

    Anmerkung

    Um diese Aktionen über die API auszuführen, müssen Sie sich mit AWS Anmeldeinformationen und nicht mit einem Amazon Bedrock API-Schlüssel authentifizieren.

  • Sowohl für langfristige als auch für kurzfristige Amazon Bedrock API-Schlüssel können Sie IAM-Richtlinien anhängen, um Berechtigungen zu widerrufen.

Den Status eines langfristigen Amazon Bedrock API-Schlüssels ändern

Wenn Sie verhindern möchten, dass ein Schlüssel vorübergehend verwendet wird, deaktivieren Sie ihn. Wenn Sie bereit sind, ihn erneut zu verwenden, aktivieren Sie ihn erneut.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:

Console
Um einen Schlüssel zu deaktivieren

  1. Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus, dessen Status Inaktiv ist.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Deactivate (Deaktivieren).

  6. Wählen Sie zur Bestätigung API-Schlüssel deaktivieren aus. Der Status des Schlüssels wird Inaktiv.

Um einen Schlüssel zu reaktivieren

  1. Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus, dessen Status Inaktiv ist.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Aktivieren aus.

  6. Wählen Sie zur Bestätigung API-Schlüssel aktivieren aus. Der Status des Schlüssels wird Aktiv.

Python

Um einen Schlüssel mithilfe der API zu deaktivieren, senden Sie eine UpdateServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt und geben Sie Status as Inactive an. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu deaktivieren und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Um einen Schlüssel mithilfe der API zu reaktivieren, senden Sie eine UpdateServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt und geben Sie das as an. Status Active Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu reaktivieren und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Setzen Sie einen langfristigen Amazon Bedrock API-Schlüssel zurück

Wenn der Wert Ihres Schlüssels gefährdet wurde oder Sie ihn nicht mehr haben, setzen Sie ihn zurück. Der Schlüssel darf noch nicht abgelaufen sein. Wenn er bereits abgelaufen ist, löschen Sie den Schlüssel und erstellen Sie einen neuen.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:

Console
Um einen Schlüssel zurückzusetzen

  1. Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Schlüssel zurücksetzen aus.

  6. Klicken Sie auf Weiter.

Python

Um einen Schlüssel mithilfe der API zurückzusetzen, senden Sie eine ResetServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zurückzusetzen und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Löschen Sie einen langfristigen Amazon Bedrock API-Schlüssel

Wenn Sie einen Schlüssel nicht mehr benötigen oder er abgelaufen ist, löschen Sie ihn.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:

Console
So löschen Sie einen Schlüssel

  1. Melden Sie sich bei der AWS Management Console mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

  2. Wählen Sie im linken Navigationsbereich API-Schlüssel aus.

  3. Wählen Sie im Abschnitt Langfristige API-Schlüssel einen Schlüssel aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Löschen aus.

  6. Bestätigen Sie das Löschen.

Python

Um einen Schlüssel mithilfe der API zu löschen, senden Sie eine DeleteServiceSpecificCredentialAnfrage mit einem IAM-Endpunkt. Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu löschen und ihn durch den Wert zu ersetzen, der ${ServiceSpecificCredentialId} bei der Erstellung des Schlüssels zurückgegeben wurde.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Fügen Sie IAM-Richtlinien hinzu, um Berechtigungen für die Verwendung eines Amazon Bedrock API-Schlüssels zu entfernen

Dieser Abschnitt enthält einige IAM-Richtlinien, mit denen Sie den Zugriff auf einen Amazon Bedrock-API-Schlüssel einschränken können.

Einer Identität die Möglichkeit verweigern, Anrufe mit einem Amazon Bedrock API-Schlüssel zu tätigen

Die Aktion, die es einer Identität ermöglicht, Aufrufe mit einem Amazon Bedrock API-Schlüssel zu tätigen, istbedrock:CallWithBearerToken. Um zu verhindern, dass eine Identität Aufrufe mit dem Amazon Bedrock API-Schlüssel tätigt, können Sie je nach Schlüsseltyp eine IAM-Richtlinie an eine Identität anhängen:

  • Langfristiger Schlüssel — Ordnen Sie die Richtlinie dem IAM-Benutzer zu, der mit dem Schlüssel verknüpft ist.

  • Kurzfristiger Schlüssel — Ordnen Sie die Richtlinie der IAM-Rolle zu, die zur Generierung des Schlüssels verwendet wurde.

Die IAM-Richtlinie, die Sie der IAM-Identität zuordnen können, lautet wie folgt:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Machen Sie eine IAM-Rollensitzung ungültig

Wenn ein kurzfristiger Schlüssel kompromittiert wird, können Sie seine Verwendung verhindern, indem Sie die Rollensitzung, die zur Generierung des Schlüssels verwendet wurde, für ungültig erklären. Um die Rollensitzung für ungültig zu erklären, fügen Sie der IAM-Identität, die den Schlüssel generiert hat, die folgende Richtlinie hinzu. 2014-05-07T23:47:00ZErsetzen Sie es durch die Zeit, nach der die Sitzung für ungültig erklärt werden soll.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}