

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Handhaben von kompromittierten langfristigen und kurzfristigen API-Schlüsseln von Amazon Bedrock
<a name="api-keys-revoke"></a>

Wenn Ihr API-Schlüssel kompromittiert wurde, sollten Sie Berechtigungen für dessen Verwendung widerrufen. Es gibt verschiedene Methoden, mit denen Sie Berechtigungen für einen API-Schlüssel von Amazon Bedrock widerrufen können:
+ Für langfristige Amazon Bedrock API-Schlüssel können Sie das [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html),, oder verwenden [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html), [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)um Berechtigungen auf folgende Weise zu widerrufen:
  + Setzen Sie den Status des Schlüssels auf „inaktiv“. Sie können diesen später wieder aktivieren.
  + Setzen Sie den Schlüssel zurück. Diese Aktion generiert ein neues Passwort für den Schlüssel.
  + Löschen Sie den Schlüssel dauerhaft.
**Anmerkung**  
Um diese Aktionen über die API auszuführen, müssen Sie sich mit AWS Anmeldeinformationen und nicht mit einem Amazon Bedrock API-Schlüssel authentifizieren.
+ Sie können sowohl für langfristige als auch für kurzfristige API-Schlüssel von Amazon Bedrock IAM-Richtlinien anhängen, um Berechtigungen zu widerrufen.

**Topics**
+ [Ändern des Status eines langfristigen API-Schlüssels von Amazon Bedrock](#api-keys-change-status)
+ [Zurücksetzen eines langfristigen API-Schlüssels von Amazon Bedrock](#api-keys-reset)
+ [Löschen eines langfristigen API-Schlüssels von Amazon Bedrock](#api-keys-delete)
+ [Anhängen von IAM-Richtlinien, um Berechtigungen für das Verwenden eines API-Schlüssels von Amazon Bedrock zu entfernen](#api-keys-iam-policies)

## Ändern des Status eines langfristigen API-Schlüssels von Amazon Bedrock
<a name="api-keys-change-status"></a>

Wenn Sie verhindern müssen, dass ein Schlüssel vorübergehend verwendet wird, deaktivieren Sie ihn. Wenn er wieder verwendet werden kann, aktivieren Sie ihn erneut.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:

------
#### [ Console ]

**So deaktivieren Sie einen Schlüssel**

1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).

1. Wählen Sie im linken Navigationsbereich **API-Schlüssel** aus.

1. Wählen Sie im Abschnitt **Langfristige API-Schlüssel** einen Schlüssel aus, dessen **Status** **Inaktiv** ist.

1. Wählen Sie **Aktionen**.

1. Wählen Sie **Deactivate** (Deaktivieren).

1. Wählen Sie zur Bestätigung **API-Schlüssel deaktivieren** aus. Der **Status** des Schlüssels ändern sich in **Inaktiv**.

**So reaktivieren Sie einen Schlüssel**

1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).

1. Wählen Sie im linken Navigationsbereich **API-Schlüssel** aus.

1. Wählen Sie im Abschnitt **Langfristige API-Schlüssel** einen Schlüssel aus, dessen **Status** **Inaktiv** ist.

1. Wählen Sie **Aktionen**.

1. Wählen Sie **Aktivieren** aus.

1. Wählen Sie zur Bestätigung **API-Schlüssel aktivieren** aus. Der **Status** des Schlüssels ändern sich in **Aktiv**.

------
#### [ Python ]

Um einen Schlüssel mithilfe der API zu deaktivieren, senden Sie eine [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)Anfrage mit einem [IAM-Endpunkt](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) und geben Sie das AS an. `Status` `Inactive` Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu deaktivieren und ihn durch den Wert zu ersetzen, der *\$1\$1ServiceSpecificCredentialId\$1* bei der Erstellung des Schlüssels zurückgegeben wurde.

```
import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)
```

Um einen Schlüssel mithilfe der API zu reaktivieren, senden Sie eine [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)Anfrage mit einem [IAM-Endpunkt](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) und geben Sie das as an. `Status` `Active` Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu reaktivieren und ihn durch den Wert zu ersetzen, der *\$1\$1ServiceSpecificCredentialId\$1* bei der Erstellung des Schlüssels zurückgegeben wurde.

```
import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)
```

------

## Zurücksetzen eines langfristigen API-Schlüssels von Amazon Bedrock
<a name="api-keys-reset"></a>

Wenn der Wert Ihres Schlüssels kompromittiert wurde oder Sie ihn nicht mehr haben, setzen Sie ihn zurück. Der Schlüssel darf noch nicht abgelaufen sein. Wenn er bereits abgelaufen ist, löschen Sie den Schlüssel und erstellen Sie einen neuen.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:

------
#### [ Console ]

**So setzten Sie einen Schlüssel zurück**

1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).

1. Wählen Sie im linken Navigationsbereich **API-Schlüssel** aus.

1. Wählen Sie im Abschnitt **Langfristige API-Schlüssel** einen Schlüssel aus.

1. Wählen Sie **Aktionen**.

1. Wählen Sie **Schlüssel zurücksetzen** aus.

1. Klicken Sie auf **Weiter**.

------
#### [ Python ]

[Um einen Schlüssel mithilfe der API zurückzusetzen, senden Sie eine [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)Anfrage mit einem IAM-Endpunkt.](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zurückzusetzen und ihn durch den Wert zu ersetzen, der *\$1\$1ServiceSpecificCredentialId\$1* bei der Erstellung des Schlüssels zurückgegeben wurde.

```
import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)
```

------

## Löschen eines langfristigen API-Schlüssels von Amazon Bedrock
<a name="api-keys-delete"></a>

Wenn Sie einen Schlüssel nicht mehr benötigen oder dieser abgelaufen ist, löschen Sie ihn.

Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:

------
#### [ Console ]

**So löschen Sie einen Schlüssel**

1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).

1. Wählen Sie im linken Navigationsbereich **API-Schlüssel** aus.

1. Wählen Sie im Abschnitt **Langfristige API-Schlüssel** einen Schlüssel aus.

1. Wählen Sie **Aktionen**.

1. Wählen Sie **Löschen** aus.

1. Bestätigen Sie das Löschen.

**Ein API-Schlüssel ist mit einem IAM-Benutzer verknüpft**  
Durch das Löschen dieses API-Schlüssels wird der IAM-Benutzer, der mit diesem Schlüssel als Eigentümer erstellt wurde, nicht gelöscht. Im nächsten Schritt können Sie den IAM-Benutzer aus der IAM-Konsole löschen.

------
#### [ Python ]

Um einen Schlüssel mithilfe der API zu löschen, senden Sie eine [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)Anfrage mit einem [IAM-Endpunkt](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Sie können den folgenden Codeausschnitt verwenden, um einen Schlüssel zu löschen und ihn durch den Wert zu ersetzen, der *\$1\$1ServiceSpecificCredentialId\$1* bei der Erstellung des Schlüssels zurückgegeben wurde.

```
import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)
```

------

## Anhängen von IAM-Richtlinien, um Berechtigungen für das Verwenden eines API-Schlüssels von Amazon Bedrock zu entfernen
<a name="api-keys-iam-policies"></a>

In diesem Abschnitt finden Sie einige IAM-Richtlinien, mit denen Sie den Zugriff auf einen API-Schlüssel von Amazon Bedrock einschränken können.

### Einer Identität die Möglichkeit verweigern, Aufrufe mit einem API-Schlüssel von Amazon Bedrock zu tätigen
<a name="api-keys-iam-policies-deny-call-with-bearer-token"></a>

Die Aktion, die es einer Identität ermöglicht, Aufrufe mit einem API-Schlüssel von Amazon Bedrock zu tätigen, ist `bedrock:CallWithBearerToken`. Wenn Sie verhindern möchten, dass eine Identität Aufrufe mit dem API-Schlüssel von Amazon Bedrock tätigt, können Sie – je nach Art des Schlüssel – Eine IAM-Richtlinie an eine Identität anhängen:
+ **Langfristiger Schlüssel** – Hängen Sie die Richtlinie an den mit dem Schlüssel verknüpften IAM-Benutzer an.
+ **Kurzfristiger Schlüssel** – Hängen Sie die Richtlinie an die IAM-Rolle an, mit der der Schlüssel erstellt wurde.

Die IAM-Richtlinie, die Sie an die IAM-Identität anhängen können, sieht wie folgt aus:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}
```

------

### Ungültig machen einer IAM-Rollensitzung
<a name="api-keys-iam-policies-invalidate-session"></a>

Wenn ein kurzfristiger Schlüssel kompromittiert wurde, können Sie dessen Verwendung verhindern, indem Sie die Gültigkeit der Rollensitzung, mit der der Schlüssel generiert wurde, aufheben. Um die Rollensitzung ungültig zu machen, hängen Sie die folgende Richtlinie an die IAM-Identität an, die den Schlüssel generiert hat. *2014-05-07T23:47:00Z*Ersetzen Sie es durch die Zeit, nach der die Sitzung für ungültig erklärt werden soll.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}
```

------