Controle los permisos para generar y usar las claves de API de Amazon Bedrock - Amazon Bedrock
Ejemplos de políticas para controlar la generación y el uso de claves de API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controle los permisos para generar y usar las claves de API de Amazon Bedrock

La generación y el uso de las claves de API de Amazon Bedrock se controlan mediante claves de acciones y condiciones en los servicios de Amazon Bedrock e IAM.

Control de la generación de claves de API de Amazon Bedrock

La CreateServiceSpecificCredential acción iam: controla la generación de una clave específica del servicio (como una clave de API de Amazon Bedrock de larga duración). Puede limitar esta acción a los usuarios de IAM como recurso para limitar el número de usuarios para los que se puede generar una clave.

Puede utilizar las siguientes claves condicionales para imponer condiciones al permiso de la iam:CreateServiceSpecificCredential acción:

  • iam: ServiceSpecificCredentialAgeDays — Permite especificar, en la condición, el tiempo de caducidad de la clave en días. Por ejemplo, puedes usar esta clave de condición para permitir solo la creación de claves de API que caduquen en un plazo de 90 días.

  • iam: ServiceSpecificCredentialServiceName — Permite especificar, en la condición, el nombre de un servicio. Por ejemplo, puede usar esta clave de condición para permitir solo la creación de claves de API para Amazon Bedrock y no para otros servicios.

Control del uso de las claves de API de Amazon Bedrock

The bedrock: CallWithBearerToken action controla el uso de una clave de API de Amazon Bedrock a corto o largo plazo.

Puede usar la clave de bedrock:bearerTokenType condición con operadores de condición de cadena para especificar el tipo de token portador al que desea solicitar el permiso. bedrock:CallWithBearerToken Puede especificar uno de los siguientes valores:

  • SHORT_TERM— Especifica las claves de API de Amazon Bedrock de corta duración en la condición.

  • LONG_TERM— Especifica las claves de API de Amazon Bedrock de larga duración en la condición.

En la siguiente tabla se resume cómo evitar que una identidad genere o utilice claves de API de Amazon Bedrock:

Finalidad Clave a largo plazo Clave a corto plazo
Impedir la generación de claves Adjunte una política que deniegue la iam:CreateServiceSpecificCredential acción a una identidad de IAM. N/A
Impida el uso de una clave Adjunte una política que deniegue la bedrock:CallWithBearerToken acción al usuario de IAM asociado a la clave. Adjunta una política que deniegue la bedrock:CallWithBearerToken acción a las identidades de IAM que no desees que puedan usar la clave.
aviso

Como una clave de API de Amazon Bedrock de corta duración utiliza las credenciales existentes de una sesión, puede impedir su uso negando la bedrock:CallWithBearerToken acción sobre la identidad que generó la clave. Sin embargo, no puede impedir la generación de una clave a corto plazo.

Ejemplos de políticas para controlar la generación y el uso de claves de API

Por ejemplo, las políticas de IAM para controlar la generación y el uso de las claves de API, seleccione uno de los siguientes temas:

Impedir que una identidad genere claves a largo plazo y utilice claves de API de Amazon Bedrock

Para evitar que una identidad de IAM genere claves de API de Amazon Bedrock de larga duración y utilice cualquier clave de API de Amazon Bedrock, adjunte la siguiente política a la identidad:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
aviso

  • No puede impedir la generación de claves a corto plazo.

  • Esta política impedirá la creación de credenciales para todos los AWS servicios que admiten la creación de credenciales específicas de un servicio. Para obtener más información, consulte Credenciales específicas del servicio para usuarios de IAM.

Evita que una identidad utilice claves de API de corta duración

Para evitar que una identidad de IAM utilice claves de API de Amazon Bedrock de corta duración, adjunte la siguiente política a la identidad:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        }
}

Evite que una identidad utilice claves de API de larga duración

Para evitar que una identidad de IAM utilice claves de API de Amazon Bedrock de larga duración, adjunte la siguiente política a la identidad:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Impida de forma explícita que una identidad utilice claves de API de corta duración

Para impedir de forma explícita que una identidad de IAM utilice claves de API de Amazon Bedrock de corta duración, pero permitir el uso de otras claves de API, adjunte la siguiente política a la identidad:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Impida de forma explícita que una identidad utilice claves de API de larga duración

Para impedir de forma explícita que una identidad de IAM utilice claves de API de Amazon Bedrock de larga duración, pero permitir el uso de otras claves de API, adjunte la siguiente política a la identidad:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Permita la creación de claves de Amazon Bedrock solo si caducan en un plazo de 90 días

Para permitir que una identidad de IAM cree una clave de API a largo plazo solo si es para Amazon Bedrock y el tiempo de caducidad es de 90 días o menos, adjunte la siguiente política a la identidad:

{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}