Gestione las claves de API de Amazon Bedrock comprometidas a corto y largo plazo - Amazon Bedrock
Cambie el estado de una clave de API a largo plazoRestablecer una clave de API a largo plazoElimine una clave de API de larga duraciónAdjunte políticas de IAM para eliminar los permisos de uso de una clave de API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestione las claves de API de Amazon Bedrock comprometidas a corto y largo plazo

Si su clave de API se ve comprometida, debe revocar los permisos para usarla. Existen varios métodos que puede utilizar para revocar los permisos de una clave de API de Amazon Bedrock:

  • En el caso de las claves de API de Amazon Bedrock de larga duración UpdateServiceSpecificCredentialResetServiceSpecificCredential, puede utilizar los permisos o DeleteServiceSpecificCredentialrevocarlos de las siguientes maneras:

    • Defina el estado de la clave como inactiva. Puede reactivar la clave más adelante.

    • Restablece la clave. Esta acción genera una nueva contraseña para la clave.

    • Elimine la clave de forma permanente.

    nota

    Para llevar a cabo estas acciones a través de la API, debe autenticarse con AWS credenciales y no con una clave de API de Amazon Bedrock.

  • Tanto para las claves de API de Amazon Bedrock a corto como a largo plazo, puede adjuntar políticas de IAM para revocar los permisos.

Cambiar el estado de una clave de API de Amazon Bedrock de larga duración

Elija la pestaña del método que prefiera y, a continuación, siga los pasos:

Console
Para desactivar una clave

  1. Inicie sesión AWS Management Console con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en https://console.aws.amazon.com/bedrock/.

  2. En el panel de navegación izquierdo, selecciona Claves de API.

  3. En la sección Claves de API para Amazon Bedrock, elige una clave.

  4. Elija Acciones.

  5. Seleccione Deactivate (Desactivar).

Para reactivar una clave

  1. Inicie sesión AWS Management Console con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en https://console.aws.amazon.com/bedrock/.

  2. En el panel de navegación izquierdo, selecciona Claves de API.

  3. En la sección Claves de API para Amazon Bedrock, elige una clave.

  4. Elija Acciones.

  5. Selecciona Reactivar.

Python

Para desactivar una clave mediante la API, envíe una UpdateServiceSpecificCredentialsolicitud con un punto final de IAM y especifique el as. Status Inactive Puede utilizar el siguiente fragmento de código para desactivar una clave y sustituirlo por el valor devuelto ${ServiceSpecificCredentialId} al crear la clave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Para reactivar una clave mediante la API, envía una UpdateServiceSpecificCredentialsolicitud con un punto final de IAM y especifica el as. Status Active Puede utilizar el siguiente fragmento de código para reactivar una clave y sustituirlo por el valor devuelto ${ServiceSpecificCredentialId} al crear la clave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Restablecer una clave de API de Amazon Bedrock a largo plazo

Elija la pestaña del método que prefiera y, a continuación, siga los pasos:

Console
Para restablecer una clave

  1. Inicie sesión AWS Management Console con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en https://console.aws.amazon.com/bedrock/.

  2. En el panel de navegación izquierdo, selecciona Claves de API.

  3. En la sección Claves de API para Amazon Bedrock, elige una clave.

  4. Elija Acciones.

  5. Selecciona Restablecer clave.

Python

Para restablecer una clave mediante la API, envía una ResetServiceSpecificCredentialsolicitud con un punto final de IAM. Puede usar el siguiente fragmento de código para restablecer una clave y sustituirlo por ${ServiceSpecificCredentialId} el valor devuelto al crear la clave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Eliminar una clave de API de Amazon Bedrock de larga duración

Elija la pestaña del método que prefiera y, a continuación, siga los pasos:

Console
Eliminación de una clave

  1. Inicie sesión AWS Management Console con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en https://console.aws.amazon.com/bedrock/.

  2. En el panel de navegación izquierdo, selecciona Claves de API.

  3. En la sección Claves de API para Amazon Bedrock, elige una clave.

  4. Elija Acciones.

  5. Seleccione Eliminar.

Python

Para eliminar una clave mediante la API, envíe una DeleteServiceSpecificCredentialsolicitud con un punto final de IAM. Puede utilizar el siguiente fragmento de código para eliminar una clave y sustituirla por ${ServiceSpecificCredentialId} el valor devuelto al crear la clave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Adjunte políticas de IAM para eliminar los permisos de uso de una clave de API de Amazon Bedrock

En esta sección, se proporcionan algunas políticas de IAM que puede utilizar para restringir el acceso a una clave de API de Amazon Bedrock.

Denegar a una identidad la posibilidad de realizar llamadas con una clave de API de Amazon Bedrock

La acción que permite a una identidad realizar llamadas con una clave de API de Amazon Bedrock esbedrock:CallWithBearerToken. Para evitar que una identidad realice llamadas con la clave de API de Amazon Bedrock, puede adjuntar una política de IAM a una identidad en función del tipo de clave:

  • Clave a largo plazo: adjunta la política al usuario de IAM asociado a la clave.

  • Clave a corto plazo: asocie la política al rol de IAM utilizado para generar la clave.

La política de IAM que puede adjuntar a la identidad de IAM es la siguiente:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalida una sesión de rol de IAM

Si una clave de corto plazo se ve comprometida, puede impedir su uso invalidando la sesión de rol que se utilizó para generar la clave. Para invalidar la sesión de rol, asocie la siguiente política a la identidad de IAM que generó la clave. 2014-05-07T23:47:00ZSustitúyala por la hora después de la cual deseas que se invalide la sesión.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}