Tratamiento de las claves de API de Amazon Bedrock comprometidas de larga y corta duración - Amazon Bedrock
Cambio del estado de una clave de API de larga duraciónRestablecimiento de una clave de API de larga duraciónEliminación de una clave de API de larga duraciónAsociación de políticas de IAM para eliminar los permisos de uso de una clave de API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tratamiento de las claves de API de Amazon Bedrock comprometidas de larga y corta duración

Si su clave de API se ve comprometida, debe revocar los permisos para usarla. Existen varios métodos que puede utilizar para revocar los permisos de una clave de API de Amazon Bedrock:

  • En el caso de las claves de API de Amazon Bedrock de larga duración UpdateServiceSpecificCredentialResetServiceSpecificCredential, puede utilizar los permisos o DeleteServiceSpecificCredentialrevocarlos de las siguientes maneras:

    • Establezca el estado de la clave como inactiva. Puede reactivarla más adelante.

    • Restablezca la clave. Esta acción genera una nueva contraseña para la clave.

    • Elimine la clave de forma permanente.

    nota

    Para llevar a cabo estas acciones a través de la API, debe autenticarse con AWS credenciales y no con una clave de API de Amazon Bedrock.

  • Para las claves de API de Amazon Bedrock de corta y larga duración, puede asociar políticas de IAM para revocar los permisos.

Cambio del estado de una clave de API de Amazon Bedrock de larga duración

Si necesita impedir que una clave se utilice temporalmente, desactívela. Cuando esté listo para volver a utilizarla, actívela de nuevo.

Elija la pestaña del método que prefiera y siga estos pasos:

Console
Cómo desactivar una clave

  1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock.

  2. En el panel de navegación izquierdo, seleccione Claves de API.

  3. En la sección Claves de API a largo plazo, elija una clave cuyo estado sea inactivo.

  4. Elija Acciones.

  5. Seleccione Deactivate (Desactivar).

  6. Para confirmarlo, seleccione Desactivar la clave de API. El estado de la clave cambia a Inactivo.

Cómo reactivar una clave

  1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock.

  2. En el panel de navegación izquierdo, seleccione Claves de API.

  3. En la sección Claves de API a largo plazo, elija una clave cuyo estado sea inactivo.

  4. Elija Acciones.

  5. Seleccione Activar.

  6. Para confirmarlo, seleccione Activar la clave API. El estado de la clave cambia a Activo.

Python

Para desactivar una clave mediante la API, envíe una UpdateServiceSpecificCredentialsolicitud con un punto final de IAM y especifique el as. Status Inactive Puede utilizar el siguiente fragmento de código para desactivar una clave y sustituirlo por el valor devuelto ${ServiceSpecificCredentialId} al crear la clave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Para reactivar una clave mediante la API, envía una UpdateServiceSpecificCredentialsolicitud con un punto final de IAM y especifica el as. Status Active Puede utilizar el siguiente fragmento de código para reactivar una clave y sustituirlo por el valor devuelto ${ServiceSpecificCredentialId} al crear la clave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Restablecimiento de una clave de API de Amazon Bedrock de larga duración

Si el valor de su clave se ha visto comprometido o ya no tiene la clave, restablézcala. La clave no debe haber caducado todavía. Si ya ha caducado, elimínela y cree una nueva.

Elija la pestaña del método que prefiera y siga estos pasos:

Console
Cómo restablecer una clave

  1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock.

  2. En el panel de navegación izquierdo, seleccione Claves de API.

  3. En la sección Claves de API a largo plazo, elija una clave.

  4. Elija Acciones.

  5. Seleccione Restablecer clave.

  6. Seleccione Siguiente.

Python

Para restablecer una clave mediante la API, envíe una ResetServiceSpecificCredentialsolicitud con un punto final de IAM. Puede usar el siguiente fragmento de código para restablecer una clave y sustituirlo por ${ServiceSpecificCredentialId} el valor devuelto al crear la clave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Eliminación de una clave de API de Amazon Bedrock de larga duración

Si ya no necesita una clave o ha caducado, elimínela.

Elija la pestaña del método que prefiera y siga estos pasos:

Console
Eliminación de una clave

  1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock.

  2. En el panel de navegación izquierdo, seleccione Claves de API.

  3. En la sección Claves de API a largo plazo, elija una clave.

  4. Elija Acciones.

  5. Seleccione Eliminar.

  6. Confirme la eliminación.

Python

Para eliminar una clave mediante la API, envíe una DeleteServiceSpecificCredentialsolicitud con un punto final de IAM. Puede utilizar el siguiente fragmento de código para eliminar una clave y sustituirla por ${ServiceSpecificCredentialId} el valor devuelto al crear la clave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Asociación de políticas de IAM para eliminar los permisos de uso de una clave de API de Amazon Bedrock

En esta sección se proporcionan algunas políticas de IAM que puede utilizar para restringir el acceso a una clave de API de Amazon Bedrock.

Denegación a una identidad de la capacidad de realizar llamadas con una clave de API de Amazon Bedrock

La acción que permite a una identidad realizar llamadas con una clave de API de Amazon Bedrock es bedrock:CallWithBearerToken. Para impedir que una identidad realice llamadas con la clave de API de Amazon Bedrock, puede asociar una política de IAM a una identidad en función del tipo de clave:

  • Clave de larga duración: asocie la política al usuario de IAM asociado a la clave.

  • Clave de corta duración: asocie la política al rol de IAM utilizado para generar la clave.

La política de IAM que puede asociar a la identidad de IAM es la siguiente:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalidación de una sesión de rol de IAM

Si una clave de corta duración se ve comprometida, puede impedir su uso invalidando la sesión de rol que se utilizó para generar la clave. Para invalidar la sesión de rol, asocie la siguiente política a la identidad de IAM que generó la clave. 2014-05-07T23:47:00ZSustitúyalo por el tiempo transcurrido el cual deseas que se invalide la sesión.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}