Denegar acceso a modelos específicos de Amazon Bedrock Restringir acceso a modelos específicos de Amazon Bedrock Restringir la creación y el uso de claves de API de Amazon Bedrock Restringir la creación de claves de API de Amazon Bedrock a largo plazo

Ejemplos de SCP para Amazon Bedrock

Temas

Denegar acceso a modelos específicos de Amazon Bedrock
Restringir acceso a modelos o familias de modelos específicos de Amazon Bedrock en la organización
Restringir la creación y el uso de claves de API de Amazon Bedrock
Restringir la creación de claves de API de Amazon Bedrock de larga duración válidas durante más de 30 días

Denegar acceso a modelos específicos de Amazon Bedrock

La siguiente política de control de servicio (SCP) bloquea el acceso a modelos o familias de modelos específicos de Amazon Bedrock en la organización. Esta política resulta útil cuando se desea evitar el uso de determinados modelos que podrían no cumplir con los requisitos de conformidad, costos o seguridad de su organización.

La política deniega todas las acciones de Amazon Bedrock para el modelo de base especificado. En este ejemplo, la política bloquea el acceso a los modelos de Deepseek. El comodín (.*) del ARN del recurso coincide con todas las versiones y variantes de la familia de modelos especificada. Puede agregar ARN de modelo adicionales a la matriz Resource para bloquear el acceso a otros modelos según sea necesario.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyModelAccessEverywhere",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": [
        "arn:aws:bedrock:*:*:foundation-model/deepseek.*"
      ]
    }
  ]
}

Restringir acceso a modelos o familias de modelos específicos de Amazon Bedrock en la organización

La siguiente política de control de servicio (SCP) impide que los usuarios y los roles accedan a los modelos básicos de Amazon Bedrock no aprobados. Esta política deniega el acceso a todos los modelos de Amazon Bedrock, excepto a los que se especifiquen explícitamente en el elemento NotResource.

Para usar esta política, sustituya <model-unique-identifier> por los modelos específicos que desee permitir. Por ejemplo, utilice amazon.* para permitir todos los modelos básicos de Amazon, o especifique el ID de modelo individual como amazon.titan-text-premier-v1:0 para un control más detallado. Puede agregar varios ARN de modelos a la matriz NotResource para permitir el acceso a varios modelos aprobados.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PermittedModels",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "NotResource": [
        "arn:aws:bedrock:*:*:foundation-model/<model-unique-identifier>"
      ]
    }
  ]
}

Restringir la creación y el uso de claves de API de Amazon Bedrock

La siguiente política de control de servicio (SCP) impide a los usuarios crear y utilizar claves de API de credenciales específicas del servicio de Amazon Bedrock. Las claves de API de credenciales específicas del servicio proporcionan acceso programático a Amazon Bedrock fuera de la autenticación estándar basada en roles de IAM, lo que puede generar riesgos de seguridad si no se administra adecuadamente. Esta política bloquea tanto la creación de nuevas claves de API para credenciales específicas del servicio como el uso de las existentes.

La política funciona denegando dos acciones: iam:CreateServiceSpecificCredential impide que los usuarios generen nuevas claves de API de credenciales específicas del servicio de Amazon Bedrock, mientras que bedrock:CallWithBearerToken impide el uso de tokens portadores (claves de API de credenciales específicas del servicio) para autenticar las llamadas a la API de Amazon Bedrock.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "bedrock:CallWithBearerToken",
      "Resource": "*"
    }
  ]
}

Restringir la creación de claves de API de Amazon Bedrock de larga duración válidas durante más de 30 días

La siguiente política de control de servicio (SCP) impide a los usuarios crear claves de API de credenciales específicas del servicio Amazon Bedrock a largo plazo que sean válidas durante más de 30 días. Al limitar las claves de API de credenciales específicas de cada servicio a 30 días o menos, se reduce este riesgo y se fomenta la rotación periódica de credenciales.

La política deniega la creación de credenciales específicas del servicio Amazon Bedrock cuando el periodo de validez solicitado supera los 30 días. La clave de condición iam:ServiceSpecificCredentialAgeDays comprueba el tiempo de caducidad solicitado durante la creación de la credencial. Puede ajustar el límite de 30 días para que coincida con los requisitos de seguridad de su organización al cambiar el valor de la condición NumericGreaterThanEquals.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        },
        "NumericGreaterThanEquals": {
          "iam:ServiceSpecificCredentialAgeDays": "30"
        }
      }
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos generales

Amazon Q