Contrôlez les autorisations pour générer et utiliser les clés d'API Amazon Bedrock - Amazon Bedrock
Exemples de politiques pour contrôler la génération et l'utilisation des clés d'API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez les autorisations pour générer et utiliser les clés d'API Amazon Bedrock

La génération et l'utilisation des clés d'API Amazon Bedrock sont contrôlées par des actions et des clés de condition dans les services Amazon Bedrock et IAM.

Contrôle de la génération des clés d'API Amazon Bedrock

L'CreateServiceSpecificCredentialaction iam : contrôle la génération d'une clé spécifique au service (telle qu'une clé d'API Amazon Bedrock à long terme). Vous pouvez étendre cette action aux utilisateurs IAM en tant que ressource afin de limiter le nombre d'utilisateurs pour lesquels une clé peut être générée.

Vous pouvez utiliser les clés de condition suivantes pour imposer des conditions à l'autorisation de l'iam:CreateServiceSpecificCredentialaction :

  • iam : ServiceSpecificCredentialAgeDays — Permet de spécifier, dans la condition, le délai d'expiration de la clé en jours. Par exemple, vous pouvez utiliser cette clé de condition pour autoriser uniquement la création de clés d'API expirant dans les 90 jours.

  • iam : ServiceSpecificCredentialServiceName — Permet de spécifier, dans la condition, le nom d'un service. Par exemple, vous pouvez utiliser cette clé de condition pour autoriser uniquement la création de clés d'API pour Amazon Bedrock et non pour d'autres services.

Contrôle de l'utilisation des clés d'API Amazon Bedrock

L'CallWithBearerTokenaction bedrock : contrôle l'utilisation d'une clé API Amazon Bedrock à court ou à long terme.

Vous pouvez utiliser la clé de bedrock:bearerTokenType condition avec des opérateurs de condition de chaîne pour spécifier le type de jeton porteur pour lequel vous souhaitez demander l'autorisation. bedrock:CallWithBearerToken Vous pouvez spécifier l’une des valeurs suivantes :

  • SHORT_TERM— Spécifie les clés d'API Amazon Bedrock à court terme dans la condition.

  • LONG_TERM— Spécifie les clés API Amazon Bedrock à long terme dans la condition.

Le tableau suivant explique comment empêcher une identité de générer ou d'utiliser des clés d'API Amazon Bedrock :

Objectif Clé à long terme Clé à court terme
Empêcher la génération de clés Associez une politique qui refuse l'iam:CreateServiceSpecificCredentialaction à une identité IAM. N/A
Empêcher l'utilisation d'une clé Joignez une politique qui refuse l'bedrock:CallWithBearerTokenaction à l'utilisateur IAM associé à la clé. Associez une politique qui refuse l'bedrock:CallWithBearerTokenaction aux identités IAM dont vous ne souhaitez pas qu'elles puissent utiliser la clé.
Avertissement

Dans la mesure où une clé d'API Amazon Bedrock à court terme utilise les informations d'identification existantes d'une session, vous pouvez empêcher son utilisation en refusant bedrock:CallWithBearerToken d'agir sur l'identité qui a généré la clé. Cependant, vous ne pouvez pas empêcher la génération d'une clé à court terme.

Exemples de politiques pour contrôler la génération et l'utilisation des clés d'API

Par exemple, les politiques IAM permettant de contrôler la génération et l'utilisation des clés d'API, sélectionnez l'une des rubriques suivantes :

Empêcher une identité de générer des clés à long terme et d'utiliser les clés d'API Amazon Bedrock

Pour empêcher une identité IAM de générer des clés d'API Amazon Bedrock à long terme et d'utiliser des clés d'API Amazon Bedrock, associez la politique suivante à l'identité :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Avertissement

  • Vous ne pouvez pas empêcher la génération de clés à court terme.

  • Cette politique empêchera la création d'informations d'identification pour tous les AWS services qui prennent en charge la création d'informations d'identification spécifiques au service. Pour plus d'informations, consultez la section Informations d'identification spécifiques au service pour les utilisateurs IAM.

Empêcher une identité d'utiliser des clés d'API à court terme

Pour empêcher une identité IAM d'utiliser des clés d'API Amazon Bedrock à court terme, associez la politique suivante à l'identité :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        }
}

Empêcher une identité d'utiliser des clés d'API à long terme

Pour empêcher une identité IAM d'utiliser des clés d'API Amazon Bedrock à long terme, associez la politique suivante à l'identité :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Empêcher explicitement une identité d'utiliser des clés d'API à court terme

Pour empêcher explicitement une identité IAM d'utiliser des clés d'API Amazon Bedrock à court terme, tout en autorisant l'utilisation d'autres clés d'API, associez la politique suivante à l'identité :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Empêcher explicitement une identité d'utiliser des clés d'API à long terme

Pour empêcher explicitement une identité IAM d'utiliser des clés d'API Amazon Bedrock à long terme, mais autoriser l'utilisation d'autres clés d'API, associez la politique suivante à l'identité :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Autoriser la création de clés Amazon Bedrock uniquement si elles expirent dans les 90 jours

Pour autoriser une identité IAM à créer une clé d'API à long terme uniquement si elle est destinée à Amazon Bedrock et si le délai d'expiration est inférieur ou égal à 90 jours, associez la politique suivante à l'identité :

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}