Gérez les clés d'API Amazon Bedrock compromises à long et à court terme - Amazon Bedrock
Modifier le statut d'une clé d'API à long termeRéinitialisation d'une clé d'API à long termeSupprimer une clé d'API à long termeJoindre des politiques IAM pour supprimer les autorisations d'utilisation d'une clé d'API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez les clés d'API Amazon Bedrock compromises à long et à court terme

Si votre clé d'API est compromise, vous devez révoquer les autorisations d'utilisation. Vous pouvez utiliser différentes méthodes pour révoquer les autorisations associées à une clé d'API Amazon Bedrock :

  • Pour les clés API Amazon Bedrock à long terme UpdateServiceSpecificCredentialResetServiceSpecificCredential, vous pouvez utiliser ou DeleteServiceSpecificCredentialrévoquer les autorisations de la manière suivante :

    • Réglez le statut de la clé sur inactif. Vous pourrez réactiver la clé ultérieurement.

    • Réinitialisez la clé. Cette action génère un nouveau mot de passe pour la clé.

    • Supprimez définitivement la clé.

    Note

    Pour effectuer ces actions via l'API, vous devez vous authentifier avec des AWS informations d'identification et non avec une clé d'API Amazon Bedrock.

  • Pour les clés d'API Amazon Bedrock à court et à long terme, vous pouvez joindre des politiques IAM pour révoquer les autorisations.

Modifier le statut d'une clé d'API Amazon Bedrock à long terme

Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console
Pour désactiver une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à https://console.aws.amazon.com/bedrock/l'adresse.

  2. Dans le volet de navigation de gauche, sélectionnez les clés d'API.

  3. Dans la section Clés d'API pour Amazon Bedrock, choisissez une clé.

  4. Choisissez Actions.

  5. Sélectionnez Deactivate (Désactiver).

Pour réactiver une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à https://console.aws.amazon.com/bedrock/l'adresse.

  2. Dans le volet de navigation de gauche, sélectionnez les clés d'API.

  3. Dans la section Clés d'API pour Amazon Bedrock, choisissez une clé.

  4. Choisissez Actions.

  5. Sélectionnez Réactiver.

Python

Pour désactiver une clé à l'aide de l'API, envoyez une UpdateServiceSpecificCredentialdemande avec un point de terminaison IAM et spécifiez le Status as. Inactive Vous pouvez utiliser l'extrait de code suivant pour désactiver une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Pour réactiver une clé à l'aide de l'API, envoyez une UpdateServiceSpecificCredentialdemande avec un point de terminaison IAM et spécifiez le Status as. Active Vous pouvez utiliser l'extrait de code suivant pour réactiver une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Réinitialisation d'une clé d'API Amazon Bedrock à long terme

Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console
Pour réinitialiser une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à https://console.aws.amazon.com/bedrock/l'adresse.

  2. Dans le volet de navigation de gauche, sélectionnez les clés d'API.

  3. Dans la section Clés d'API pour Amazon Bedrock, choisissez une clé.

  4. Choisissez Actions.

  5. Sélectionnez Réinitialiser la clé.

Python

Pour réinitialiser une clé à l'aide de l'API, envoyez une ResetServiceSpecificCredentialdemande avec un point de terminaison IAM. Vous pouvez utiliser l'extrait de code suivant pour réinitialiser une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Supprimer une clé d'API Amazon Bedrock à long terme

Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console
Pour supprimer une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à https://console.aws.amazon.com/bedrock/l'adresse.

  2. Dans le volet de navigation de gauche, sélectionnez les clés d'API.

  3. Dans la section Clés d'API pour Amazon Bedrock, choisissez une clé.

  4. Choisissez Actions.

  5. Sélectionnez Delete (Supprimer).

Python

Pour supprimer une clé à l'aide de l'API, envoyez une DeleteServiceSpecificCredentialdemande avec un point de terminaison IAM. Vous pouvez utiliser l'extrait de code suivant pour supprimer une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Joignez des politiques IAM pour supprimer les autorisations d'utilisation d'une clé d'API Amazon Bedrock

Cette section fournit certaines politiques IAM que vous pouvez utiliser pour restreindre l'accès à une clé d'API Amazon Bedrock.

Refuser à une identité la possibilité de passer des appels avec une clé d'API Amazon Bedrock

L'action qui permet à une identité de passer des appels avec une clé d'API Amazon Bedrock estbedrock:CallWithBearerToken. Pour empêcher une identité de passer des appels avec la clé d'API Amazon Bedrock, vous pouvez associer une politique IAM à une identité en fonction du type de clé :

  • Clé à long terme : attachez la politique à l'utilisateur IAM associé à la clé.

  • Clé à court terme : attachez la politique au rôle IAM utilisé pour générer la clé.

La politique IAM que vous pouvez associer à l'identité IAM est la suivante :

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalider une session de rôle IAM

Si une clé à court terme est compromise, vous pouvez empêcher son utilisation en invalidant la session de rôle qui a été utilisée pour générer la clé. Pour invalider la session de rôle, associez la politique suivante à l'identité IAM qui a généré la clé. Remplacez 2014-05-07T23:47:00Z par le délai après lequel vous souhaitez que la session soit invalidée.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}