Gestion des clés d’API Amazon Bedrock compromises à long et à court terme - Amazon Bedrock
Modification du statut d’une clé d’API à long termeRéinitialisation d’une clé API à long termeSuppression d’une clé d’API à long termeAssociation de politiques IAM pour supprimer les autorisations d’utilisation d’une clé d’API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des clés d’API Amazon Bedrock compromises à long et à court terme

Si votre clé d’API est compromise, vous devez révoquer les autorisations d’utilisation. Vous pouvez utiliser différentes méthodes pour révoquer les autorisations associées à une clé d’API Amazon Bedrock :

  • Pour les clés API Amazon Bedrock à long terme UpdateServiceSpecificCredentialResetServiceSpecificCredential, vous pouvez utiliser ou DeleteServiceSpecificCredentialrévoquer les autorisations de la manière suivante :

    • Définissez le statut de la clé sur inactif. Vous pouvez la réactiver par la suite.

    • Réinitialisez la clé. Cette action génère un nouveau mot de passe pour la clé.

    • Supprimez définitivement la clé.

    Note

    Pour effectuer ces actions via l'API, vous devez vous authentifier avec des AWS informations d'identification et non avec une clé d'API Amazon Bedrock.

  • Pour les clés d’API Amazon Bedrock à court et à long terme, vous pouvez joindre des politiques IAM pour révoquer les autorisations.

Modification du statut d’une clé d’API Amazon Bedrock à long terme

Si vous devez empêcher l’utilisation temporaire d’une clé, désactivez-la. Une fois que vous êtes prêt à l’utiliser à nouveau, réactivez-la.

Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :

Console
Pour désactiver une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

  2. Dans le panneau de navigation de gauche, sélectionnez Clés d’API.

  3. Dans la section Clés d’API à long terme, choisissez une clé dont le statut est inactif.

  4. Choisissez Actions.

  5. Sélectionnez Deactivate (Désactiver).

  6. Pour confirmer, sélectionnez Désactiver la clé API. Le statut de la clé devient inactif.

Pour réactiver une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

  2. Dans le panneau de navigation de gauche, sélectionnez Clés d’API.

  3. Dans la section Clés d’API à long terme, choisissez une clé dont le statut est inactif.

  4. Choisissez Actions.

  5. Sélectionnez Activer.

  6. Pour confirmer, sélectionnez Activer la clé API. Le statut de la clé devient actif.

Python

Pour désactiver une clé à l'aide de l'API, envoyez une UpdateServiceSpecificCredentialdemande avec un point de terminaison IAM et spécifiez le Status as. Inactive Vous pouvez utiliser l'extrait de code suivant pour désactiver une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Pour réactiver une clé à l'aide de l'API, envoyez une UpdateServiceSpecificCredentialdemande avec un point de terminaison IAM et spécifiez le Status as. Active Vous pouvez utiliser l'extrait de code suivant pour réactiver une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Réinitialisation d’une clé d’API Amazon Bedrock à long terme

Si la valeur de votre clé a été compromise ou si vous ne l’avez plus, réinitialisez-la. La clé ne doit pas encore avoir expirée. Si elle est déjà expirée, supprimez la clé et créez-en une nouvelle.

Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :

Console
Pour réinitialiser une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

  2. Dans le panneau de navigation de gauche, sélectionnez Clés d’API.

  3. Dans la section Clés d’API à long terme, choisissez une clé.

  4. Choisissez Actions.

  5. Sélectionnez Réinitialiser la clé.

  6. Sélectionnez Suivant.

Python

Pour réinitialiser une clé à l'aide de l'API, envoyez une ResetServiceSpecificCredentialdemande avec un point de terminaison IAM. Vous pouvez utiliser l'extrait de code suivant pour réinitialiser une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Suppression d’une clé d’API Amazon Bedrock à long terme

Si vous n’avez plus besoin d’une clé ou si elle a expiré, supprimez-la.

Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :

Console
Pour supprimer une clé

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

  2. Dans le panneau de navigation de gauche, sélectionnez Clés d’API.

  3. Dans la section Clés d’API à long terme, choisissez une clé.

  4. Choisissez Actions.

  5. Sélectionnez Supprimer.

  6. Confirmez la suppression.

Python

Pour supprimer une clé à l'aide de l'API, envoyez une DeleteServiceSpecificCredentialdemande avec un point de terminaison IAM. Vous pouvez utiliser l'extrait de code suivant pour supprimer une clé, en la ${ServiceSpecificCredentialId} remplaçant par la valeur renvoyée lors de la création de la clé.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Association de politiques IAM pour supprimer les autorisations d’utilisation d’une clé d’API Amazon Bedrock

Cette section fournit des politiques IAM que vous pouvez utiliser pour restreindre l’accès à une clé d’API Amazon Bedrock.

Refus de la possibilité de passer des appels avec une clé d’API Amazon Bedrock

L’action qui permet à une identité de passer des appels avec une clé d’API Amazon Bedrock est bedrock:CallWithBearerToken. Pour empêcher une identité de passer des appels avec la clé d’API Amazon Bedrock, vous pouvez associer une politique IAM à une identité en fonction du type de clé :

  • Clé à long terme : associez la politique à l’utilisateur IAM associé à la clé.

  • Clé à court terme : associez la politique au rôle IAM utilisé pour générer la clé.

La politique IAM que vous pouvez associer à l’identité IAM est la suivante :

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalidation d’une session de rôle IAM

Si une clé à court terme est compromise, vous pouvez empêcher son utilisation en invalidant la session de rôle utilisée pour générer la clé. Pour invalider la session de rôle, associez la stratégie suivante à l’identité IAM qui a généré la clé. Remplacez 2014-05-07T23:47:00Z par le délai après lequel vous souhaitez que la session soit invalidée.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}