Contoh kebijakan untuk mengontrol pembuatan dan penggunaan kunci API

Mengontrol izin untuk membuat dan menggunakan kunci Amazon Bedrock API

Pembuatan dan penggunaan kunci Amazon Bedrock API dikendalikan oleh tindakan dan kunci kondisi di layanan Amazon Bedrock dan IAM.

Mengontrol pembuatan kunci API Amazon Bedrock

CreateServiceSpecificCredentialTindakan iam: mengontrol pembuatan kunci khusus layanan (seperti kunci API Amazon Bedrock jangka panjang). Anda dapat memberikan cakupan tindakan ini kepada pengguna IAM sebagai sumber daya untuk membatasi pengguna yang kuncinya dapat dibuat.

Anda dapat menggunakan tombol kondisi berikut untuk memaksakan kondisi pada izin untuk iam:CreateServiceSpecificCredential tindakan:

iam: ServiceSpecificCredentialAgeDays — Memungkinkan Anda menentukan, dalam kondisi, waktu kedaluwarsa kunci dalam beberapa hari. Misalnya, Anda dapat menggunakan kunci kondisi ini untuk hanya mengizinkan pembuatan kunci API yang kedaluwarsa dalam 90 hari.
iam: ServiceSpecificCredentialServiceName — Memungkinkan Anda menentukan, dalam kondisi, nama layanan. Misalnya, Anda dapat menggunakan kunci kondisi ini untuk hanya mengizinkan pembuatan kunci API untuk Amazon Bedrock dan bukan layanan lainnya.

Mengontrol penggunaan kunci Amazon Bedrock API

Batuan dasar: CallWithBearerToken tindakan mengontrol penggunaan kunci API Amazon Bedrock jangka pendek atau jangka panjang.

Anda dapat menggunakan kunci bedrock:bearerTokenType kondisi dengan operator kondisi string untuk menentukan jenis token pembawa yang akan menerapkan izinbedrock:CallWithBearerToken. Anda dapat menentukan salah satu nilai berikut:

SHORT_TERM— Menentukan kunci API Amazon Bedrock jangka pendek dalam kondisi tersebut.
LONG_TERM— Menentukan kunci API Amazon Bedrock jangka panjang dalam kondisi tersebut.

Tabel berikut merangkum cara mencegah identitas menghasilkan atau menggunakan kunci Amazon Bedrock API:

Tujuan	Kunci jangka panjang	Kunci jangka pendek
Cegah pembuatan kunci	Lampirkan kebijakan yang menyangkal `iam:CreateServiceSpecificCredential` tindakan ke identitas IAM.	N/A
Mencegah penggunaan kunci	Lampirkan kebijakan yang menolak `bedrock:CallWithBearerToken` tindakan tersebut ke pengguna IAM yang terkait dengan kunci tersebut.	Lampirkan kebijakan yang menolak `bedrock:CallWithBearerToken` tindakan ke identitas IAM yang Anda tidak ingin dapat menggunakan kunci tersebut.

Awas

Karena kunci Amazon Bedrock API jangka pendek menggunakan kredensi yang ada dari sesi, Anda dapat mencegah penggunaannya dengan menolak bedrock:CallWithBearerToken tindakan pada identitas yang menghasilkan kunci. Namun, Anda tidak dapat mencegah pembuatan kunci jangka pendek.

Contoh kebijakan untuk mengontrol pembuatan dan penggunaan kunci API

Misalnya kebijakan IAM untuk mengontrol pembuatan dan penggunaan kunci API, pilih dari topik berikut:

Topik

Mencegah identitas membuat kunci jangka panjang dan menggunakan kunci Amazon Bedrock API
Mencegah identitas menggunakan kunci API jangka pendek
Mencegah identitas menggunakan kunci API jangka panjang
Secara eksplisit mencegah identitas menggunakan kunci API jangka pendek
Secara eksplisit mencegah identitas menggunakan kunci API jangka panjang
Izinkan pembuatan kunci Amazon Bedrock hanya jika kedaluwarsa dalam 90 hari

Mencegah identitas membuat kunci jangka panjang dan menggunakan kunci Amazon Bedrock API

Untuk mencegah identitas IAM menghasilkan kunci API Amazon Bedrock jangka panjang dan menggunakan kunci Amazon Bedrock API, lampirkan kebijakan berikut ke identitas:

Awas

Anda tidak dapat mencegah pembuatan kunci jangka pendek.
Kebijakan ini akan mencegah pembuatan kredensi untuk semua AWS layanan yang mendukung pembuatan kredensi khusus layanan. Untuk informasi selengkapnya, lihat Kredensial khusus layanan untuk pengguna IAM.

Mencegah identitas menggunakan kunci API jangka pendek

Untuk mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka pendek, lampirkan kebijakan berikut ke identitas:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        }
}

Mencegah identitas menggunakan kunci API jangka panjang

Untuk mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka panjang, lampirkan kebijakan berikut ke identitas:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Secara eksplisit mencegah identitas menggunakan kunci API jangka pendek

Untuk secara eksplisit mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka pendek, tetapi mengizinkan penggunaan kunci API lainnya, lampirkan kebijakan berikut ke identitas:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Secara eksplisit mencegah identitas menggunakan kunci API jangka panjang

Untuk secara eksplisit mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka panjang, tetapi mengizinkan penggunaan kunci API lainnya, lampirkan kebijakan berikut ke identitas:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Izinkan pembuatan kunci Amazon Bedrock hanya jika kedaluwarsa dalam 90 hari

Untuk mengizinkan identitas IAM membuat kunci API jangka panjang hanya jika itu untuk Amazon Bedrock dan jika waktu kedaluwarsa 90 hari atau kurang, lampirkan kebijakan berikut ke identitas:


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menangani kunci API yang dikompromikan

Akses model pondasi