Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengontrol izin untuk membuat dan menggunakan kunci Amazon Bedrock API
Pembuatan dan penggunaan kunci Amazon Bedrock API dikendalikan oleh tindakan dan kunci kondisi di layanan Amazon Bedrock dan IAM.
**Mengontrol pembuatan kunci API Amazon Bedrock**
CreateServiceSpecificCredentialTindakan [iam:](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html#awsidentityandaccessmanagementiam-actions-as-permissions) mengontrol pembuatan kunci khusus layanan (seperti kunci API Amazon Bedrock jangka panjang). Anda dapat memberikan cakupan tindakan ini kepada pengguna IAM sebagai sumber daya untuk membatasi pengguna yang kuncinya dapat dibuat.
Anda dapat menggunakan tombol kondisi berikut untuk memaksakan kondisi pada izin untuk `iam:CreateServiceSpecificCredential` tindakan:
+ [iam: ServiceSpecificCredentialAgeDays](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) — Memungkinkan Anda menentukan, dalam kondisi, waktu kedaluwarsa kunci dalam beberapa hari. Misalnya, Anda dapat menggunakan kunci kondisi ini untuk hanya mengizinkan pembuatan kunci API yang kedaluwarsa dalam 90 hari.
+ [iam: ServiceSpecificCredentialServiceName](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) — Memungkinkan Anda menentukan, dalam kondisi, nama layanan. Misalnya, Anda dapat menggunakan kunci kondisi ini untuk hanya mengizinkan pembuatan kunci API untuk Amazon Bedrock dan bukan layanan lainnya.
**Mengontrol penggunaan kunci Amazon Bedrock API**
[Batuan dasar: CallWithBearerToken](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) tindakan mengontrol penggunaan kunci API Amazon Bedrock jangka pendek atau jangka panjang.
Anda dapat menggunakan kunci `bedrock:bearerTokenType` kondisi dengan [operator kondisi string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) untuk menentukan jenis token pembawa yang akan menerapkan izin`bedrock:CallWithBearerToken`. Anda dapat menentukan salah satu nilai berikut:
+ `SHORT_TERM`— Menentukan kunci API Amazon Bedrock jangka pendek dalam kondisi tersebut.
+ `LONG_TERM`— Menentukan kunci API Amazon Bedrock jangka panjang dalam kondisi tersebut.
Tabel berikut merangkum cara mencegah identitas menghasilkan atau menggunakan kunci Amazon Bedrock API:
****
| Tujuan | Kunci jangka panjang | Kunci jangka pendek |
| --- | --- | --- |
| Cegah pembuatan kunci | Lampirkan kebijakan yang menyangkal iam:CreateServiceSpecificCredential tindakan ke identitas IAM. | N/A |
| Mencegah penggunaan kunci | Lampirkan kebijakan yang menolak bedrock:CallWithBearerToken tindakan tersebut ke pengguna IAM yang terkait dengan kunci tersebut. | Lampirkan kebijakan yang menolak bedrock:CallWithBearerToken tindakan ke identitas IAM yang Anda tidak ingin dapat menggunakan kunci tersebut. |
**Awas**
Karena kunci Amazon Bedrock API jangka pendek menggunakan kredensi yang ada dari sesi, Anda dapat mencegah penggunaannya dengan menolak `bedrock:CallWithBearerToken` tindakan pada identitas yang menghasilkan kunci. Namun, Anda tidak dapat mencegah pembuatan kunci jangka pendek.
## Contoh kebijakan untuk mengontrol pembuatan dan penggunaan kunci API
Misalnya kebijakan IAM untuk mengontrol pembuatan dan penggunaan kunci API, pilih dari topik berikut:
**Topics**
+ [Mencegah identitas membuat kunci jangka panjang dan menggunakan kunci Amazon Bedrock API](#api-keys-permissions-examples-prevent-generation-and-use)
+ [Mencegah identitas menggunakan kunci API jangka pendek](#api-keys-permissions-examples-prevent-use-short-term)
+ [Mencegah identitas menggunakan kunci API jangka panjang](#api-keys-permissions-examples-prevent-use-long-term)
+ [Secara eksplisit mencegah identitas menggunakan kunci API jangka pendek](#api-keys-permissions-examples-deny-use-short-term-explicitly)
+ [Secara eksplisit mencegah identitas menggunakan kunci API jangka panjang](#api-keys-permissions-examples-deny-use-long-term-explicitly)
+ [Izinkan pembuatan kunci Amazon Bedrock hanya jika kedaluwarsa dalam 90 hari](#api-keys-permissions-examples-allow-bedrock-keys-expire-within-90-days)
### Mencegah identitas membuat kunci jangka panjang dan menggunakan kunci Amazon Bedrock API
Untuk mencegah identitas IAM menghasilkan kunci API Amazon Bedrock jangka panjang dan menggunakan kunci Amazon Bedrock API, lampirkan kebijakan berikut ke identitas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"DenyBedrockShortAndLongTermAPIKeys",
"Effect": "Deny",
"Action": [
"iam:CreateServiceSpecificCredential",
"bedrock:CallWithBearerToken"
],
"Resource": [
"*"
]
}
]
}
```
------
**Awas**
Anda tidak dapat mencegah pembuatan kunci jangka pendek.
Kebijakan ini akan mencegah pembuatan kredensi untuk semua AWS layanan yang mendukung pembuatan kredensi khusus layanan. Untuk informasi selengkapnya, lihat [Kredensial khusus layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_service-specific-creds.html) untuk pengguna IAM.
### Mencegah identitas menggunakan kunci API jangka pendek
Untuk mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka pendek, lampirkan kebijakan berikut ke identitas:
### Mencegah identitas menggunakan kunci API jangka panjang
Untuk mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka panjang, lampirkan kebijakan berikut ke identitas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
}
]
}
```
------
### Secara eksplisit mencegah identitas menggunakan kunci API jangka pendek
Untuk secara eksplisit mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka pendek, tetapi mengizinkan penggunaan kunci API lainnya, lampirkan kebijakan berikut ke identitas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "SHORT_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### Secara eksplisit mencegah identitas menggunakan kunci API jangka panjang
Untuk secara eksplisit mencegah identitas IAM menggunakan kunci API Amazon Bedrock jangka panjang, tetapi mengizinkan penggunaan kunci API lainnya, lampirkan kebijakan berikut ke identitas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### Izinkan pembuatan kunci Amazon Bedrock hanya jika kedaluwarsa dalam 90 hari
Untuk mengizinkan identitas IAM membuat kunci API jangka panjang hanya jika itu untuk Amazon Bedrock dan jika waktu kedaluwarsa 90 hari atau kurang, lampirkan kebijakan berikut ke identitas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceSpecificCredential",
"Resource": "arn:aws:iam::123456789012:user/{{username}}",
"Condition": {
"StringEquals": {
"iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
},
"NumericLessThanEquals": {
"iam:ServiceSpecificCredentialAgeDays": "90"
}
}
}
]
}
```
------