Controlla le autorizzazioni per la generazione e l'utilizzo delle chiavi API Amazon Bedrock - Amazon Bedrock
Esempi di politiche per controllare la generazione e l'utilizzo delle chiavi API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla le autorizzazioni per la generazione e l'utilizzo delle chiavi API Amazon Bedrock

La generazione e l'utilizzo delle chiavi API di Amazon Bedrock sono controllati da azioni e chiavi di condizione nei servizi Amazon Bedrock e IAM.

Controllo della generazione di chiavi API Amazon Bedrock

L'CreateServiceSpecificCredentialazione iam: controlla la generazione di una chiave specifica del servizio (come una chiave API Amazon Bedrock a lungo termine). Puoi assegnare questa azione agli utenti IAM come risorsa per limitare gli utenti per i quali è possibile generare una chiave.

Puoi utilizzare le seguenti chiavi condizionali per imporre condizioni sull'autorizzazione per l'iam:CreateServiceSpecificCredentialazione:

  • iam: ServiceSpecificCredentialAgeDays — Consente di specificare, nella condizione, il tempo di scadenza della chiave in giorni. Ad esempio, puoi utilizzare questa chiave di condizione per consentire solo la creazione di chiavi API che scadono entro 90 giorni.

  • iam: ServiceSpecificCredentialServiceName — Consente di specificare, nella condizione, il nome di un servizio. Ad esempio, puoi utilizzare questa chiave di condizione per consentire solo la creazione di chiavi API per Amazon Bedrock e non per altri servizi.

Controllo dell'utilizzo delle chiavi API di Amazon Bedrock

Il fondamento: l'CallWithBearerTokenazione controlla l'uso di una chiave API Amazon Bedrock a breve o lungo termine.

Puoi utilizzare la chiave bedrock:bearerTokenType condition con gli operatori string condition per specificare il tipo di token bearer per il quale richiedere l'autorizzazione. bedrock:CallWithBearerToken È possibile specificare uno dei seguenti valori:

  • SHORT_TERM: specifica le chiavi API Amazon Bedrock a breve termine nella condizione.

  • LONG_TERM— Speciifica le chiavi API Amazon Bedrock a lungo termine nella condizione.

La tabella seguente riassume come impedire a un'identità di generare o utilizzare chiavi API Amazon Bedrock:

Scopo Chiave a lungo termine Chiave a breve termine
Impedisci la generazione di chiavi Allega una policy che neghi l'iam:CreateServiceSpecificCredentialazione a un'identità IAM. N/D
Impedisci l'uso di una chiave Allega una policy che neghi l'bedrock:CallWithBearerTokenazione all'utente IAM associato alla chiave. Allega una policy che neghi l'bedrock:CallWithBearerTokenazione alle identità IAM di cui non vuoi che possano utilizzare la chiave.
avvertimento

Poiché una chiave API Amazon Bedrock a breve termine utilizza le credenziali esistenti di una sessione, puoi impedirne l'utilizzo negando l'bedrock:CallWithBearerTokenazione sull'identità che ha generato la chiave. Tuttavia, non puoi impedire la generazione di una chiave a breve termine.

Esempi di politiche per controllare la generazione e l'utilizzo delle chiavi API

Ad esempio, le politiche IAM per controllare la generazione e l'utilizzo delle chiavi API, seleziona uno dei seguenti argomenti:

Impedisci a un'identità di generare chiavi a lungo termine e di utilizzare chiavi API Amazon Bedrock

Per evitare che un'identità IAM generi chiavi API Amazon Bedrock a lungo termine e utilizzi qualsiasi chiave API Amazon Bedrock, allega la seguente policy all'identità:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
avvertimento

  • Non puoi impedire la generazione di chiavi a breve termine.

  • Questa politica impedirà la creazione di credenziali per tutti i AWS servizi che supportano la creazione di credenziali specifiche del servizio. Per ulteriori informazioni, consulta Credenziali specifiche del servizio per gli utenti IAM.

Impedisci a un'identità di utilizzare chiavi API a breve termine

Per impedire a un'identità IAM di utilizzare chiavi API Amazon Bedrock a breve termine, collega la seguente policy all'identità:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        }
}

Impedire a un'identità di utilizzare chiavi API a lungo termine

Per impedire a un'identità IAM di utilizzare chiavi API Amazon Bedrock a lungo termine, collega la seguente policy all'identità:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Impedisci esplicitamente a un'identità di utilizzare chiavi API a breve termine

Per impedire esplicitamente a un'identità IAM di utilizzare chiavi API Amazon Bedrock a breve termine, ma consentire l'utilizzo di altre chiavi API, allega la seguente policy all'identità:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Impedisci esplicitamente a un'identità di utilizzare chiavi API a lungo termine

Per impedire esplicitamente a un'identità IAM di utilizzare chiavi API Amazon Bedrock a lungo termine, ma consentire l'utilizzo di altre chiavi API, allega la seguente policy all'identità:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Consenti la creazione di chiavi Amazon Bedrock solo se scadono entro 90 giorni

Per consentire a un'identità IAM di creare una chiave API a lungo termine solo se è per Amazon Bedrock e se il tempo di scadenza è pari o inferiore a 90 giorni, allega la seguente policy all'identità:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}