Controllare le autorizzazioni per la generazione e l’utilizzo delle chiavi API Amazon Bedrock - Amazon Bedrock
Esempi di policy per controllare la generazione e l’utilizzo delle chiavi API

Controllare le autorizzazioni per la generazione e l’utilizzo delle chiavi API Amazon Bedrock

La generazione e l’utilizzo delle chiavi API Amazon Bedrock sono controllati da azioni e chiavi di condizione nei servizi Amazon Bedrock e IAM.

Controllo della generazione di chiavi API Amazon Bedrock

L’azione iam:CreateServiceSpecificCredential controlla la generazione di una chiave specifica del servizio (ad esempio una chiave API Amazon Bedrock a lungo termine). È possibile questa azione agli utenti IAM come una risorsa per limitare gli utenti per cui è possibile generare una chiave.

Per imporre condizioni all’autorizzazione per l’azione iam:CreateServiceSpecificCredential, è possibile utilizzare le chiavi di condizione seguenti:

  • iam:ServiceSpecificCredentialAgeDays: consente di specificare, nella condizione, la scadenza della chiave in giorni. Ad esempio, si può utilizzare questa chiave di condizione per consentire solo la creazione di chiavi API che scadono entro 90 giorni.

  • iam:ServiceSpecificCredentialServiceName: consente di specificare, nella condizione, il nome di un servizio. Ad esempio, si può utilizzare questa chiave di condizione per consentire solo la creazione di chiavi API per Amazon Bedrock e non per altri servizi.

Controllo dell’utilizzo di chiavi API Amazon Bedrock

L’azione bedrock:CallWithBearerToken controlla l’utilizzo di una chiave API Amazon Bedrock a breve oppure a lungo termine.

È possibile utilizzare la chiave di condizione bedrock:bearerTokenType con gli operatori di condizione stringa per specificare il tipo di token di connessione per cui richiedere l’autorizzazione per bedrock:CallWithBearerToken. È possibile specificare uno dei seguenti valori:

  • SHORT_TERM: specifica le chiavi API Amazon Bedrock a breve termine nella condizione.

  • LONG_TERM: specifica le chiavi API Amazon Bedrock a lungo termine nella condizione.

La tabella seguente riassume come impedire a un’identità di generare o utilizzare chiavi API Amazon Bedrock:

Scopo Chiave a lungo termine Chiave a breve termine
Impedire la generazione di chiavi Collegare una policy che neghi l’azione iam:CreateServiceSpecificCredential a un’identità IAM. N/D
Impedire l’uso di una chiave Collegare una policy che neghi l’azione bedrock:CallWithBearerToken all’utente IAM associato alla chiave. Collegare una policy che neghi l’azione bedrock:CallWithBearerToken alle identità IAM a cui non si desidera concedere l’autorizzazione a utilizzare la chiave.
avvertimento

Poiché una chiave API Amazon Bedrock a breve termine utilizza le credenziali esistenti di una sessione, è possibile impedirne l’utilizzo negando l’azione bedrock:CallWithBearerToken all’identità che ha generato la chiave. Tuttavia, non è possibile impedire la generazione di una chiave a breve termine.

Esempi di policy per controllare la generazione e l’utilizzo delle chiavi API

Per un esempio di policy IAM che controllano la generazione e l’utilizzo delle chiavi API, seleziona uno dei seguenti argomenti:

Impedire a un’identità di generare chiavi a lungo termine e di utilizzare chiavi API Amazon Bedrock

Per impedire a un’identità IAM di generare chiavi API Amazon Bedrock a lungo termine e di utilizzare qualsiasi chiave API Amazon Bedrock, collega la seguente policy all’identità:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
avvertimento

  • Non è possibile impedire la generazione di chiavi a breve termine.

  • La policy impedirà la creazione di credenziali per tutti i servizi AWS che supportano la creazione di credenziali specifiche del servizio. Per ulteriori informazioni, consulta Credenziali specifiche del servizio per gli utenti IAM.

Impedire a un’identità di utilizzare chiavi API a breve termine

Per impedire a un’identità IAM di utilizzare chiavi API Amazon Bedrock a breve termine, collega la seguente policy all’identità:

Impedire a un’identità di utilizzare chiavi API a breve termine

Per impedire a un’identità IAM di utilizzare chiavi API Amazon Bedrock a lungo termine, collega la seguente policy all’identità:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Impedire in modo esplicito a un’identità di utilizzare chiavi API a breve termine

Per impedire in modo esplicito a un’identità IAM di utilizzare chiavi API Amazon Bedrock a breve termine consentendo però l’utilizzo di altre chiavi API, collega la seguente policy all’identità:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Impedire in modo esplicito a un’identità di utilizzare chiavi API a lungo termine

Per impedire in modo esplicito a un’identità IAM di utilizzare chiavi API Amazon Bedrock a lungo termine consentendo però l’utilizzo di altre chiavi API, collega la seguente policy all’identità:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Consentire la creazione di chiavi Amazon Bedrock solo se scadono entro 90 giorni

Per consentire a un’identità IAM di creare una chiave API a lungo termine solo per Amazon Bedrock e se il tempo di scadenza è pari o inferiore a 90 giorni, collega la seguente policy all’identità:

JSON
{
   "Version":"2012-10-17",		 	 	 		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}