Gestire chiavi API Amazon Bedrock compromesse a lungo e breve termine - Amazon Bedrock
Modificare lo stato di una chiave API a lungo termineRipristinare una chiave API a lungo termineEliminare una chiave API a lungo termineCollegare le policy IAM per rimuovere le autorizzazioni per l’utilizzo di una chiave API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestire chiavi API Amazon Bedrock compromesse a lungo e breve termine

Se la chiave API è compromessa, è necessario revocare le autorizzazioni per utilizzarla. Esistono vari metodi che consentono di revocare le autorizzazioni per una chiave API Amazon Bedrock:

  • Per le chiavi API Amazon Bedrock a lungo termine UpdateServiceSpecificCredentialResetServiceSpecificCredential, puoi utilizzare o DeleteServiceSpecificCredentialrevocare le autorizzazioni nei seguenti modi:

    • Impostare lo stato della chiave su inattivo. La chiave può essere riattivata in seguito.

    • Ripristinare la chiave. Questa azione genera una nuova password per la chiave.

    • Eliminare la chiave in modo permanente.

    Nota

    Per eseguire queste azioni tramite l'API, devi autenticarti con AWS credenziali e non con una chiave API Amazon Bedrock.

  • Per le chiavi API Amazon Bedrock sia a lungo che a breve termine, è possibile collegare policy IAM per revocare le autorizzazioni.

Modificare lo stato di una chiave API Amazon Bedrock a lungo termine

Se si deve impedire che una chiave venga utilizzata temporaneamente, disattivarla. Quando è possibile riutilizzarla, riattivarla.

Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:

Console
Come disattivare una chiave

  1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi API.

  3. Nella sezione Chiavi API a lungo termine, scegli una chiave per cui il campo Stato è Inattivo.

  4. Scegli Azioni.

  5. Seleziona Deactivate (Disattiva).

  6. Per confermare, seleziona Disattiva la chiave API. Il valore del campo Stato della chiave diventa Inattivo.

Come riattivare una chiave

  1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi API.

  3. Nella sezione Chiavi API a lungo termine, scegli una chiave per cui il campo Stato è Inattivo.

  4. Scegli Azioni.

  5. Seleziona Attiva.

  6. Per confermare, seleziona Attiva la chiave API. Il valore del campo Stato della chiave diventa Attivo.

Python

Per disattivare una chiave utilizzando l'API, invia una UpdateServiceSpecificCredentialrichiesta con un endpoint IAM e specifica l'as. Status Inactive Puoi utilizzare il seguente frammento di codice per disattivare una chiave, sostituendolo ${ServiceSpecificCredentialId} con il valore restituito quando hai creato la chiave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Per riattivare una chiave utilizzando l'API, invia una UpdateServiceSpecificCredentialrichiesta con un endpoint IAM e specifica as. Status Active Puoi utilizzare il seguente frammento di codice per riattivare una chiave, sostituendolo ${ServiceSpecificCredentialId} con il valore restituito quando hai creato la chiave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Ripristinare una chiave API Amazon Bedrock a lungo termine

Se il valore della chiave è stato compromesso o se non possiedi più la chiave, puoi ripristinarla. La chiave non deve essere ancora scaduta. Se è già scaduta, elimina la chiave e creane una nuova.

Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:

Console
Come reimpostare una chiave

  1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi API.

  3. Nella sezione Chiavi API a lungo termine, scegli una chiave.

  4. Scegli Azioni.

  5. Seleziona Ripristina chiave.

  6. Seleziona Avanti.

Python

Per reimpostare una chiave utilizzando l'API, invia una ResetServiceSpecificCredentialrichiesta con un endpoint IAM. Puoi utilizzare il seguente frammento di codice per reimpostare una chiave, sostituendola ${ServiceSpecificCredentialId} con il valore restituito quando hai creato la chiave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Eliminare una chiave API Amazon Bedrock a lungo termine

Se non hai più bisogno di una chiave o se la chiave è scaduta, eliminala.

Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:

Console
Come eliminare una chiave

  1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi API.

  3. Nella sezione Chiavi API a lungo termine, scegli una chiave.

  4. Scegli Azioni.

  5. Seleziona Elimina.

  6. Conferma l’eliminazione.

Python

Per eliminare una chiave utilizzando l'API, invia una DeleteServiceSpecificCredentialrichiesta con un endpoint IAM. Puoi utilizzare il seguente frammento di codice per eliminare una chiave, sostituendola ${ServiceSpecificCredentialId} con il valore restituito quando hai creato la chiave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Collegare le policy IAM per rimuovere le autorizzazioni per l’utilizzo di una chiave API Amazon Bedrock

In questa sezione vengono fornite alcune policy IAM che è possibile utilizzare per limitare l’accesso a una chiave API Amazon Bedrock.

Negare a un’identità la possibilità di effettuare chiamate con una chiave API Amazon Bedrock

L’azione che consente a un’identità di effettuare chiamate con una chiave API Amazon Bedrock è bedrock:CallWithBearerToken. Per impedire a un’identità di effettuare chiamate con la chiave API Amazon Bedrock, collega una policy IAM a un’identità a seconda del tipo di chiave:

  • Chiave a lungo termine: collega la policy all’utente IAM associato alla chiave.

  • Chiave a breve termine: collega la policy al ruolo IAM utilizzato per generare la chiave.

La policy IAM che si può collegare all’identità IAM è la seguente:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalidare una sessione di ruolo IAM

Se una chiave a breve termine è compromessa, è possibile impedirne l’utilizzo invalidando la sessione di ruolo utilizzata per generare la chiave stessa. Per invalidare la sessione di ruolo, collega la seguente policy all’identità IAM che ha generato la chiave. Sostituisci 2014-05-07T23:47:00Z con l'ora dopo la quale desideri che la sessione venga invalidata.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}