Amazon Bedrock API キーを生成して使用するためのアクセス許可を制御する - Amazon Bedrock
API キーの生成と使用を制御するポリシーの例

Amazon Bedrock API キーを生成して使用するためのアクセス許可を制御する

Amazon Bedrock API キーの生成と使用は、Amazon Bedrock サービスと IAM サービスの両方でアクションと条件キーによって制御されます。

Amazon Bedrock API キーの生成の制御

iam:CreateServiceSpecificCredential アクションは、サービス固有のキー (長期的な Amazon Bedrock API キーなど) の生成を制御します。このアクションの範囲をリソースとして IAM ユーザーに限定し、キーを生成できるユーザーを制限できます。

次の条件キーを使用して、iam:CreateServiceSpecificCredential アクションのアクセス許可に条件を課すことができます。

  • iam:ServiceSpecificCredentialAgeDays – 条件でキーの有効期限を日数で指定できます。例えば、この条件キーを使用して、90 日以内に期限切れになる API キーの作成のみ許可できます。

  • iam:ServiceSpecificCredentialServiceName – 条件でサービスの名前を指定できます。例えば、この条件キーを使用して Amazon Bedrock の API キーの作成のみを許可し、他のサービスの作成は許可しません。

Amazon Bedrock API キーの使用の制御

bedrock:CallWithBearerToken アクションは、短期または長期 Amazon Bedrock API キーの使用を制御します。

bedrock:bearerTokenType 条件キーを文字列条件演算子とともに使用して、bedrock:CallWithBearerToken のアクセス許可を適用するベアラートークンのタイプを指定できます。次のいずれかの値を指定できます。

  • SHORT_TERM – 条件に短期 Amazon Bedrock API キーを指定します。

  • LONG_TERM – 条件に長期 Amazon Bedrock API キーを指定します。

次の表は、ID によって Amazon Bedrock API キーが生成または使用されるのを防ぐ方法をまとめたものです。

目的 長期キー 短期キー
キーの生成を防止する iam:CreateServiceSpecificCredential アクションを拒否するポリシーを IAM ID にアタッチします。 該当なし
キーの使用を防止する キーに関連付けられた IAM ユーザーに bedrock:CallWithBearerToken アクションを拒否するポリシーをアタッチします。 キーを使用できない IAM ID に bedrock:CallWithBearerToken アクションを拒否するポリシーをアタッチします。
警告

短期 Amazon Bedrock API キーはセッションの既存の認証情報を使用するため、キーを生成した ID に対する bedrock:CallWithBearerToken アクションを拒否することで、その使用を防ぐことができます。ただし、短期キーの生成を防ぐことはできません。

API キーの生成と使用を制御するポリシーの例

API キーの生成と使用を制御する IAM ポリシーの例については、次のトピックから選択します。

ID により長期キーが生成されたり、Amazon Bedrock API キーが使用されたりするのを防ぐ

IAM ID により長期 Amazon Bedrock API キーが生成されたり、Amazon Bedrock API キーが使用されたりするのを防ぐには、次のポリシーを ID にアタッチします。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
警告

  • 短期キーの生成を防ぐことはできません。

  • このポリシーは、サービス固有の認証情報の作成をサポートするすべての AWS サービスの認証情報の作成を防止します。詳細については、「IAM ユーザーのサービス固有の認証情報」を参照してください。

ID により短期 API キーが使用されるのを防ぐ

IAM ID により短期 Amazon Bedrock API キーが使用されるのを防ぐには、ID に次のポリシーをアタッチします。

ID により長期 API キーが使用されるのを防ぐ

IAM ID により長期 Amazon Bedrock API キーが使用されるのを防ぐには、次のポリシーを ID にアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

ID により短期 API キーが使用されることを明示的に防止する

IAM ID により短期 Amazon Bedrock API キーが使用されることを明示的に防止し、他の API キーの使用を許可するには、次のポリシーを ID にアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

ID により長期 API キーが使用されることを明示的に防止する

IAM ID により長期 Amazon Bedrock API キーが使用されるのを明示的に防止し、他の API キーの使用を許可するには、次のポリシーを ID にアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Amazon Bedrock キーの作成を 90 日以内に期限切れになる場合にのみ許可する

Amazon Bedrock 用であり、かつ有効期限が 90 日以内の場合のみ、IAM ID による長期 API キーの作成を許可するには、次のポリシーを ID にアタッチします。

JSON
{
   "Version":"2012-10-17",		 	 	 		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}