翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Bedrock API キーを生成して使用するためのアクセス許可を制御する
Amazon Bedrock API キーの生成と使用は、Amazon Bedrock サービスと IAM サービスの両方でアクションと条件キーによって制御されます。
Amazon Bedrock API キーの生成の制御
iam:CreateServiceSpecificCredential アクションは、サービス固有のキー (長期的な Amazon Bedrock API キーなど) の生成を制御します。このアクションをリソースとして IAM ユーザーに限定して、キーを生成できるユーザーを制限できます。
次の条件キーを使用して、 iam:CreateServiceSpecificCredentialアクションの アクセス許可に条件を課すことができます。
-
iam:ServiceSpecificCredentialAgeDays – 条件でキーの有効期限を日数で指定できます。たとえば、この条件キーを使用して、90 日以内に期限切れになる API キーの作成のみを許可できます。
-
iam:ServiceSpecificCredentialServiceName – 条件でサービスの名前を指定できます。例えば、この条件キーを使用して Amazon Bedrock の API キーの作成のみを許可し、他のサービスの作成は許可しません。
Amazon Bedrock API キーの使用の制御
bedrock:CallWithBearerToken アクションは、短期または長期の Amazon Bedrock API キーの使用を制御します。
bedrock:bearerTokenType 条件キーを文字列条件演算子とともに使用して、 のアクセス許可を適用するベアラートークンのタイプを指定できますbedrock:CallWithBearerToken。次のいずれかの値を指定できます。
-
SHORT_TERM– 条件に短期 Amazon Bedrock API キーを指定します。 -
LONG_TERM– 条件で長期的な Amazon Bedrock API キーを指定します。
次の表は、ID が Amazon Bedrock API キーを生成または使用しないようにする方法をまとめたものです。
| 目的 | 長期キー | 短期キー |
|---|---|---|
| キーの生成を防ぐ | iam:CreateServiceSpecificCredential アクションを拒否するポリシーを IAM アイデンティティにアタッチします。 |
該当なし |
| キーの使用を防止する | キーに関連付けられた IAM ユーザーにbedrock:CallWithBearerTokenアクションを拒否するポリシーをアタッチします。 |
キーを使用できない IAM ID にbedrock:CallWithBearerTokenアクションを拒否するポリシーをアタッチします。 |
警告
短期 Amazon Bedrock API キーはセッションの既存の認証情報を使用するため、キーを生成した ID に対する bedrock:CallWithBearerTokenアクションを拒否することで、その使用を防ぐことができます。ただし、短期キーの生成を防ぐことはできません。
API キーの生成と使用を制御するポリシーの例
API キーの生成と使用を制御する IAM ポリシーの例については、次のトピックから選択します。
トピック
ID が長期キーを生成したり、Amazon Bedrock API キーを使用したりしないようにする
IAM アイデンティティが長期的な Amazon Bedrock API キーを生成したり、Amazon Bedrock API キーを使用したりしないようにするには、次のポリシーをアイデンティティにアタッチします。
警告
-
短期キーの生成を防ぐことはできません。
-
このポリシーは、 AWS サービス固有の認証情報の作成をサポートするすべてのサービスの認証情報の作成を防止します。詳細については、「IAM ユーザーのサービス固有の認証情報」を参照してください。
ID が短期 API キーを使用しないようにする
IAM ID が短期的な Amazon Bedrock API キーを使用しないようにするには、ID に次のポリシーをアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:CallWithBearerToken", "Resource": "*", "Condition": { "StringEquals": { "bedrock:bearerTokenType": "SHORT_TERM" } } } }
ID が長期 API キーを使用しないようにする
IAM アイデンティティが長期的な Amazon Bedrock API キーを使用しないようにするには、次のポリシーをアイデンティティにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:CallWithBearerToken", "Resource": "*", "Condition": { "StringEquals": { "bedrock:bearerTokenType": "LONG_TERM" } } } ] }
ID が短期 API キーを使用することを明示的に防止する
IAM アイデンティティが短期的な Amazon Bedrock API キーを使用することを明示的に禁止し、他の API キーの使用を許可するには、次のポリシーをアイデンティティにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:CallWithBearerToken", "Resource": "*", "Condition": { "StringEquals": { "bedrock:bearerTokenType": "SHORT_TERM" } } }, { "Effect": "Allow", "Action": "bedrock:CallWithBearerToken", "Resource": "*" } ] }
アイデンティティが長期的な API キーを使用することを明示的に防止する
IAM アイデンティティが長期的な Amazon Bedrock API キーを使用することを明示的に禁止し、他の API キーの使用を許可するには、次のポリシーをアイデンティティにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:CallWithBearerToken", "Resource": "*", "Condition": { "StringEquals": { "bedrock:bearerTokenType": "LONG_TERM" } } }, { "Effect": "Allow", "Action": "bedrock:CallWithBearerToken", "Resource": "*" } ] }
Amazon Bedrock キーの作成は、90 日以内に期限切れになる場合にのみ許可する
Amazon Bedrock 用で有効期限が 90 日以下の場合にのみ、IAM アイデンティティが長期 API キーを作成できるようにするには、次のポリシーをアイデンティティにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceSpecificCredential", "Resource": "arn:aws:iam::123456789012:user/username", "Condition": { "StringEquals": { "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com" }, "NumericLessThanEquals": { "iam:ServiceSpecificCredentialAgeDays": "90" } } } ] }
