侵害された長期および短期の Amazon Bedrock API キーを処理する - Amazon Bedrock
長期 API キーのステータスを変更する長期 API キーのリセット長期 API キーを削除するAPI キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された長期および短期の Amazon Bedrock API キーを処理する

API キーが侵害された場合は、そのキーを使用するためのアクセス許可を取り消す必要があります。Amazon Bedrock API キーのアクセス許可を取り消すには、さまざまな方法があります。

  • 長期 Amazon Bedrock API キーの場合、UpdateServiceSpecificCredentialResetServiceSpecificCredential、または DeleteServiceSpecificCredential を使用して、次の方法でアクセス許可を取り消すことができます。

    • キーのステータスを非アクティブに設定します。キーは後で再アクティブ化できます。

    • キーをリセットします。このアクションは、キーの新しいパスワードを生成します。

    • キーを完全に削除します。

    注記

    API を使用してこれらのアクションを実行するには、Amazon Bedrock API キーではなく AWS 認証情報で認証する必要があります。

  • 長期および短期の Amazon Bedrock API キーの両方について、IAM ポリシーをアタッチしてアクセス許可を取り消すことができます。

長期 Amazon Bedrock API キーのステータスを変更する

キーが一時的に使用されないようにする必要がある場合は、無効にします。再度使用する準備ができたら、再度アクティブ化します。

任意の方法のタブを選択し、ステップに従います。

Console
キーを非アクティブ化するには

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID the console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. 長期 API キーセクションで、ステータス非アクティブであるキーを選択します。

  4. [アクション] を選択します。

  5. [Deactivate] (無効化) を選択します。

  6. 確認するには、API キーの非アクティブ化を選択します。キーのステータス非アクティブになります。

キーを再アクティブ化するには

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID the console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. 長期 API キーセクションで、ステータス非アクティブであるキーを選択します。

  4. [アクション] を選択します。

  5. [アクティブ化] を選択します。

  6. 確認するには、API キーのアクティブ化を選択します。キーのステータスアクティブになります。

Python

API を使用してキーを非アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、 を Statusとして指定しますInactive。次のコードスニペットを使用してキーを非アクティブ化し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

API を使用してキーを再アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、 を Statusとして指定しますActive。次のコードスニペットを使用してキーを再アクティブ化し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

長期 Amazon Bedrock API キーをリセットする

キーの値が侵害されたか、使用できなくなった場合は、リセットします。キーはまだ有効期限切れであってはなりません。すでに有効期限が切れている場合は、キーを削除して新しいキーを作成します。

任意の方法のタブを選択し、ステップに従います。

Console
キーをリセットするには

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID the console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. 長期 API キーセクションで、キーを選択します。

  4. [アクション] を選択します。

  5. キーのリセットを選択します。

  6. [次へ] を選択してください。

Python

API を使用してキーをリセットするには、IAM エンドポイントを使用して ResetServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーをリセットし、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

長期 Amazon Bedrock API キーを削除する

キーが不要になった場合、またはキーの有効期限が切れている場合は、キーを削除します。

任意の方法のタブを選択し、ステップに従います。

Console
キーを削除するには

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID the console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. 長期 API キーセクションで、キーを選択します。

  4. [アクション] を選択します。

  5. [削除] を選択します。

  6. 削除を確定します。

Python

API を使用してキーを削除するには、IAM エンドポイントを使用して DeleteServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーを削除し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Amazon Bedrock API キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする

このセクションでは、Amazon Bedrock API キーへのアクセスを制限するために使用できるいくつかの IAM ポリシーについて説明します。

Amazon Bedrock API キーを使用して呼び出す機能を ID に拒否する

Amazon Bedrock API キーを使用して呼び出すことを ID に許可するアクションは ですbedrock:CallWithBearerToken。Amazon Bedrock API キーを使用して ID が呼び出されないようにするには、キーのタイプに応じて ID に IAM ポリシーをアタッチします。

  • 長期キー – キーに関連付けられた IAM ユーザーにポリシーをアタッチします。

  • 短期キー – キーの生成に使用される IAM ロールにポリシーをアタッチします。

IAM ID にアタッチできる IAM ポリシーは次のとおりです。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

IAM ロールセッションを無効にする

短期キーが侵害された場合は、キーの生成に使用されたロールセッションを無効にすることで、その使用を防ぐことができます。ロールセッションを無効にするには、キーを生成した IAM ID に次のポリシーをアタッチします。2014-05-07T23:47:00Z をセッションを無効にする時間に置き換えます。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}