侵害された長期および短期の Amazon Bedrock API キーを処理する - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された長期および短期の Amazon Bedrock API キーを処理する

API キーが侵害された場合は、そのキーを使用するためのアクセス許可を取り消す必要があります。Amazon Bedrock API キーのアクセス許可を取り消すには、さまざまな方法があります。

  • 長期 Amazon Bedrock API キーの場合、UpdateServiceSpecificCredentialResetServiceSpecificCredential、または DeleteServiceSpecificCredential を使用して、次の方法でアクセス許可を取り消すことができます。

    • キーのステータスを非アクティブに設定します。キーは後で再アクティブ化できます。

    • キーをリセットします。このアクションは、キーの新しいパスワードを生成します。

    • キーを完全に削除します。

    注記

    API を使用してこれらのアクションを実行するには、Amazon Bedrock API キーではなく AWS 認証情報で認証する必要があります。

  • 長期および短期の Amazon Bedrock API キーの両方について、IAM ポリシーをアタッチしてアクセス許可を取り消すことができます。

長期 Amazon Bedrock API キーのステータスを変更する

任意の方法のタブを選択し、ステップに従います。

Console
キーを非アクティブ化するには
  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. Amazon Bedrock の API キーセクションで、キーを選択します。

  4. [アクション] を選択します。

  5. [Deactivate] (無効化) を選択します。

キーを再アクティブ化するには
  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. Amazon Bedrock の API キーセクションで、キーを選択します。

  4. [アクション] を選択します。

  5. 再アクティブ化を選択します。

Python

API を使用してキーを非アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、 を Statusとして指定しますInactive。次のコードスニペットを使用してキーを非アクティブ化し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3 iam_client = boto3.client("iam") iam_client.update_service_specific_credential( service_specific_credential_id=${ServiceSpecificCredentialId}, status="Inactive" )

API を使用してキーを再アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、 を Statusとして指定しますActive。次のコードスニペットを使用してキーを再アクティブ化し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3 iam_client = boto3.client("iam") iam_client.update_service_specific_credential( service_specific_credential_id=${ServiceSpecificCredentialId}, status="Active" )

長期 Amazon Bedrock API キーをリセットする

任意の方法のタブを選択し、ステップに従います。

Console
キーをリセットするには
  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. Amazon Bedrock の API キーセクションで、キーを選択します。

  4. [アクション] を選択します。

  5. キーのリセットを選択します。

Python

API を使用してキーをリセットするには、IAM エンドポイントを使用して ResetServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーをリセットし、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3 iam_client = boto3.client("iam") iam_client.reset_service_specific_credential( service_specific_credential_id=${ServiceSpecificCredentialId} )

長期 Amazon Bedrock API キーを削除する

任意の方法のタブを選択し、ステップに従います。

Console
キーを削除するには
  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。

  2. 左側のナビゲーションペインで、API キーを選択します。

  3. Amazon Bedrock の API キーセクションで、キーを選択します。

  4. [アクション] を選択します。

  5. [削除] を選択します。

Python

API を使用してキーを削除するには、IAM エンドポイントを使用して DeleteServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーを削除し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。

import boto3 iam_client = boto3.client("iam") iam_client.delete_service_specific_credential( service_specific_credential_id=${ServiceSpecificCredentialId} )

Amazon Bedrock API キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする

このセクションでは、Amazon Bedrock API キーへのアクセスを制限するために使用できるいくつかの IAM ポリシーについて説明します。

Amazon Bedrock API キーを使用して呼び出す機能を ID に拒否する

Amazon Bedrock API キーを使用して呼び出すことを ID に許可するアクションは ですbedrock:CallWithBearerToken。ID が Amazon Bedrock API キーで呼び出しを実行できないようにするには、キーのタイプに応じて ID に IAM ポリシーをアタッチします。

  • 長期キー – キーに関連付けられた IAM ユーザーにポリシーをアタッチします。

  • 短期キー – キーの生成に使用される IAM ロールにポリシーをアタッチします。

IAM ID にアタッチできる IAM ポリシーは次のとおりです。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "bedrock:CallWithBearerToken", "Resource": "*" } }

IAM ロールセッションを無効にする

短期キーが侵害された場合は、キーの生成に使用されたロールセッションを無効にすることで、その使用を防ぐことができます。ロールセッションを無効にするには、キーを生成した IAM ID に次のポリシーをアタッチします。2014-05-07T23:47:00Z をセッションを無効にする時間に置き換えます。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"} } } }