기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Bedrock API 키 생성 및 사용에 대한 권한 제어
Amazon Bedrock API 키의 생성 및 사용은 Amazon Bedrock 및 IAM 서비스 모두에서 작업 및 조건 키로 제어됩니다.
**Amazon Bedrock API 키 생성 제어**
[iam:CreateServiceSpecificCredential](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html#awsidentityandaccessmanagementiam-actions-as-permissions) 작업은 서비스별 키(예: 장기 Amazon Bedrock API 키)의 생성을 제어합니다. 이 작업의 범위를 리소스인 IAM 사용자로 지정하여 키를 생성할 수 있는 사용자를 제한할 수 있습니다.
다음 조건 키를 사용하여 `iam:CreateServiceSpecificCredential` 작업에 대한 권한에 조건을 적용할 수 있습니다.
+ [iam:ServiceSpecificCredentialAgeDays](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) - 조건에서 키의 만료 시간을 일 단위로 지정할 수 있습니다. 예를 들어, 이 조건 키를 사용하여 90일 이내에 만료되는 API 키의 생성만 허용할 수 있습니다.
+ [iam:ServiceSpecificCredentialServiceName](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) - 조건에서 서비스 이름을 지정할 수 있습니다. 예를 들어, 이 조건 키를 사용하여 다른 서비스가 아닌 Amazon Bedrock에 대한 API 키 생성만 허용할 수 있습니다.
**Amazon Bedrock API 키 사용 제어**
[bedrock:CallWithBearerToken](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) 작업은 단기 또는 장기 Amazon Bedrock API 키의 사용을 제어합니다.
`bedrock:bearerTokenType` 조건 키를 [문자열 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)와 함께 사용하여 `bedrock:CallWithBearerToken`에 대한 권한을 적용할 보유자 토큰 유형을 지정할 수 있습니다. 다음 값 중 하나를 지정할 수 있습니다.
+ `SHORT_TERM` - 조건에 단기 Amazon Bedrock API 키를 지정합니다.
+ `LONG_TERM` - 조건에 장기 Amazon Bedrock API 키를 지정합니다.
다음 표에는 자격 증명이 Amazon Bedrock API 키를 생성하거나 사용하지 못하도록 하는 방법이 요약되어 있습니다.
****
| 용도 | 장기 키 | 단기 키 |
| --- | --- | --- |
| 키 생성 방지 | iam:CreateServiceSpecificCredential 작업을 거부하는 정책을 IAM 자격 증명에 연결합니다. | 해당 사항 없음 |
| 키 사용 방지 | 키와 연결된 IAM 사용자에게 bedrock:CallWithBearerToken 작업을 거부하는 정책을 연결합니다. | 키를 사용하지 않으려는 IAM 자격 증명에 bedrock:CallWithBearerToken 작업을 거부하는 정책을 연결합니다. |
**주의**
단기 Amazon Bedrock API 키는 세션의 기존 자격 증명을 사용하므로, 키를 생성한 자격 증명에 대한 `bedrock:CallWithBearerToken` 작업을 거부하여 사용을 방지할 수 있습니다. 그러나 단기 키의 생성을 방지할 수는 없습니다.
## API 키의 생성 및 사용을 제어하는 정책 예제
가령 API 키의 생성 및 사용을 제어하는 IAM 정책의 경우 다음 주제 중에서 선택하면 됩니다.
**Topics**
+ [자격 증명이 장기 키를 생성하고 Amazon Bedrock API 키를 사용하지 못하도록 방지](#api-keys-permissions-examples-prevent-generation-and-use)
+ [자격 증명이 단기 API 키를 사용하지 못하도록 방지](#api-keys-permissions-examples-prevent-use-short-term)
+ [자격 증명이 장기 API 키를 사용하지 못하도록 방지](#api-keys-permissions-examples-prevent-use-long-term)
+ [자격 증명이 단기 API 키를 사용하지 않도록 명시적으로 방지](#api-keys-permissions-examples-deny-use-short-term-explicitly)
+ [자격 증명이 장기 API 키를 사용하지 않도록 명시적으로 방지](#api-keys-permissions-examples-deny-use-long-term-explicitly)
+ [90일 이내에 만료되는 경우에만 Amazon Bedrock 키 생성 허용](#api-keys-permissions-examples-allow-bedrock-keys-expire-within-90-days)
### 자격 증명이 장기 키를 생성하고 Amazon Bedrock API 키를 사용하지 못하도록 방지
IAM 자격 증명이 장기 Amazon Bedrock API 키를 생성하고 Amazon Bedrock API 키를 사용하지 못하도록 하려면 자격 증명에 다음 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"DenyBedrockShortAndLongTermAPIKeys",
"Effect": "Deny",
"Action": [
"iam:CreateServiceSpecificCredential",
"bedrock:CallWithBearerToken"
],
"Resource": [
"*"
]
}
]
}
```
------
**주의**
단기 키의 생성을 방지할 수는 없습니다.
이 정책은 AWS 서비스별 자격 증명 생성을 지원하는 모든 서비스에 대한 자격 증명 생성을 방지합니다. 자세한 내용은 [IAM 사용자를 위한 서비스별 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_service-specific-creds.html)을 참조하세요.
### 자격 증명이 단기 API 키를 사용하지 못하도록 방지
IAM 자격 증명이 단기 Amazon Bedrock API 키를 사용하지 못하도록 하려면 다음 정책을 자격 증명에 연결합니다.
### 자격 증명이 장기 API 키를 사용하지 못하도록 방지
IAM 자격 증명이 장기 Amazon Bedrock API 키를 사용하지 못하도록 하려면 다음 정책을 자격 증명에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
}
]
}
```
------
### 자격 증명이 단기 API 키를 사용하지 않도록 명시적으로 방지
IAM 자격 증명이 단기 Amazon Bedrock API 키를 사용하지 못하도록 명시적으로 방지하되, 다른 API 키 사용을 허용하려면 다음 정책을 자격 증명에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "SHORT_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### 자격 증명이 장기 API 키를 사용하지 않도록 명시적으로 방지
IAM 자격 증명이 장기 Amazon Bedrock API 키를 사용하지 못하도록 명시적으로 방지하되, 다른 API 키 사용을 허용하려면 다음 정책을 자격 증명에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### 90일 이내에 만료되는 경우에만 Amazon Bedrock 키 생성 허용
Amazon Bedrock용이고 만료 시간이 90일 이하인 경우에만 IAM 자격 증명이 장기 API 키를 생성하도록 허용하려면 자격 증명에 다음 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceSpecificCredential",
"Resource": "arn:aws:iam::123456789012:user/{{username}}",
"Condition": {
"StringEquals": {
"iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
},
"NumericLessThanEquals": {
"iam:ServiceSpecificCredentialAgeDays": "90"
}
}
}
]
}
```
------