손상된 장기 및 단기 Amazon Bedrock API 키 처리 - Amazon Bedrock
장기 API 키의 상태 변경장기 API 키 재설정장기 API 키 삭제IAM 정책을 연결하여 API 키 사용 권한 제거

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

손상된 장기 및 단기 Amazon Bedrock API 키 처리

API 키가 손상되면 API 키 사용 권한을 취소해야 합니다. 다양한 방법으로 Amazon Bedrock API 키에 대한 권한을 취소할 수 있습니다.

  • 장기 Amazon Bedrock API 키의 경우 UpdateServiceSpecificCredential, ResetServiceSpecificCredential 또는 DeleteServiceSpecificCredential을 사용하여 다음과 같은 방법으로 권한을 취소할 수 있습니다.

    • 키의 상태를 비활성으로 설정합니다. 나중에 키를 다시 활성화할 수 있습니다.

    • 키를 재설정합니다. 이 작업은 키에 대한 새 암호를 생성합니다.

    • 키를 영구적으로 삭제합니다.

    참고

    API를 통해 이러한 작업을 수행하려면 Amazon Bedrock API 키가 아닌 AWS자격 증명으로 인증해야 합니다.

  • 장기 및 단기 Amazon Bedrock API 키 모두에 대해 IAM 정책을 연결하여 권한을 취소할 수 있습니다.

장기 Amazon Bedrock API 키의 상태 변경

키가 일시적으로 사용되지 않도록 해야 하는 경우 비활성화합니다. 다시 사용할 준비가 되면 재활성화합니다.

원하는 방법의 탭을 선택한 후 다음 단계를 따릅니다.

Console
키를 비활성화하려면

  1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명AWS Management 콘솔으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock에서 Amazon Bedrock 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 API 키를 선택합니다.

  3. 장기 API 키 섹션에서 상태비활성인 키를 선택합니다.

  4. 작업을 선택합니다.

  5. Deactivate(비활성화)를 선택합니다.

  6. 확인하려면 API 키 비활성화를 선택합니다. 키의 상태비활성이 됩니다.

키를 다시 활성화하려면

  1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명AWS Management 콘솔으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock에서 Amazon Bedrock 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 API 키를 선택합니다.

  3. 장기 API 키 섹션에서 상태비활성인 키를 선택합니다.

  4. 작업을 선택합니다.

  5. 활성화를 선택합니다.

  6. 확인하려면 API 키 활성화를 선택합니다. 키의 상태활성이 됩니다.

Python

API를 사용하여 키를 비활성화하려면 IAM 엔드포인트를 사용하여 UpdateServiceSpecificCredential 요청을 보내고 StatusInactive로 지정합니다. 다음 코드 조각을 통해 ${ServiceSpecificCredentialId}를 키 생성 시 반환된 값으로 바꾸어 키를 비활성화할 수 있습니다.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

API를 사용하여 키를 재활성화하려면 IAM 엔드포인트를 사용하여 UpdateServiceSpecificCredential 요청을 보내고 StatusActive로 지정합니다. 다음 코드 조각을 통해 ${ServiceSpecificCredentialId}를 키 생성 시 반환된 값으로 바꾸어 키를 다시 활성화할 수 있습니다.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

장기 Amazon Bedrock API 키 재설정

키 값이 손상되었거나 키 값이 더 이상 없는 경우 재설정합니다. 키가 아직 만료되지 않았어야 합니다. 이미 만료된 경우 키를 삭제하고 새 키를 생성합니다.

원하는 방법의 탭을 선택한 후 다음 단계를 따릅니다.

Console
키를 재설정하려면

  1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명AWS Management 콘솔으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock에서 Amazon Bedrock 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 API 키를 선택합니다.

  3. 장기 API 키 섹션에서 키를 선택합니다.

  4. 작업을 선택합니다.

  5. 키 재설정을 선택합니다.

  6. 다음을 선택합니다.

Python

API를 사용하여 키를 재설정하려면 IAM 엔드포인트를 사용하여 ResetServiceSpecificCredential 요청을 전송합니다. 다음 코드 조각을 통해 ${ServiceSpecificCredentialId}를 키 생성 시 반환된 값으로 바꾸어 키를 재설정할 수 있습니다.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

장기 Amazon Bedrock API 키 삭제

키가 더 이상 필요하지 않거나 만료된 경우 삭제합니다.

원하는 방법의 탭을 선택한 후 다음 단계를 따릅니다.

Console
키 삭제

  1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명AWS Management 콘솔으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock에서 Amazon Bedrock 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 API 키를 선택합니다.

  3. 장기 API 키 섹션에서 키를 선택합니다.

  4. 작업을 선택합니다.

  5. 삭제를 선택합니다.

  6. 삭제를 확인합니다.

Python

API를 사용하여 키를 삭제하려면 IAM 엔드포인트를 사용하여 DeleteServiceSpecificCredential 요청을 보냅니다. 다음 코드 조각을 통해 ${ServiceSpecificCredentialId}를 키 생성 시 반환된 값으로 바꾸어 키를 삭제할 수 있습니다.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

IAM 정책을 연결하여 Amazon Bedrock API 키 사용 권한 제거

이 섹션에서는 Amazon Bedrock API 키에 대한 액세스를 제한하는 데 사용할 수 있는 몇 가지 IAM 정책을 제공합니다.

자격 증명의 Amazon Bedrock API 키를 사용한 직접 호출 기능 거부

자격 증명이 Amazon Bedrock API 키를 사용하여 직접 호출할 수 있도록 허용하는 작업은 bedrock:CallWithBearerToken입니다. 자격 증명이 Amazon Bedrock API 키를 사용하여 직접 호출하지 못하도록 하려면 키 유형에 따라 자격 증명에 IAM 정책을 연결할 수 있습니다.

  • 장기 키 - 정책을 키와 연결된 IAM 사용자에게 연결합니다.

  • 단기 키 - 키를 생성하는 데 사용된 IAM 역할에 정책을 연결합니다.

IAM 자격 증명에 연결할 수 있는 IAM 정책은 다음과 같습니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

IAM 역할 세션 무효화

단기 키가 손상되면 키를 생성하는 데 사용된 역할 세션을 무효화하여 사용을 방지할 수 있습니다. 역할 세션을 무효화하려면 키를 생성한 IAM 자격 증명에 다음 정책을 연결합니다. 2014-05-07T23:47:00Z를 세션을 무효화하려는 시간으로 바꿉니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}