Controle as permissões para gerar e usar as chaves de API do Amazon Bedrock - Amazon Bedrock
Exemplos de políticas para controlar a geração e o uso de chaves de API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle as permissões para gerar e usar as chaves de API do Amazon Bedrock

A geração e o uso das chaves de API do Amazon Bedrock são controlados por ações e chaves de condição nos serviços Amazon Bedrock e IAM.

Controle da geração de chaves de API do Amazon Bedrock

O objetivo: a CreateServiceSpecificCredential ação controla a geração de uma chave específica de serviço (como uma chave de API Amazon Bedrock de longo prazo). Você pode definir o escopo dessa ação para usuários do IAM como um recurso para limitar os usuários para os quais uma chave pode ser gerada.

Você pode usar as seguintes chaves de condição para impor condições à permissão para a iam:CreateServiceSpecificCredential ação:

  • iam: ServiceSpecificCredentialAgeDays — Permite especificar, na condição, o tempo de expiração da chave em dias. Por exemplo, você pode usar essa chave de condição para permitir somente a criação de chaves de API que expiram em 90 dias.

  • iam: ServiceSpecificCredentialServiceName — Permite especificar, na condição, o nome de um serviço. Por exemplo, você pode usar essa chave de condição para permitir somente a criação de chaves de API para o Amazon Bedrock e não para outros serviços.

Controle do uso das chaves de API do Amazon Bedrock

A base: a CallWithBearerToken ação controla o uso de uma chave de API Amazon Bedrock de curto ou longo prazo.

Você pode usar a chave de bedrock:bearerTokenType condição com operadores de condição de string para especificar o tipo de token portador ao qual aplicar a permissão. bedrock:CallWithBearerToken Você pode especificar um dos seguintes valores:

  • SHORT_TERM— Especifica chaves de API Amazon Bedrock de curto prazo na condição.

  • LONG_TERM— Especifica as chaves de API do Amazon Bedrock de longo prazo na condição.

A tabela a seguir resume como impedir que uma identidade gere ou use as chaves de API do Amazon Bedrock:

Finalidade Chave de longo prazo Chave de curto prazo
Impedir a geração de chaves Anexe uma política que negue a iam:CreateServiceSpecificCredential ação a uma identidade do IAM. N/D
Impedir o uso de uma chave Anexe uma política que negue a bedrock:CallWithBearerToken ação ao usuário do IAM associado à chave. Anexe uma política que negue a bedrock:CallWithBearerToken ação às identidades do IAM que você não quer que possam usar a chave.
Atenção

Como uma chave de API Amazon Bedrock de curto prazo usa credenciais existentes de uma sessão, você pode impedir seu uso negando a bedrock:CallWithBearerToken ação na identidade que gerou a chave. No entanto, você não pode impedir a geração de uma chave de curto prazo.

Exemplos de políticas para controlar a geração e o uso de chaves de API

Por exemplo, políticas do IAM para controlar a geração e o uso de chaves de API, selecione um dos tópicos a seguir:

Impeça que uma identidade gere chaves de longo prazo e use as chaves de API do Amazon Bedrock

Para evitar que uma identidade do IAM gere chaves de API do Amazon Bedrock de longo prazo e use qualquer chave de API do Amazon Bedrock, anexe a seguinte política à identidade:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Atenção

  • Você não pode impedir a geração de chaves de curto prazo.

  • Essa política impedirá a criação de credenciais para todos os AWS serviços que oferecem suporte à criação de credenciais específicas do serviço. Para obter mais informações, consulte Credenciais específicas do serviço para usuários do IAM.

Impedir que uma identidade use chaves de API de curto prazo

Para evitar que uma identidade do IAM use chaves de API de curto prazo do Amazon Bedrock, anexe a seguinte política à identidade:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        }
}

Impedir que uma identidade use chaves de API de longo prazo

Para evitar que uma identidade do IAM use chaves de API do Amazon Bedrock de longo prazo, anexe a seguinte política à identidade:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Impedir explicitamente que uma identidade use chaves de API de curto prazo

Para impedir explicitamente que uma identidade do IAM use chaves de API do Amazon Bedrock de curto prazo, mas permitir o uso de outras chaves de API, anexe a seguinte política à identidade:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Impedir explicitamente que uma identidade use chaves de API de longo prazo

Para impedir explicitamente que uma identidade do IAM use chaves de API do Amazon Bedrock de longo prazo, mas permitir o uso de outras chaves de API, anexe a seguinte política à identidade:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Permita a criação de chaves Amazon Bedrock somente se elas expirarem dentro de 90 dias

Para permitir que uma identidade do IAM crie uma chave de API de longo prazo somente se for para o Amazon Bedrock e se o prazo de expiração for de 90 dias ou menos, anexe a seguinte política à identidade:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}