Controlar as permissões para gerar e usar as chaves de API do Amazon Bedrock - Amazon Bedrock
Exemplos de política para controlar a geração e o uso de chaves de API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar as permissões para gerar e usar as chaves de API do Amazon Bedrock

A geração e o uso das chaves de API do Amazon Bedrock são controlados por ações e chaves de condição nos serviços Amazon Bedrock e IAM.

Controlar a geração de chaves de API do Amazon Bedrock

O objetivo: a CreateServiceSpecificCredential ação controla a geração de uma chave específica de serviço (como uma chave de API Amazon Bedrock de longo prazo). Você pode definir o escopo dessa ação para usuários do IAM como um recurso para limitar os usuários para os quais uma chave pode ser gerada.

É possível usar as seguintes chaves de condição para impor condições à permissão para a ação iam:CreateServiceSpecificCredential:

  • iam: ServiceSpecificCredentialAgeDays — Permite especificar, na condição, o tempo de expiração da chave em dias. Por exemplo, é possível usar essa chave de condição para permitir somente a criação de chaves de API que expirem em noventa dias.

  • iam: ServiceSpecificCredentialServiceName — Permite especificar, na condição, o nome de um serviço. Por exemplo, é possível usar essa chave de condição para permitir somente a criação de chaves de API para o Amazon Bedrock e não para outros serviços.

Controlar o uso de chaves de API do Amazon Bedrock

A base: a CallWithBearerToken ação controla o uso de uma chave de API Amazon Bedrock de curto ou longo prazo.

Você pode usar a chave de condição bedrock:bearerTokenType com operadores de condição de string para especificar o tipo de token de portador ao qual aplicar a permissão bedrock:CallWithBearerToken. É possível especificar um dos seguintes valores:

  • SHORT_TERM: especifica chaves de API de curto prazo do Amazon Bedrock na condição.

  • LONG_TERM: especifica chaves de API de longo prazo do Amazon Bedrock na condição.

A seguinte tabela resume como impedir que uma identidade gere ou use as chaves de API do Amazon Bedrock:

Finalidade Chave de longo prazo Chave de curto prazo
Impedir a geração de chaves Anexe uma política que negue a ação iam:CreateServiceSpecificCredential a uma identidade do IAM. N/D
Impedir o uso de uma chave Anexe uma política que negue a ação bedrock:CallWithBearerToken ao usuário do IAM associado à chave. Anexe uma política que negue a ação bedrock:CallWithBearerToken às identidades do IAM que você não quer usem a chave.
Atenção

Como uma chave de API do Amazon Bedrock de curto prazo usa credenciais existentes de uma sessão, é possível impedir o uso negando a ação bedrock:CallWithBearerToken na identidade que gerou a chave. No entanto, não é possível impedir a geração de uma chave de curto prazo.

Exemplos de política para controlar a geração e o uso de chaves de API

Para ver exemplos de política do IAM para controlar a geração e o uso de chaves de API, selecione um dos seguintes tópicos:

Impedir que uma identidade gere chaves de longo prazo e use as chaves de API do Amazon Bedrock

Para evitar que uma identidade do IAM gere chaves de API de longo prazo do Amazon Bedrock e use qualquer chave de API do Amazon Bedrock, anexe a seguinte política à identidade:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Atenção

  • Mão é possível impedir a geração de chaves de curto prazo.

  • Essa política impedirá a criação de credenciais para todos os AWS serviços que oferecem suporte à criação de credenciais específicas do serviço. Para ter mais informações, consulte Credenciais específicas do serviço para usuários do IAM.

Impedir que uma identidade use chaves de API de curto prazo

Para evitar que uma identidade do IAM use chaves de API de curto prazo do Amazon Bedrock, anexe a seguinte política à identidade:

Impedir que uma identidade use chaves de API de longo prazo

Para evitar que uma identidade do IAM use chaves de API de longo prazo do Amazon Bedrock, anexe a seguinte política à identidade:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        }
    ]
}

Impedir explicitamente que uma identidade use chaves de API de curto prazo

Para impedir explicitamente que uma identidade do IAM use chaves de API de curto prazo do Amazon Bedrock, mas permitir o uso de outras chaves de API, anexe a seguinte política à identidade:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "SHORT_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Impedir explicitamente que uma identidade use chaves de API de longo prazo

Para impedir explicitamente que uma identidade do IAM use chaves de API de longo prazo do Amazon Bedrock, mas permitir o uso de outras chaves de API, anexe a seguinte política à identidade:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:bearerTokenType": "LONG_TERM"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "bedrock:CallWithBearerToken",
            "Resource": "*"
        }
    ]
}

Permitir a criação de chaves do Amazon Bedrock somente se elas expirarem dentro de noventa dias

Para permitir que uma identidade do IAM crie uma chave de API de longo prazo somente se for para o Amazon Bedrock e se o prazo de expiração for de noventa dias ou menos, anexe a seguinte política à identidade:

JSON
{
   "Version":"2012-10-17",		 	 	 		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": "iam:CreateServiceSpecificCredential",
           "Resource": "arn:aws:iam::123456789012:user/username",
           "Condition": {
               "StringEquals": {
                   "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
               },
               "NumericLessThanEquals": {
                   "iam:ServiceSpecificCredentialAgeDays": "90"
               }
           }
       }
   ]
}