Lidar com chaves de API de longo e curto prazo comprometidas do Amazon Bedrock - Amazon Bedrock
Alterar o status de uma chave de API de longo prazoRedefinir uma chave de API de longo prazoExcluir uma chave de API de longo prazoAnexar políticas do IAM para remover as permissões de uso de uma chave de API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lidar com chaves de API de longo e curto prazo comprometidas do Amazon Bedrock

Se sua chave de API for comprometida, você deverá revogar as permissões para usá-la. Há vários métodos que você pode usar para revogar as permissões de uma chave de API do Amazon Bedrock:

  • Para chaves de API Amazon Bedrock de longo prazo, você pode usar o UpdateServiceSpecificCredentialResetServiceSpecificCredential,, ou DeleteServiceSpecificCredentialpara revogar permissões das seguintes maneiras:

    • Defina o status da chave como inativa. Você poderá reativar a chave posteriormente.

    • Redefina a chave. Essa ação gera uma nova senha para a chave.

    • Exclua a chave permanentemente.

    nota

    Para realizar essas ações por meio da API, você deve se autenticar com AWS credenciais e não com uma chave de API do Amazon Bedrock.

  • Para chaves de API de longo e curto prazo do Amazon Bedrock, você pode anexar políticas do IAM para revogar permissões.

Alterar o status de uma chave de API de longo prazo do Amazon Bedrock

Se você precisar evitar que uma chave seja usada temporariamente, desative-a. Quando estiver tudo pronto para ela ser usada novamente, reative-a.

Escolha a guia correspondente ao método de sua preferência e siga as etapas:

Console
Como desativar uma chave

  1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

  2. No painel de navegação à esquerda, selecione Chaves de API.

  3. Na seção Chaves de API de longo prazo, escolha uma chave cujo status seja inativa.

  4. Escolha Ações.

  5. Selecione Deactivate (Desativar).

  6. Para confirmar, selecione Desativar chave de API. O status da chave se torna inativa.

Como reativar uma chave

  1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

  2. No painel de navegação à esquerda, selecione Chaves de API.

  3. Na seção Chaves de API de longo prazo, escolha uma chave cujo status seja inativa.

  4. Escolha Ações.

  5. Selecione Ativar.

  6. Para confirmar, selecione Ativar chave de API. O status da chave se torna ativa.

Python

Para desativar uma chave usando a API, envie uma UpdateServiceSpecificCredentialsolicitação com um endpoint do IAM e especifique asStatus. Inactive Você pode usar o seguinte trecho de código para desativar uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Para reativar uma chave usando a API, envie uma UpdateServiceSpecificCredentialsolicitação com um endpoint do IAM e especifique asStatus. Active Você pode usar o seguinte trecho de código para reativar uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Redefinir uma chave de API de longo prazo do Amazon Bedrock

Se o valor da chave tiver sido comprometido ou você não a tiver mais, redefina-a. A chave ainda não deve ter expirado. Se ela já tiver expirado, exclua a chave e crie outra.

Escolha a guia correspondente ao método de sua preferência e siga as etapas:

Console
Como redefinir uma chave

  1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

  2. No painel de navegação à esquerda, selecione Chaves de API.

  3. Na seção Chaves de API de longo prazo, escolha uma chave.

  4. Escolha Ações.

  5. Selecione Redefinir chave.

  6. Escolha Próximo.

Python

Para redefinir uma chave usando a API, envie uma ResetServiceSpecificCredentialsolicitação com um endpoint do IAM. Você pode usar o seguinte trecho de código para redefinir uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Excluir uma chave de API de longo prazo do Amazon Bedrock

Se você não precisar mais de uma chave ou ela tiver expirado, exclua-a.

Escolha a guia correspondente ao método de sua preferência e siga as etapas:

Console
Para excluir uma chave

  1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

  2. No painel de navegação à esquerda, selecione Chaves de API.

  3. Na seção Chaves de API de longo prazo, escolha uma chave.

  4. Escolha Ações.

  5. Selecione Excluir.

  6. Confirme a exclusão.

Python

Para excluir uma chave usando a API, envie uma DeleteServiceSpecificCredentialsolicitação com um endpoint do IAM. Você pode usar o seguinte trecho de código para excluir uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Anexar políticas do IAM para remover as permissões de uso de uma chave de API do Amazon Bedrock

Esta seção apresenta algumas políticas do IAM que você pode usar para restringir o acesso ao perfil de uma chave de API do Amazon Bedrock.

Negar a uma identidade a possibilidade de fazer chamadas com uma chave de API do Amazon Bedrock

A ação que permite que uma identidade faça chamadas com uma chave de API do Amazon Bedrock é bedrock:CallWithBearerToken. Para evitar que uma identidade faça chamadas com a chave de API do Amazon Bedrock, você pode anexar uma política do IAM a uma identidade, dependendo do tipo de chave:

  • Chave de longo prazo: anexe a política ao usuário do IAM associado à chave.

  • Chave de curto prazo: anexe a política ao perfil do IAM usado para gerar a chave.

A política do IAM que você pode anexar à identidade do IAM é a seguinte:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalidar sessão de um perfil do IAM

Se uma chave de curto prazo for comprometida, você poderá impedir que ela seja usada invalidando a sessão do perfil usada para gerar a chave. Para invalidar a sessão do perfil, anexe a política a seguir à identidade do IAM que gerou a chave. 2014-05-07T23:47:00ZSubstitua pelo tempo após o qual você deseja que a sessão seja invalidada.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}