Lide com chaves de API Amazon Bedrock comprometidas de longo e curto prazo - Amazon Bedrock
Alterar o status de uma chave de API de longo prazoRedefinir uma chave de API de longo prazoExcluir uma chave de API de longo prazoAnexe políticas do IAM para remover as permissões de uso de uma chave de API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lide com chaves de API Amazon Bedrock comprometidas de longo e curto prazo

Se sua chave de API for comprometida, você deverá revogar as permissões para usá-la. Há vários métodos que você pode usar para revogar as permissões de uma chave de API do Amazon Bedrock:

  • Para chaves de API Amazon Bedrock de longo prazo, você pode usar o UpdateServiceSpecificCredentialResetServiceSpecificCredential,, ou DeleteServiceSpecificCredentialpara revogar permissões das seguintes maneiras:

    • Defina o status da chave como inativa. Você pode reativar a chave mais tarde.

    • Reinicie a chave. Essa ação gera uma nova senha para a chave.

    • Exclua a chave permanentemente.

    nota

    Para realizar essas ações por meio da API, você deve se autenticar com AWS credenciais e não com uma chave de API do Amazon Bedrock.

  • Para chaves de API Amazon Bedrock de longo e curto prazo, você pode anexar políticas do IAM para revogar permissões.

Alterar o status de uma chave de API Amazon Bedrock de longo prazo

Escolha a guia do seu método preferido e siga as etapas:

Console
Para desativar uma chave

  1. Faça login no AWS Management Console com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock/.

  2. No painel de navegação esquerdo, selecione Chaves de API.

  3. Na seção Chaves de API para Amazon Bedrock, escolha uma chave.

  4. Escolha Ações.

  5. Selecione Deactivate (Desativar).

Para reativar uma chave

  1. Faça login no AWS Management Console com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock/.

  2. No painel de navegação esquerdo, selecione Chaves de API.

  3. Na seção Chaves de API para Amazon Bedrock, escolha uma chave.

  4. Escolha Ações.

  5. Selecione Reativar.

Python

Para desativar uma chave usando a API, envie uma UpdateServiceSpecificCredentialsolicitação com um endpoint do IAM e especifique asStatus. Inactive Você pode usar o seguinte trecho de código para desativar uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Para reativar uma chave usando a API, envie uma UpdateServiceSpecificCredentialsolicitação com um endpoint do IAM e especifique asStatus. Active Você pode usar o seguinte trecho de código para reativar uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Redefinir uma chave de API Amazon Bedrock de longo prazo

Escolha a guia do seu método preferido e siga as etapas:

Console
Para redefinir uma chave

  1. Faça login no AWS Management Console com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock/.

  2. No painel de navegação esquerdo, selecione Chaves de API.

  3. Na seção Chaves de API para Amazon Bedrock, escolha uma chave.

  4. Escolha Ações.

  5. Selecione Redefinir chave.

Python

Para redefinir uma chave usando a API, envie uma ResetServiceSpecificCredentialsolicitação com um endpoint do IAM. Você pode usar o seguinte trecho de código para redefinir uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Excluir uma chave de API Amazon Bedrock de longo prazo

Escolha a guia do seu método preferido e siga as etapas:

Console
Para excluir uma chave

  1. Faça login no AWS Management Console com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock/.

  2. No painel de navegação esquerdo, selecione Chaves de API.

  3. Na seção Chaves de API para Amazon Bedrock, escolha uma chave.

  4. Escolha Ações.

  5. Selecione Excluir.

Python

Para excluir uma chave usando a API, envie uma DeleteServiceSpecificCredentialsolicitação com um endpoint do IAM. Você pode usar o seguinte trecho de código para excluir uma chave, ${ServiceSpecificCredentialId} substituindo-a pelo valor retornado quando você criou a chave.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Anexe políticas do IAM para remover as permissões de uso de uma chave de API do Amazon Bedrock

Esta seção fornece algumas políticas do IAM que você pode usar para restringir o acesso a uma chave de API do Amazon Bedrock.

Negar a uma identidade a capacidade de fazer chamadas com uma chave de API do Amazon Bedrock

A ação que permite que uma identidade faça chamadas com uma chave de API do Amazon Bedrock ébedrock:CallWithBearerToken. Para evitar que uma identidade faça chamadas com a chave de API do Amazon Bedrock, você pode anexar uma política do IAM a uma identidade, dependendo do tipo de chave:

  • Chave de longo prazo — anexe a política ao usuário do IAM associado à chave.

  • Chave de curto prazo — anexe a política à função do IAM usada para gerar a chave.

A política do IAM que você pode anexar à identidade do IAM é a seguinte:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Invalidar uma sessão de função do IAM

Se uma chave de curto prazo for comprometida, você poderá impedir seu uso invalidando a sessão de função usada para gerar a chave. Para invalidar a sessão de função, anexe a política a seguir à identidade do IAM que gerou a chave. 2014-05-07T23:47:00ZSubstitua pelo tempo após o qual você deseja que a sessão seja invalidada.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}