Negar acesso a modelos específicos do Amazon Bedrock Restringir o acesso a modelos específicos do Amazon Bedrock Restringir a criação e o uso das chaves de API do Amazon Bedrock Restringir a criação de chaves de API do Amazon Bedrock de longo prazo

Exemplos de SCPs para o Amazon Bedrock

Tópicos

Negar acesso a modelos específicos do Amazon Bedrock
Restringir o acesso a modelos específicos do Amazon Bedrock ou famílias de modelos em toda a organização
Restringir a criação e o uso das chaves de API do Amazon Bedrock
Restringir a criação de chaves de API do Amazon Bedrock de longo prazo válidas por mais de 30 dias

Negar acesso a modelos específicos do Amazon Bedrock

A seguinte política de controle de serviços (SCP) bloqueia o acesso a modelos ou famílias de modelos específicos do Amazon Bedrock em toda a organização. Essa política é útil quando você deseja impedir o uso de determinados modelos que podem não atender aos requisitos de conformidade, custo ou segurança da sua organização.

A política nega todas as ações do Amazon Bedrock para o modelo de fundação especificado. Neste exemplo, a política bloqueia o acesso aos modelos do Deepseek. O curinga (.*) no ARN do recurso corresponde a todas as versões e variantes da família de modelos especificada. Você pode adicionar ARNs de modelo adicionais à matriz Resource para bloquear o acesso a outros modelos, conforme necessário.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyModelAccessEverywhere",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": [
        "arn:aws:bedrock:*:*:foundation-model/deepseek.*"
      ]
    }
  ]
}

Restringir o acesso a modelos específicos do Amazon Bedrock ou famílias de modelos em toda a organização

A seguinte política de controle de serviços (SCP) restringe o acesso de usuários e funções a modelos de base do Amazon Bedrock não aprovados. Essa política nega acesso a todos os modelos do Amazon Bedrock, exceto aqueles que você especifica explicitamente no elemento NotResource.

Para usar essa política, substitua <model-unique-identifier> pelos modelos específicos que você deseja permitir. Por exemplo, use amazon.* para permitir todos os modelos de base da Amazon ou especificar IDs de modelos individuais, como amazon.titan-text-premier-v1:0, para um controle mais granular. Você pode adicionar vários modelos de ARNs à matriz NotResource para permitir o acesso a vários modelos aprovados.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PermittedModels",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "NotResource": [
        "arn:aws:bedrock:*:*:foundation-model/<model-unique-identifier>"
      ]
    }
  ]
}

Restringir a criação e o uso das chaves de API do Amazon Bedrock

A seguinte política de controle de serviços (SCP) restringe os usuários de criar e usar chaves de API de credenciais específicas do serviço do Amazon Bedrock. As chaves de API de credenciais específicas do serviço fornecem acesso programático ao Amazon Bedrock fora da autenticação padrão baseada em perfis do IAM, o que pode criar riscos de segurança se não for gerenciado adequadamente. Essa política bloqueia a criação de novas chaves de API de credenciais específicas do serviço e o uso das existentes.

A política funciona negando duas ações: iam:CreateServiceSpecificCredential impede que os usuários gerem novas chaves de API de credenciais específicas do serviço do Amazon Bedrock, enquanto bedrock:CallWithBearerToken impede o uso de tokens de portador (chaves de API de credenciais específicas do serviço) para autenticar chamadas à API do Amazon Bedrock.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "bedrock:CallWithBearerToken",
      "Resource": "*"
    }
  ]
}

Restringir a criação de chaves de API do Amazon Bedrock de longo prazo válidas por mais de 30 dias

A seguinte política de controle de serviços (SCP) impede que os usuários criem chaves de API de credenciais específicas do serviço Amazon Bedrock de longo prazo que sejam válidas por mais de 30 dias. Ao limitar as chaves de API de credenciais específicas do serviço a 30 dias ou menos, você reduz esse risco e incentiva a rotação regular de credenciais.

A política nega a criação de credenciais específicas do serviço do Amazon Bedrock quando o período de validade solicitado excede 30 dias. A chave de condição iam:ServiceSpecificCredentialAgeDays verifica o tempo de expiração solicitado durante a criação da credencial. Você pode ajustar o limite de 30 dias para corresponder aos requisitos de segurança da sua organização alterando o valor da condição NumericGreaterThanEquals.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        },
        "NumericGreaterThanEquals": {
          "iam:ServiceSpecificCredentialAgeDays": "30"
        }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos gerais

Amazon Q