Amazon Bedrock 的示例 SCP - AWS Organizations
拒绝访问特定 Amazon Bedrock 模型限制访问特定 Amazon Bedrock 模型限制创建和使用 Amazon Bedrock API 密钥限制创建长期 Amazon Bedrock API 密钥

Amazon Bedrock 的示例 SCP

拒绝访问特定 Amazon Bedrock 模型

以下服务控制策略(SCP)将屏蔽对整个组织内特定 Amazon Bedrock 模型或模型系列的访问权限。当您想要防止使用某些可能不符合组织合规性、成本或安全性要求的模型时,此策略非常有用。

此策略拒绝对指定基础模型执行所有 Amazon Bedrock 操作。在此示例中,该策略会屏蔽对 Deepseek 模型的访问权限。资源 ARN 中的通配符 (.*) 匹配指定模型系列的所有版本和变体。您可以根据需要向 Resource 数组添加其他模型 ARN,以屏蔽对其他模型的访问权限。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyModelAccessEverywhere",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": [
        "arn:aws:bedrock:*:*:foundation-model/deepseek.*"
      ]
    }
  ]
}

限制访问整个组织内特定 Amazon Bedrock 模型或模型系列

以下服务控制策略(SCP)可限制用户和角色访问未经批准的 Amazon Bedrock 基础模型。此策略可拒绝访问所有 Amazon Bedrock 模型,但您在 NotResource 元素中明确指定的模型除外。

要使用此策略,请将 <model-unique-identifier> 替换为要允许的特定模型。例如,使用 amazon.* 以允许所有 Amazon 基础模型,或者指定单个模型 ID(如 amazon.titan-text-premier-v1:0)以便进行更精细的控制。您可以向 NotResource 数组添加多个模型 ARN,以允许访问多个已批准的模型。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PermittedModels",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "NotResource": [
        "arn:aws:bedrock:*:*:foundation-model/<model-unique-identifier>"
      ]
    }
  ]
}

限制创建和使用 Amazon Bedrock API 密钥

以下服务控制策略(SCP)可限制用户创建和使用 Amazon Bedrock 服务特定凭证 API 密钥。服务特定凭证 API 密钥可在基于 IAM 角色的标准身份验证之外以编程方式访问 Amazon Bedrock,如果管理不当,可能会带来安全风险。此策略可同时阻止创建新的服务特定凭证 API 密钥和使用现有密钥。

此策略通过拒绝两个操作来起作用:iam:CreateServiceSpecificCredential 可阻止用户生成新的 Amazon Bedrock 服务特定凭证 API 密钥,而 bedrock:CallWithBearerToken 可阻止使用持有者令牌(服务特定凭证 API 密钥)来对 Amazon Bedrock API 调用进行身份验证。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "bedrock:CallWithBearerToken",
      "Resource": "*"
    }
  ]
}

限制创建有效期超过 30 天的长期 Amazon Bedrock API 密钥

以下服务控制策略(SCP)可限制用户创建有效期超过 30 天的长期 Amazon Bedrock 服务特定凭证 API 密钥。通过将服务特定凭证 API 密钥的有效期限制在 30 天或更短的时间内,可以降低这种风险并鼓励定期轮换凭证。

当请求的有效期超过 30 天时,此策略会拒绝创建 Amazon Bedrock 服务特定凭证。在凭证创建期间,iam:ServiceSpecificCredentialAgeDays 条件键会检查请求的到期时间。您可以通过更改 NumericGreaterThanEquals 条件中的值来调整 30 天的限制,以符合组织的安全要求。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        },
        "NumericGreaterThanEquals": {
          "iam:ServiceSpecificCredentialAgeDays": "30"
        }
      }
    }
  ]
}