處理遭入侵的長期和短期 Amazon Bedrock API 金鑰 - Amazon Bedrock
變更長期 API 金鑰的狀態重設長期 API 金鑰刪除長期 API 金鑰連接 IAM 政策以移除使用 API 金鑰的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

處理遭入侵的長期和短期 Amazon Bedrock API 金鑰

如果您的 API 金鑰遭到入侵,您應該撤銷使用它的許可。您可以使用各種方法來撤銷 Amazon Bedrock API 金鑰的許可:

  • 對於長期 Amazon Bedrock API 金鑰,您可以使用 UpdateServiceSpecificCredentialResetServiceSpecificCredentialDeleteServiceSpecificCredential,以下列方式撤銷許可:

    • 將金鑰的狀態設定為非作用中。您可以稍後重新啟用金鑰。

    • 重設金鑰。此動作會產生金鑰的新密碼。

    • 永久刪除金鑰。

    注意

    若要透過 API 執行這些動作,您必須使用 AWS 登入資料進行驗證,而不是使用 Amazon Bedrock API 金鑰進行驗證。

  • 對於長期和短期 Amazon Bedrock API 金鑰,您可以連接 IAM 政策來撤銷許可。

變更長期 Amazon Bedrock API 金鑰的狀態

如果您需要防止暫時使用金鑰,請將其停用。在您準備好再次使用它之後,請重新啟用它。

選擇您偏好方法的索引標籤,然後遵循下列步驟:

Console
停用金鑰

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台之許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. 長期 API 金鑰區段中,選擇狀態非作用中的金鑰。

  4. 選擇動作

  5. 選取 Deactivate (停用)。

  6. 若要確認,請選取停用 API 金鑰。金鑰的狀態會變成非作用中

重新啟用金鑰

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台之許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. 長期 API 金鑰區段中,選擇狀態非作用中的金鑰。

  4. 選擇動作

  5. 選取啟用

  6. 若要確認,請選取啟用 API 金鑰。金鑰的狀態會變成作用中

Python

若要使用 API 停用金鑰,請使用 IAM 端點傳送 UpdateServiceSpecificCredential 請求,並將 指定StatusInactive。您可以使用下列程式碼片段來停用金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

若要使用 API 重新啟用金鑰,請使用 IAM 端點傳送 UpdateServiceSpecificCredential 請求,並將 指定StatusActive。您可以使用下列程式碼片段來重新啟動金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

重設長期 Amazon Bedrock API 金鑰

如果金鑰的值已洩露或您不再擁有,請將其重設。金鑰必須尚未過期。如果已過期,請刪除金鑰並建立新的金鑰。

選擇您偏好方法的索引標籤,然後遵循下列步驟:

Console
重設金鑰

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台之許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. 長期 API 金鑰區段中,選擇金鑰。

  4. 選擇動作

  5. 選取重設金鑰

  6. 選取下一步

Python

若要使用 API 重設金鑰,請使用 IAM 端點傳送 ResetServiceSpecificCredential 請求。您可以使用下列程式碼片段來重設金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

刪除長期 Amazon Bedrock API 金鑰

如果您不再需要金鑰或金鑰已過期,請將其刪除。

選擇您偏好方法的索引標籤,然後遵循下列步驟:

Console
刪除關鍵點

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台之許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. 長期 API 金鑰區段中,選擇金鑰。

  4. 選擇動作

  5. 選取刪除

  6. 確認刪除。

Python

若要使用 API 刪除金鑰,請傳送 DeleteServiceSpecificCredential 請求與 IAM 端點。您可以使用下列程式碼片段來刪除金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

連接 IAM 政策以移除使用 Amazon Bedrock API 金鑰的許可

本節提供一些 IAM 政策,可用來限制對 Amazon Bedrock API 金鑰的存取。

拒絕使用 Amazon Bedrock API 金鑰進行呼叫的身分

允許身分使用 Amazon Bedrock API 金鑰進行呼叫的動作為 bedrock:CallWithBearerToken。若要防止身分使用 Amazon Bedrock API 金鑰進行呼叫,您可以根據金鑰類型,在身分上連接 IAM 政策:

  • 長期金鑰 – 將政策連接至與金鑰相關聯的 IAM 使用者。

  • 短期金鑰 – 將政策連接至用於產生金鑰的 IAM 角色。

您可以連接到 IAM 身分的 IAM 政策如下所示:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

使 IAM 角色工作階段失效

如果短期金鑰遭到入侵,您可以將用來產生金鑰的角色工作階段失效,以防止其使用。若要使角色工作階段失效,請將下列政策連接至產生金鑰的 IAM 身分。將 2014-05-07T23:47:00Z 取代為您希望工作階段失效的時間。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}