處理遭入侵的長期和短期 Amazon Bedrock API 金鑰 - Amazon Bedrock
變更長期 API 金鑰的狀態重設長期 API 金鑰刪除長期 API 金鑰連接 IAM 政策以移除使用 API 金鑰的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

處理遭入侵的長期和短期 Amazon Bedrock API 金鑰

如果您的 API 金鑰遭到入侵,您應該撤銷使用該金鑰的許可。您可以使用各種方法來撤銷 Amazon Bedrock API 金鑰的許可:

  • 對於長期 Amazon Bedrock API 金鑰,您可以使用 UpdateServiceSpecificCredentialResetServiceSpecificCredentialDeleteServiceSpecificCredential,以下列方式撤銷許可:

    • 將金鑰的狀態設定為非作用中。您可以稍後重新啟用金鑰。

    • 重設金鑰。此動作會產生金鑰的新密碼。

    • 永久刪除金鑰。

    注意

    若要透過 API 執行這些動作,您必須使用 AWS 登入資料進行身分驗證,而不是使用 Amazon Bedrock API 金鑰進行身分驗證。

  • 對於長期和短期 Amazon Bedrock API 金鑰,您可以連接 IAM 政策來撤銷許可。

變更長期 Amazon Bedrock API 金鑰的狀態

選擇您偏好方法的索引標籤,然後遵循下列步驟:

Console
停用金鑰

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock/ 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. Amazon Bedrock 的 API 金鑰區段中,選擇金鑰。

  4. 選擇動作

  5. 選取 Deactivate (停用)。

重新啟用金鑰

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock/ 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. Amazon Bedrock 的 API 金鑰區段中,選擇金鑰。

  4. 選擇動作

  5. 選取重新啟用

Python

若要使用 API 停用金鑰,請使用 IAM 端點傳送 UpdateServiceSpecificCredential 請求,並將 指定StatusInactive。您可以使用下列程式碼片段來停用金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

若要使用 API 重新啟用金鑰,請使用 IAM 端點傳送 UpdateServiceSpecificCredential 請求,並將 指定StatusActive。您可以使用下列程式碼片段來重新啟動金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

重設長期 Amazon Bedrock API 金鑰

選擇您偏好方法的索引標籤,然後遵循下列步驟:

Console
重設金鑰

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock/ 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. Amazon Bedrock 的 API 金鑰區段中,選擇金鑰。

  4. 選擇動作

  5. 選取重設金鑰

Python

若要使用 API 重設金鑰,請使用 IAM 端點傳送 ResetServiceSpecificCredential 請求。您可以使用下列程式碼片段來重設金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

刪除長期 Amazon Bedrock API 金鑰

選擇您偏好方法的索引標籤,然後遵循下列步驟:

Console
刪除關鍵點

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台許可的 IAM 身分登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock/ 的 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選取 API 金鑰

  3. Amazon Bedrock 的 API 金鑰區段中,選擇金鑰。

  4. 選擇動作

  5. 選取刪除

Python

若要使用 API 刪除金鑰,請傳送 DeleteServiceSpecificCredential 請求與 IAM 端點。您可以使用下列程式碼片段來刪除金鑰,以建立金鑰時傳回的值取代 ${ServiceSpecificCredentialId}

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

連接 IAM 政策以移除使用 Amazon Bedrock API 金鑰的許可

本節提供一些 IAM 政策,可用來限制對 Amazon Bedrock API 金鑰的存取。

拒絕使用 Amazon Bedrock API 金鑰進行呼叫的身分

允許身分使用 Amazon Bedrock API 金鑰進行呼叫的動作為 bedrock:CallWithBearerToken。若要防止身分使用 Amazon Bedrock API 金鑰進行呼叫,您可以根據金鑰類型,在身分上連接 IAM 政策:

  • 長期金鑰 – 將政策連接至與金鑰相關聯的 IAM 使用者。

  • 短期金鑰 – 將政策連接至用於產生金鑰的 IAM 角色。

您可以連接到 IAM 身分的 IAM 政策如下所示:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

使 IAM 角色工作階段失效

如果短期金鑰遭到入侵,您可以透過使用於產生金鑰的角色工作階段失效來防止其使用。若要使角色工作階段失效,請將下列政策連接至產生金鑰的 IAM 身分。將 2014-05-07T23:47:00Z 取代為您希望工作階段失效的時間。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}