Steuern Sie die Berechtigungen für die Generierung und Verwendung von Amazon Bedrock API-Schlüsseln - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie die Berechtigungen für die Generierung und Verwendung von Amazon Bedrock API-Schlüsseln

Die folgenden IAM-Aktionen steuern die Generierung und Verwendung von Amazon Bedrock API-Schlüsseln:

Warnung

Da ein kurzfristiger Amazon Bedrock API-Schlüssel vorhandene Anmeldeinformationen aus einer Sitzung verwendet, können Sie seine Verwendung verhindern, indem Sie die bedrock:CallWithBearerToken Aktion für die Identität ablehnen, die den Schlüssel generiert hat. Sie können die Generierung eines kurzfristigen Schlüssels jedoch nicht verhindern.

In der folgenden Tabelle wird zusammengefasst, wie verhindert werden kann, dass eine Identität Amazon Bedrock API-Schlüssel generiert oder verwendet:

Zweck Langfristiger Schlüssel Kurzfristiger Schlüssel
Die Generierung von Schlüsseln verhindern Hängen Sie eine Richtlinie, die die iam:CreateServiceSpecificCredential Aktion verweigert, an eine IAM-Identität an. N/A
Die Verwendung eines Schlüssels verhindern Fügen Sie dem IAM-Benutzer, der dem Schlüssel zugeordnet ist, eine Richtlinie an, die die bedrock:CallWithBearerToken Aktion verweigert. Fügen Sie IAM-Identitäten, die den Schlüssel nicht verwenden sollen, eine Richtlinie hinzu, die die bedrock:CallWithBearerToken Aktion verweigert.

Um beispielsweise zu verhindern, dass eine IAM-Identität Amazon Bedrock-API-Schlüssel generiert und verwendet, fügen Sie der Identität die folgende Richtlinie hinzu:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Warnung

Diese Richtlinie verhindert die Erstellung von Anmeldeinformationen für alle AWS Dienste, die die Erstellung dienstspezifischer Anmeldeinformationen unterstützen. Weitere Informationen finden Sie unter Dienstspezifische Anmeldeinformationen für IAM-Benutzer.