Contrôlez les autorisations pour générer et utiliser les clés d'API Amazon Bedrock - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez les autorisations pour générer et utiliser les clés d'API Amazon Bedrock

Les actions IAM suivantes contrôlent la génération et l'utilisation des clés d'API Amazon Bedrock :

Avertissement

Dans la mesure où une clé d'API Amazon Bedrock à court terme utilise les informations d'identification existantes d'une session, vous pouvez empêcher son utilisation en refusant bedrock:CallWithBearerToken d'agir sur l'identité qui a généré la clé. Cependant, vous ne pouvez pas empêcher la génération d'une clé à court terme.

Le tableau suivant explique comment empêcher une identité de générer ou d'utiliser des clés d'API Amazon Bedrock :

Objectif Clé à long terme Clé à court terme
Empêcher la génération de clés Associez une politique qui refuse l'iam:CreateServiceSpecificCredentialaction à une identité IAM. N/A
Empêcher l'utilisation d'une clé Joignez une politique qui refuse l'bedrock:CallWithBearerTokenaction à l'utilisateur IAM associé à la clé. Associez une politique qui refuse l'bedrock:CallWithBearerTokenaction aux identités IAM dont vous ne souhaitez pas qu'elles puissent utiliser la clé.

Par exemple, pour empêcher une identité IAM de générer et d'utiliser des clés d'API Amazon Bedrock, associez la politique suivante à l'identité :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Avertissement

Cette politique empêchera la création d'informations d'identification pour tous les AWS services qui prennent en charge la création d'informations d'identification spécifiques à un service. Pour plus d'informations, consultez la section Informations d'identification spécifiques au service pour les utilisateurs IAM.