Mengontrol izin untuk membuat dan menggunakan kunci Amazon Bedrock API - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol izin untuk membuat dan menggunakan kunci Amazon Bedrock API

Tindakan IAM berikut mengontrol pembuatan dan penggunaan kunci Amazon Bedrock API:

Awas

Karena kunci Amazon Bedrock API jangka pendek menggunakan kredensi yang ada dari sesi, Anda dapat mencegah penggunaannya dengan menolak bedrock:CallWithBearerToken tindakan pada identitas yang menghasilkan kunci. Namun, Anda tidak dapat mencegah pembuatan kunci jangka pendek.

Tabel berikut merangkum cara mencegah identitas menghasilkan atau menggunakan kunci Amazon Bedrock API:

Tujuan Kunci jangka panjang Kunci jangka pendek
Cegah pembuatan kunci Lampirkan kebijakan yang menyangkal iam:CreateServiceSpecificCredential tindakan ke identitas IAM. N/A
Mencegah penggunaan kunci Lampirkan kebijakan yang menolak bedrock:CallWithBearerToken tindakan tersebut ke pengguna IAM yang terkait dengan kunci tersebut. Lampirkan kebijakan yang menolak bedrock:CallWithBearerToken tindakan ke identitas IAM yang Anda tidak ingin dapat menggunakan kunci tersebut.

Misalnya, untuk mencegah identitas IAM menghasilkan dan menggunakan kunci Amazon Bedrock API, lampirkan kebijakan berikut ke identitas:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Awas

Kebijakan ini akan mencegah pembuatan kredensi untuk semua AWS layanan yang mendukung pembuatan kredensi khusus layanan. Untuk informasi selengkapnya, lihat Kredensial khusus layanan untuk pengguna IAM.