Menangani kunci API Amazon Bedrock jangka panjang dan jangka pendek yang dikompromikan - Amazon Bedrock
Mengubah status kunci API jangka panjangSetel ulang kunci API jangka panjangHapus kunci API jangka panjangLampirkan kebijakan IAM untuk menghapus izin penggunaan kunci API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menangani kunci API Amazon Bedrock jangka panjang dan jangka pendek yang dikompromikan

Jika kunci API Anda dikompromikan, Anda harus mencabut izin untuk menggunakannya. Ada berbagai metode yang dapat Anda gunakan untuk mencabut izin untuk kunci Amazon Bedrock API:

  • Untuk kunci Amazon Bedrock API jangka panjang, Anda dapat menggunakan UpdateServiceSpecificCredential, ResetServiceSpecificCredential, atau DeleteServiceSpecificCredentialmencabut izin dengan cara berikut:

    • Atur status kunci menjadi tidak aktif. Anda dapat mengaktifkan kembali kunci nanti.

    • Setel ulang kuncinya. Tindakan ini menghasilkan kata sandi baru untuk kunci tersebut.

    • Hapus kunci secara permanen.

    catatan

    Untuk melakukan tindakan ini melalui API, Anda harus mengautentikasi dengan AWS kredensi dan bukan dengan kunci Amazon Bedrock API.

  • Untuk kunci API Amazon Bedrock jangka panjang dan jangka pendek, Anda dapat melampirkan kebijakan IAM untuk mencabut izin.

Ubah status kunci API Amazon Bedrock jangka panjang

Pilih tab untuk metode pilihan Anda, lalu ikuti langkah-langkahnya:

Console
Untuk menonaktifkan kunci

  1. Masuk ke AWS Management Console dengan prinsipal IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock/.

  2. Di panel navigasi kiri, pilih kunci API.

  3. Di bagian Kunci API untuk Amazon Bedrock, pilih kunci.

  4. Pilih Tindakan.

  5. Pilih Nonaktifkan.

Untuk mengaktifkan kembali kunci

  1. Masuk ke AWS Management Console dengan prinsipal IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock/.

  2. Di panel navigasi kiri, pilih kunci API.

  3. Di bagian Kunci API untuk Amazon Bedrock, pilih kunci.

  4. Pilih Tindakan.

  5. Pilih Aktifkan kembali.

Python

Untuk menonaktifkan kunci menggunakan API, kirim UpdateServiceSpecificCredentialpermintaan dengan titik akhir IAM dan tentukan sebagai. Status Inactive Anda dapat menggunakan cuplikan kode berikut untuk menonaktifkan kunci, mengganti ${ServiceSpecificCredentialId} dengan nilai yang dikembalikan saat Anda membuat kunci.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

Untuk mengaktifkan kembali kunci menggunakan API, kirim UpdateServiceSpecificCredentialpermintaan dengan titik akhir IAM dan tentukan sebagai. Status Active Anda dapat menggunakan cuplikan kode berikut untuk mengaktifkan kembali kunci, mengganti ${ServiceSpecificCredentialId} dengan nilai yang dikembalikan saat Anda membuat kunci.

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

Setel ulang kunci Amazon Bedrock API jangka panjang

Pilih tab untuk metode pilihan Anda, lalu ikuti langkah-langkahnya:

Console
Untuk mengatur ulang kunci

  1. Masuk ke AWS Management Console dengan prinsipal IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock/.

  2. Di panel navigasi kiri, pilih kunci API.

  3. Di bagian Kunci API untuk Amazon Bedrock, pilih kunci.

  4. Pilih Tindakan.

  5. Pilih tombol Reset.

Python

Untuk mengatur ulang kunci menggunakan API, kirim ResetServiceSpecificCredentialpermintaan dengan titik akhir IAM. Anda dapat menggunakan cuplikan kode berikut untuk mengatur ulang kunci, mengganti ${ServiceSpecificCredentialId} dengan nilai yang dikembalikan saat Anda membuat kunci.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Hapus kunci API Amazon Bedrock jangka panjang

Pilih tab untuk metode pilihan Anda, lalu ikuti langkah-langkahnya:

Console
Untuk menghapus kunci

  1. Masuk ke AWS Management Console dengan prinsipal IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock/.

  2. Di panel navigasi kiri, pilih kunci API.

  3. Di bagian Kunci API untuk Amazon Bedrock, pilih kunci.

  4. Pilih Tindakan.

  5. Pilih Hapus.

Python

Untuk menghapus kunci menggunakan API, kirim DeleteServiceSpecificCredentialpermintaan dengan titik akhir IAM. Anda dapat menggunakan cuplikan kode berikut untuk menghapus kunci, mengganti ${ServiceSpecificCredentialId} dengan nilai yang dikembalikan saat Anda membuat kunci.

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Lampirkan kebijakan IAM untuk menghapus izin penggunaan kunci Amazon Bedrock API

Bagian ini menyediakan beberapa kebijakan IAM yang dapat Anda gunakan untuk membatasi akses ke kunci Amazon Bedrock API.

Tolak identitas kemampuan untuk melakukan panggilan dengan kunci Amazon Bedrock API

Tindakan yang memungkinkan identitas melakukan panggilan dengan kunci Amazon Bedrock API adalahbedrock:CallWithBearerToken. Untuk mencegah identitas melakukan panggilan dengan kunci Amazon Bedrock API, Anda dapat melampirkan kebijakan IAM pada identitas tergantung jenis kunci:

  • Kunci jangka panjang — Lampirkan kebijakan ke pengguna IAM yang terkait dengan kunci tersebut.

  • Kunci jangka pendek — Lampirkan kebijakan ke peran IAM yang digunakan untuk menghasilkan kunci.

Kebijakan IAM yang dapat Anda lampirkan pada identitas IAM adalah sebagai berikut:

JSON
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

Membatalkan sesi peran IAM

Jika kunci jangka pendek dikompromikan, Anda dapat mencegah penggunaannya dengan membatalkan sesi peran yang digunakan untuk menghasilkan kunci. Untuk membatalkan sesi peran, lampirkan kebijakan berikut ke identitas IAM yang menghasilkan kunci. Ganti 2014-05-07T23:47:00Z dengan waktu setelah itu Anda ingin sesi menjadi tidak valid.

JSON
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}