翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Bedrock API キーを生成して使用するためのアクセス許可を制御する
次の IAM アクションは、Amazon Bedrock API キーの生成と使用を制御します。
-
iam:CreateServiceSpecificCredentials – サービス固有のキー (長期的な Amazon Bedrock API キーなど) の生成を制御します。
-
bedrock:CallWithBearerToken – 短期または長期の Amazon Bedrock API キーの使用を制御します。
警告
短期的な Amazon Bedrock API キーはセッションの既存の認証情報を使用するため、キーを生成した ID に対する bedrock:CallWithBearerTokenアクションを拒否することで、その使用を防ぐことができます。ただし、短期キーの生成を防ぐことはできません。
次の表は、ID が Amazon Bedrock API キーを生成または使用しないようにする方法をまとめたものです。
| 目的 | 長期キー | 短期キー |
|---|---|---|
| キーの生成を防ぐ | iam:CreateServiceSpecificCredential アクションを拒否するポリシーを IAM アイデンティティにアタッチします。 |
該当なし |
| キーの使用を防止する | キーに関連付けられた IAM ユーザーにbedrock:CallWithBearerTokenアクションを拒否するポリシーをアタッチします。 |
キーを使用できない IAM ID にbedrock:CallWithBearerTokenアクションを拒否するポリシーをアタッチします。 |
たとえば、IAM ID が Amazon Bedrock API キーを生成および使用しないようにするには、次のポリシーを ID にアタッチします。
警告
このポリシーは、 AWS サービス固有の認証情報の作成をサポートするすべてのサービスの認証情報の作成を防止します。詳細については、「IAM ユーザーのサービス固有の認証情報」を参照してください。
