翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
侵害された長期および短期の Amazon Bedrock API キーを処理する
API キーが侵害された場合は、そのキーを使用するためのアクセス許可を取り消す必要があります。Amazon Bedrock API キーのアクセス許可を取り消すには、さまざまな方法があります。
長期 Amazon Bedrock API キーのステータスを変更する
任意の方法のタブを選択し、ステップに従います。
- Console
-
キーを非アクティブ化するには
-
Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM プリンシパル AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。
-
左側のナビゲーションペインで、API キーを選択します。
-
Amazon Bedrock の API キーセクションで、キーを選択します。
-
[アクション] を選択します。
-
[Deactivate] (無効化) を選択します。
キーを再アクティブ化するには
-
Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM プリンシパル AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。
-
左側のナビゲーションペインで、API キーを選択します。
-
Amazon Bedrock の API キーセクションで、キーを選択します。
-
[アクション] を選択します。
-
再アクティブ化を選択します。
- Python
-
API を使用してキーを非アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、 を Statusとして指定しますInactive。次のコードスニペットを使用してキーを非アクティブ化し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId},
status="Inactive"
)
API を使用してキーを再アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、 を Statusとして指定しますActive。次のコードスニペットを使用してキーを再アクティブ化し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId},
status="Active"
)
長期 Amazon Bedrock API キーをリセットする
任意の方法のタブを選択し、ステップに従います。
- Console
-
キーをリセットするには
-
Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM プリンシパル AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。
-
左側のナビゲーションペインで、API キーを選択します。
-
Amazon Bedrock の API キーセクションで、キーを選択します。
-
[アクション] を選択します。
-
キーのリセットを選択します。
- Python
-
API を使用してキーをリセットするには、IAM エンドポイントを使用して ResetServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーをリセットし、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。
import boto3
iam_client = boto3.client("iam")
iam_client.reset_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId}
)
長期 Amazon Bedrock API キーを削除する
任意の方法のタブを選択し、ステップに従います。
- Console
-
キーを削除するには
-
Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM プリンシパル AWS Management Console を使用して にサインインします。次に、https://console.aws.amazon.com/bedrock/ で Amazon Bedrock コンソールを開きます。
-
左側のナビゲーションペインで、API キーを選択します。
-
Amazon Bedrock の API キーセクションで、キーを選択します。
-
[アクション] を選択します。
-
[削除] を選択します。
- Python
-
API を使用してキーを削除するには、IAM エンドポイントを使用して DeleteServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーを削除し、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えることができます。
import boto3
iam_client = boto3.client("iam")
iam_client.delete_service_specific_credential(
service_specific_credential_id=${ServiceSpecificCredentialId}
)
Amazon Bedrock API キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする
このセクションでは、Amazon Bedrock API キーへのアクセスを制限するために使用できるいくつかの IAM ポリシーについて説明します。
Amazon Bedrock API キーを使用して呼び出す機能を ID に拒否する
アイデンティティが Amazon Bedrock API キーを使用して呼び出しを行うことを許可するアクションは ですbedrock:CallWithBearerToken。ID が Amazon Bedrock API キーで呼び出しを実行できないようにするには、キーのタイプに応じて ID に IAM ポリシーをアタッチします。
IAM ID にアタッチできる IAM ポリシーは次のとおりです。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
}
IAM ロールセッションを無効にする
短期キーが侵害された場合は、キーの生成に使用されたロールセッションを無効にすることで、その使用を防ぐことができます。ロールセッションを無効にするには、キーを生成した IAM ID に次のポリシーをアタッチします。2014-05-07T23:47:00Z をセッションを無効にする時間に置き換えます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
}
}
}
