Controle as permissões para gerar e usar as chaves de API do Amazon Bedrock - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle as permissões para gerar e usar as chaves de API do Amazon Bedrock

As seguintes ações do IAM controlam a geração e o uso das chaves de API do Amazon Bedrock:

Atenção

Como uma chave de API Amazon Bedrock de curto prazo usa credenciais existentes de uma sessão, você pode impedir seu uso negando a bedrock:CallWithBearerToken ação na identidade que gerou a chave. No entanto, você não pode impedir a geração de uma chave de curto prazo.

A tabela a seguir resume como impedir que uma identidade gere ou use as chaves de API do Amazon Bedrock:

Finalidade Chave de longo prazo Chave de curto prazo
Impedir a geração de chaves Anexe uma política que negue a iam:CreateServiceSpecificCredential ação a uma identidade do IAM. N/D
Impedir o uso de uma chave Anexe uma política que negue a bedrock:CallWithBearerToken ação ao usuário do IAM associado à chave. Anexe uma política que negue a bedrock:CallWithBearerToken ação às identidades do IAM que você não quer que possam usar a chave.

Por exemplo, para evitar que uma identidade do IAM gere e use chaves de API do Amazon Bedrock, anexe a seguinte política à identidade:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Atenção

Essa política impedirá a criação de credenciais para todos os AWS serviços que oferecem suporte à criação de credenciais específicas do serviço. Para obter mais informações, consulte Credenciais específicas do serviço para usuários do IAM.