控制生成和使用 Amazon Bedrock API 密钥的权限

以下 IAM 操作控制 Amazon Bedrock API 密钥的生成和使用：

• ia@@ m: CreateServiceSpecificCredentials — 控制特定于服务的密钥（例如长期的 A mazon Bedrock API 密钥）的生成。

• 基石：CallWithBearerToken— 控制短期或长期亚马逊 Bedrock API 密钥的使用。

警告

由于短期 Amazon Bedrock API 密钥使用会话中的现有证书，因此您可以通过拒绝对生成密钥的身份bedrock:CallWithBearerToken执行操作来防止其使用。但是，您无法阻止生成短期密钥。

下表汇总了如何防止身份生成或使用 Amazon Bedrock API 密钥：

用途	长期密钥	短期密钥
防止生成密钥	将拒绝该iam:CreateServiceSpecificCredential操作的策略附加到 IAM 身份。	不适用
防止使用密钥	向与密钥关联的 IAM 用户附加拒绝该bedrock:CallWithBearerToken操作的策略。	向不希望使用密钥的 IAM 身份附加拒绝bedrock:CallWithBearerToken操作的策略。

例如，要防止 IAM 身份生成和使用 Amazon Bedrock API 密钥，请将以下策略附加到该身份：

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

警告

此策略将禁止为所有支持创建特定 AWS 服务凭证的服务创建凭证。有关更多信息，请参阅适用于 IAM 用户的服务专用证书。