控制產生和使用 Amazon Bedrock API 金鑰的許可 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制產生和使用 Amazon Bedrock API 金鑰的許可

下列 IAM 動作控制 Amazon Bedrock API 金鑰的產生和使用:

警告

由於短期 Amazon Bedrock API 金鑰使用工作階段的現有登入資料,因此您可以拒絕對產生金鑰的身分bedrock:CallWithBearerToken執行動作,以防止其使用。不過,您無法防止產生短期金鑰。

下表摘要說明如何防止身分產生或使用 Amazon Bedrock API 金鑰:

用途 長期金鑰 短期金鑰
防止產生金鑰 將拒絕iam:CreateServiceSpecificCredential動作的政策連接至 IAM 身分。 N/A
防止使用金鑰 將拒絕bedrock:CallWithBearerToken動作的政策連接到與金鑰相關聯的 IAM 使用者。 將拒絕bedrock:CallWithBearerToken動作的政策連接到您不想使用金鑰的 IAM 身分。

例如,若要防止 IAM 身分同時產生和使用 Amazon Bedrock API 金鑰,請將下列政策連接至身分:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid":"DenyBedrockShortAndLongTermAPIKeys",
      "Effect": "Deny",
      "Action": [
        "iam:CreateServiceSpecificCredential",
        "bedrock:CallWithBearerToken"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
警告

此政策將防止為所有支援建立服務特定登入資料的 AWS 服務建立登入資料。如需詳細資訊,請參閱 IAM 使用者的服務特定登入資料。