Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tratamiento de las claves de API de Amazon Bedrock comprometidas de larga y corta duración
Si su clave de API se ve comprometida, debe revocar los permisos para usarla. Existen varios métodos que puede utilizar para revocar los permisos de una clave de API de Amazon Bedrock:
+ En el caso de las claves de API de Amazon Bedrock de larga duración [UpdateServiceSpecificCredential[ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html), puede utilizar los permisos o [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)revocarlos de las siguientes maneras:
+ Establezca el estado de la clave como inactiva. Puede reactivarla más adelante.
+ Restablezca la clave. Esta acción genera una nueva contraseña para la clave.
+ Elimine la clave de forma permanente.
**nota**
Para llevar a cabo estas acciones a través de la API, debe autenticarse con AWS credenciales y no con una clave de API de Amazon Bedrock.
+ Para las claves de API de Amazon Bedrock de corta y larga duración, puede asociar políticas de IAM para revocar los permisos.
**Topics**
+ [Cambio del estado de una clave de API de Amazon Bedrock de larga duración](#api-keys-change-status)
+ [Restablecimiento de una clave de API de Amazon Bedrock de larga duración](#api-keys-reset)
+ [Eliminación de una clave de API de Amazon Bedrock de larga duración](#api-keys-delete)
+ [Asociación de políticas de IAM para eliminar los permisos de uso de una clave de API de Amazon Bedrock](#api-keys-iam-policies)
## Cambio del estado de una clave de API de Amazon Bedrock de larga duración
Si necesita impedir que una clave se utilice temporalmente, desactívela. Cuando esté listo para volver a utilizarla, actívela de nuevo.
Elija la pestaña del método que prefiera y siga estos pasos:
------
#### [ Console ]
**Cómo desactivar una clave**
1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).
1. En el panel de navegación izquierdo, seleccione **Claves de API**.
1. En la sección de **claves de Long-term API**, elija una clave cuyo **estado** sea **Inactivo**.
1. Elija **Acciones**.
1. Seleccione **Deactivate** (Desactivar).
1. Para confirmarlo, seleccione **Desactivar la clave de API**. El **estado** de la clave cambia a **Inactivo**.
**Cómo reactivar una clave**
1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).
1. En el panel de navegación izquierdo, seleccione **Claves de API**.
1. En la sección de **claves de Long-term API**, elija una clave cuyo **estado** sea **Inactivo**.
1. Elija **Acciones**.
1. Seleccione **Activar**.
1. Para confirmarlo, seleccione **Activar la clave API**. El **estado** de la clave cambia a **Activo**.
------
#### [ Python ]
Para desactivar una clave mediante la API, envía una [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)solicitud con un [punto final de IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) y especifica el `Status` as. `Inactive` Puede utilizar el siguiente fragmento de código para desactivar una clave y sustituirlo por el valor devuelto {{${ServiceSpecificCredentialId}}} al crear la clave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}},
status="Inactive"
)
```
Para reactivar una clave mediante la API, envía una [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)solicitud con un [punto final de IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) y especifica el as. `Status` `Active` Puede utilizar el siguiente fragmento de código para reactivar una clave y sustituirlo por el valor devuelto {{${ServiceSpecificCredentialId}}} al crear la clave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}},
status="Active"
)
```
------
## Restablecimiento de una clave de API de Amazon Bedrock de larga duración
Si el valor de su clave se ha visto comprometido o ya no tiene la clave, restablézcala. La clave no debe haber caducado todavía. Si ya ha caducado, elimínela y cree una nueva.
Elija la pestaña del método que prefiera y siga estos pasos:
------
#### [ Console ]
**Cómo restablecer una clave**
1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).
1. En el panel de navegación izquierdo, seleccione **Claves de API**.
1. En la sección **Long-term de claves de API**, elija una clave.
1. Elija **Acciones**.
1. Seleccione **Restablecer clave**.
1. Seleccione **Siguiente**.
------
#### [ Python ]
Para restablecer una clave mediante la API, envía una [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)solicitud con un [punto final de IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Puede usar el siguiente fragmento de código para restablecer una clave y sustituirlo por {{${ServiceSpecificCredentialId}}} el valor devuelto al crear la clave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.reset_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```
------
## Eliminación de una clave de API de Amazon Bedrock de larga duración
Si ya no necesita una clave o ha caducado, elimínela.
Elija la pestaña del método que prefiera y siga estos pasos:
------
#### [ Console ]
**Eliminación de una clave**
1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).
1. En el panel de navegación izquierdo, seleccione **Claves de API**.
1. En la sección **Long-term de claves de API**, elija una clave.
1. Elija **Acciones**.
1. Seleccione **Eliminar**.
1. Confirme la eliminación.
**Una clave de API está vinculada a un usuario de IAM**
Al eliminar esta clave de API, no se elimina al usuario de IAM que se creó con esta clave como propietario. En el siguiente paso, puede eliminar el usuario de IAM de la consola de IAM.
------
#### [ Python ]
Para eliminar una clave mediante la API, envía una [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)solicitud con un punto final de [IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Puede utilizar el siguiente fragmento de código para eliminar una clave y sustituirla por {{${ServiceSpecificCredentialId}}} el valor devuelto al crear la clave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.delete_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```
------
## Asociación de políticas de IAM para eliminar los permisos de uso de una clave de API de Amazon Bedrock
En esta sección se proporcionan algunas políticas de IAM que puede utilizar para restringir el acceso a una clave de API de Amazon Bedrock.
### Denegación a una identidad de la capacidad de realizar llamadas con una clave de API de Amazon Bedrock
La acción que permite a una identidad realizar llamadas con una clave de API de Amazon Bedrock es `bedrock:CallWithBearerToken`. Para impedir que una identidad realice llamadas con la clave de API de Amazon Bedrock, puede asociar una política de IAM a una identidad en función del tipo de clave:
+ **Long-term clave**: adjunta la política al usuario de IAM asociado a la clave.
+ **Short-term clave**: adjunta la política a la identidad de IAM utilizada para generar la clave.
La política de IAM que puede asociar a la identidad de IAM es la siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
}
```
------
### Invalida una sesión de IAM
Si una clave de corto plazo se ve comprometida, puede impedir su uso invalidando la sesión que se utilizó para generar la clave. Para invalidar la sesión, adjunte la siguiente política a la identidad de IAM que generó la clave. {{2014-05-07T23:47:00Z}}Sustitúyala por la hora después de la cual deseas que se invalide la sesión.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {"aws:TokenIssueTime": "{{2014-05-07T23:47:00Z}}"}
}
}
}
```
------