Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des clés d’API Amazon Bedrock compromises à long et à court terme
Si votre clé d’API est compromise, vous devez révoquer les autorisations d’utilisation. Vous pouvez utiliser différentes méthodes pour révoquer les autorisations associées à une clé d’API Amazon Bedrock :
+ Pour les clés API Amazon Bedrock à long terme [UpdateServiceSpecificCredential[ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html), vous pouvez utiliser ou [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)révoquer les autorisations de la manière suivante :
+ Définissez le statut de la clé sur inactif. Vous pouvez la réactiver par la suite.
+ Réinitialisez la clé. Cette action génère un nouveau mot de passe pour la clé.
+ Supprimez définitivement la clé.
**Note**
Pour effectuer ces actions via l'API, vous devez vous authentifier avec des AWS informations d'identification et non avec une clé d'API Amazon Bedrock.
+ Pour les clés d’API Amazon Bedrock à court et à long terme, vous pouvez joindre des politiques IAM pour révoquer les autorisations.
**Topics**
+ [Modification du statut d’une clé d’API Amazon Bedrock à long terme](#api-keys-change-status)
+ [Réinitialisation d’une clé d’API Amazon Bedrock à long terme](#api-keys-reset)
+ [Suppression d’une clé d’API Amazon Bedrock à long terme](#api-keys-delete)
+ [Association de politiques IAM pour supprimer les autorisations d’utilisation d’une clé d’API Amazon Bedrock](#api-keys-iam-policies)
## Modification du statut d’une clé d’API Amazon Bedrock à long terme
Si vous devez empêcher l’utilisation temporaire d’une clé, désactivez-la. Une fois que vous êtes prêt à l’utiliser à nouveau, réactivez-la.
Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :
------
#### [ Console ]
**Pour désactiver une clé**
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Clés d’API**.
1. Dans la section **Clés d'Long-term API**, choisissez une clé dont le **statut** est **inactif**.
1. Choisissez **Actions**.
1. Sélectionnez **Deactivate** (Désactiver).
1. Pour confirmer, sélectionnez **Désactiver la clé API**. Le **statut** de la clé devient **inactif**.
**Pour réactiver une clé**
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Clés d’API**.
1. Dans la section **Clés d'Long-term API**, choisissez une clé dont le **statut** est **inactif**.
1. Choisissez **Actions**.
1. Sélectionnez **Activer**.
1. Pour confirmer, sélectionnez **Activer la clé API**. Le **statut** de la clé devient **actif**.
------
#### [ Python ]
Pour désactiver une clé à l'aide de l'API, envoyez une [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)demande avec un point de [terminaison IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) et spécifiez le `Status` as. `Inactive` Vous pouvez utiliser l'extrait de code suivant pour désactiver une clé, en la {{${ServiceSpecificCredentialId}}} remplaçant par la valeur renvoyée lors de la création de la clé.
```
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}},
status="Inactive"
)
```
Pour réactiver une clé à l'aide de l'API, envoyez une [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)demande avec un point de [terminaison IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) et spécifiez le `Status` as. `Active` Vous pouvez utiliser l'extrait de code suivant pour réactiver une clé, en la {{${ServiceSpecificCredentialId}}} remplaçant par la valeur renvoyée lors de la création de la clé.
```
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}},
status="Active"
)
```
------
## Réinitialisation d’une clé d’API Amazon Bedrock à long terme
Si la valeur de votre clé a été compromise ou si vous ne l’avez plus, réinitialisez-la. La clé ne doit pas encore avoir expirée. Si elle est déjà expirée, supprimez la clé et créez-en une nouvelle.
Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :
------
#### [ Console ]
**Pour réinitialiser une clé**
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Clés d’API**.
1. Dans la section **Clés d'Long-term API**, choisissez une clé.
1. Choisissez **Actions**.
1. Sélectionnez **Réinitialiser la clé**.
1. Sélectionnez **Suivant**.
------
#### [ Python ]
Pour réinitialiser une clé à l'aide de l'API, envoyez une [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)demande avec un point de [terminaison IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Vous pouvez utiliser l'extrait de code suivant pour réinitialiser une clé, en la {{${ServiceSpecificCredentialId}}} remplaçant par la valeur renvoyée lors de la création de la clé.
```
import boto3
iam_client = boto3.client("iam")
iam_client.reset_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```
------
## Suppression d’une clé d’API Amazon Bedrock à long terme
Si vous n’avez plus besoin d’une clé ou si elle a expiré, supprimez-la.
Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :
------
#### [ Console ]
**Pour supprimer une clé**
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Clés d’API**.
1. Dans la section **Clés d'Long-term API**, choisissez une clé.
1. Choisissez **Actions**.
1. Sélectionnez **Supprimer**.
1. Confirmez la suppression.
**Une clé d'API est liée à un utilisateur IAM**
La suppression de cette clé d'API ne supprime pas l'utilisateur IAM créé avec cette clé en tant que propriétaire. Vous pouvez supprimer l'utilisateur IAM de la console IAM à l'étape suivante.
------
#### [ Python ]
Pour supprimer une clé à l'aide de l'API, envoyez une [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)demande avec un point de [terminaison IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Vous pouvez utiliser l'extrait de code suivant pour supprimer une clé, en la {{${ServiceSpecificCredentialId}}} remplaçant par la valeur renvoyée lors de la création de la clé.
```
import boto3
iam_client = boto3.client("iam")
iam_client.delete_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```
------
## Association de politiques IAM pour supprimer les autorisations d’utilisation d’une clé d’API Amazon Bedrock
Cette section fournit des politiques IAM que vous pouvez utiliser pour restreindre l’accès à une clé d’API Amazon Bedrock.
### Refus de la possibilité de passer des appels avec une clé d’API Amazon Bedrock
L’action qui permet à une identité de passer des appels avec une clé d’API Amazon Bedrock est `bedrock:CallWithBearerToken`. Pour empêcher une identité de passer des appels avec la clé d’API Amazon Bedrock, vous pouvez associer une politique IAM à une identité en fonction du type de clé :
+ **Long-term clé** — Attachez la politique à l'utilisateur IAM associé à la clé.
+ **Short-term clé** — Attachez la politique à l'identité IAM utilisée pour générer la clé.
La politique IAM que vous pouvez associer à l’identité IAM est la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
}
```
------
### Invalider une session IAM
Si une clé à court terme est compromise, vous pouvez empêcher son utilisation en invalidant la session qui a été utilisée pour générer la clé. Pour invalider la session, associez la politique suivante à l'identité IAM qui a généré la clé. Remplacez {{2014-05-07T23:47:00Z}} par le délai après lequel vous souhaitez que la session soit invalidée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {"aws:TokenIssueTime": "{{2014-05-07T23:47:00Z}}"}
}
}
}
```
------