侵害された長期および短期の Amazon Bedrock API キーを処理する - Amazon Bedrock
長期 API キーのステータスを変更する長期 API キーをリセットする長期 API キーを削除するAPI キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された長期および短期の Amazon Bedrock API キーを処理する

API キーが侵害された場合は、そのキーを使用するためのアクセス許可を取り消す必要があります。Amazon Bedrock API キーのアクセス許可を取り消すには、さまざまな方法があります。

  • 長期 Amazon Bedrock API キーの場合、UpdateServiceSpecificCredentialResetServiceSpecificCredential、または DeleteServiceSpecificCredential を使用して、次の方法でアクセス許可を取り消すことができます。

    • キーのステータスを非アクティブに設定します。後で再アクティブ化できます。

    • キーをリセットします。このアクションで、キーの新しいパスワードが生成されます。

    • キーを完全に削除します。

    注記

    API を使用してこれらのアクションを実行するには、Amazon Bedrock API キーではなく AWS 認証情報で認証する必要があります。

  • 長期および短期の Amazon Bedrock API キーの両方について、IAM ポリシーをアタッチしてアクセス許可を取り消すことができます。

長期 Amazon Bedrock API キーのステータスを変更する

キーを一時的に使用できないようにする必要がある場合は、キーを非アクティブ化します。再度使用する準備ができたら、再アクティブ化します。

任意の方法のタブを選択し、その手順に従います。

Console
キーを非アクティブ化する方法

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール (https://console.aws.amazon.com/bedrock) を開きます。

  2. 左側のナビゲーションペインで、[API キー] を選択します。

  3. [長期 API キー] セクションで、[ステータス][非アクティブ] のキーを選択します。

  4. [アクション] を選択します。

  5. [Deactivate] (無効化) を選択します。

  6. 確認するには、[API キーの非アクティブ化] を選択します。キーの [ステータス][非アクティブ] になります。

キーを再アクティブ化する方法

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール (https://console.aws.amazon.com/bedrock) を開きます。

  2. 左側のナビゲーションペインで、[API キー] を選択します。

  3. [長期 API キー] セクションで、[ステータス][非アクティブ] のキーを選択します。

  4. [アクション] を選択します。

  5. [アクティブ化] を選択します。

  6. 確認するには、[API キーのアクティブ化] を選択します。キーの [ステータス][アクティブ] になります。

Python

API を使用してキーを非アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、StatusInactive に指定します。次のコードスニペットを使用してキーを非アクティブ化できます。この際、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えます。

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Inactive"
)

API を使用してキーを再アクティブ化するには、IAM エンドポイントを使用して UpdateServiceSpecificCredential リクエストを送信し、StatusActive に指定します。次のコードスニペットを使用してキーを再アクティブ化できます。この際、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えます。

import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId},
    status="Active"
)

長期 Amazon Bedrock API キーをリセットする

キーの値が侵害されたか、使用できなくなった場合は、キーをリセットします。キーの有効期限がまだ残っている必要があります。既に有効期限が切れている場合は、キーを削除して新しいキーを作成します。

任意の方法のタブを選択し、その手順に従います。

Console
キーをリセットする方法

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール (https://console.aws.amazon.com/bedrock) を開きます。

  2. 左側のナビゲーションペインで、[API キー] を選択します。

  3. [長期 API キー] セクションで、キーを選択します。

  4. [アクション] を選択します。

  5. [キーのリセット] を選択します。

  6. [次へ] を選択してください。

Python

API を使用してキーをリセットするには、IAM エンドポイントを使用して ResetServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーをリセットできます。この際、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えます。

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

長期 Amazon Bedrock API キーを削除する

キーが不要になった場合、またはキーの有効期限が切れている場合は、キーを削除します。

任意の方法のタブを選択し、その手順に従います。

Console
キーを削除するには

  1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール (https://console.aws.amazon.com/bedrock) を開きます。

  2. 左側のナビゲーションペインで、[API キー] を選択します。

  3. [長期 API キー] セクションで、キーを選択します。

  4. [アクション] を選択します。

  5. [削除] を選択します。

  6. 削除を確定します。

API キーが IAM ユーザーにリンクされている

この API キーを削除しても、このキーを所有者として作成した IAM ユーザーは削除されません。次のステップで IAM コンソールから IAM ユーザーを削除できます。

Python

API を使用してキーを削除するには、IAM エンドポイントを使用して DeleteServiceSpecificCredential リクエストを送信します。次のコードスニペットを使用してキーを削除できます。この際、${ServiceSpecificCredentialId} をキーの作成時に返された値に置き換えます。

import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id=${ServiceSpecificCredentialId}
)

Amazon Bedrock API キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする

このセクションでは、Amazon Bedrock API キーへのアクセスを制限するために使用できる一部の IAM ポリシーについて説明します。

Amazon Bedrock API キーを使用して呼び出す能力を ID に与えることを拒否する

Amazon Bedrock API キーを使用して呼び出すことを ID に許可するアクションは bedrock:CallWithBearerToken です。ID が Amazon Bedrock API キーを使用して呼び出しを実行できないようにするには、キーのタイプに応じて ID に IAM ポリシーをアタッチします。

  • 長期キー – キーに関連付けられている IAM ユーザーにポリシーをアタッチします。

  • 短期キー – キーの生成に使用される IAM ロールにポリシーをアタッチします。

IAM アイデンティティにアタッチできる IAM ポリシーは次のとおりです。

JSON
{
  "Version":"2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}

IAM ロールセッションを無効にする

短期キーが侵害された場合は、キーの生成に使用されたロールセッションを無効にすることで、その使用を防ぐことができます。ロールセッションを無効にするには、キーを生成した IAM アイデンティティに次のポリシーをアタッチします。2014-05-07T23:47:00Z を、セッションを無効にする時間に置き換えます。

JSON
{
  "Version":"2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "2014-05-07T23:47:00Z"}
    }
  }
}