翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Bedrock API キーを生成して使用するためのアクセス許可を制御する
Amazon Bedrock API キーの生成と使用は、Amazon Bedrock サービスと IAM サービスの両方でアクションと条件キーによって制御されます。
**Amazon Bedrock API キーの生成の制御**
[iam:CreateServiceSpecificCredential](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html#awsidentityandaccessmanagementiam-actions-as-permissions) アクションは、サービス固有のキー (長期的な Amazon Bedrock API キーなど) の生成を制御します。このアクションの範囲をリソースとして IAM ユーザーに限定し、キーを生成できるユーザーを制限できます。
次の条件キーを使用して、`iam:CreateServiceSpecificCredential` アクションのアクセス許可に条件を課すことができます。
+ [iam:ServiceSpecificCredentialAgeDays](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) – 条件でキーの有効期限を日数で指定できます。例えば、この条件キーを使用して、90 日以内に期限切れになる API キーの作成のみ許可できます。
+ [iam:ServiceSpecificCredentialServiceName](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) – 条件でサービスの名前を指定できます。例えば、この条件キーを使用して Amazon Bedrock の API キーの作成のみを許可し、他のサービスの作成は許可しません。
**Amazon Bedrock API キーの使用の制御**
[bedrock:CallWithBearerToken](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) アクションは、短期または長期 Amazon Bedrock API キーの使用を制御します。
`bedrock:bearerTokenType` 条件キーを[文字列条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)とともに使用して、`bedrock:CallWithBearerToken` のアクセス許可を適用するベアラートークンのタイプを指定できます。次のいずれかの値を指定できます。
+ `SHORT_TERM` – 条件に短期 Amazon Bedrock API キーを指定します。
+ `LONG_TERM` – 条件に長期 Amazon Bedrock API キーを指定します。
次の表は、ID によって Amazon Bedrock API キーが生成または使用されるのを防ぐ方法をまとめたものです。
****
| 目的 | 長期キー | 短期キー |
| --- | --- | --- |
| キーの生成を防止する | iam:CreateServiceSpecificCredential アクションを拒否するポリシーを IAM ID にアタッチします。 | 該当なし |
| キーの使用を防止する | キーに関連付けられた IAM ユーザーに bedrock:CallWithBearerToken アクションを拒否するポリシーをアタッチします。 | キーを使用できない IAM ID に bedrock:CallWithBearerToken アクションを拒否するポリシーをアタッチします。 |
**警告**
短期 Amazon Bedrock API キーはセッションの既存の認証情報を使用するため、キーを生成した ID に対する `bedrock:CallWithBearerToken` アクションを拒否することで、その使用を防ぐことができます。ただし、短期キーの生成を防ぐことはできません。
## API キーの生成と使用を制御するポリシーの例
API キーの生成と使用を制御する IAM ポリシーの例については、次のトピックから選択します。
**Topics**
+ [ID により長期キーが生成されたり、Amazon Bedrock API キーが使用されたりするのを防ぐ](#api-keys-permissions-examples-prevent-generation-and-use)
+ [ID により短期 API キーが使用されるのを防ぐ](#api-keys-permissions-examples-prevent-use-short-term)
+ [ID により長期 API キーが使用されるのを防ぐ](#api-keys-permissions-examples-prevent-use-long-term)
+ [ID により短期 API キーが使用されることを明示的に防止する](#api-keys-permissions-examples-deny-use-short-term-explicitly)
+ [ID により長期 API キーが使用されることを明示的に防止する](#api-keys-permissions-examples-deny-use-long-term-explicitly)
+ [Amazon Bedrock キーの作成を 90 日以内に期限切れになる場合にのみ許可する](#api-keys-permissions-examples-allow-bedrock-keys-expire-within-90-days)
### ID により長期キーが生成されたり、Amazon Bedrock API キーが使用されたりするのを防ぐ
IAM ID により長期 Amazon Bedrock API キーが生成されたり、Amazon Bedrock API キーが使用されたりするのを防ぐには、次のポリシーを ID にアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"DenyBedrockShortAndLongTermAPIKeys",
"Effect": "Deny",
"Action": [
"iam:CreateServiceSpecificCredential",
"bedrock:CallWithBearerToken"
],
"Resource": [
"*"
]
}
]
}
```
------
**警告**
短期キーの生成を防ぐことはできません。
このポリシーは、 AWS サービス固有の認証情報の作成をサポートするすべてのサービスの認証情報の作成を防止します。詳細については、「[IAM ユーザーのサービス固有の認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_service-specific-creds.html)」を参照してください。
### ID により短期 API キーが使用されるのを防ぐ
IAM ID により短期 Amazon Bedrock API キーが使用されるのを防ぐには、ID に次のポリシーをアタッチします。
### ID により長期 API キーが使用されるのを防ぐ
IAM ID により長期 Amazon Bedrock API キーが使用されるのを防ぐには、次のポリシーを ID にアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
}
]
}
```
------
### ID により短期 API キーが使用されることを明示的に防止する
IAM ID により短期 Amazon Bedrock API キーが使用されることを明示的に防止し、他の API キーの使用を許可するには、次のポリシーを ID にアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "SHORT_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### ID により長期 API キーが使用されることを明示的に防止する
IAM ID により長期 Amazon Bedrock API キーが使用されるのを明示的に防止し、他の API キーの使用を許可するには、次のポリシーを ID にアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### Amazon Bedrock キーの作成を 90 日以内に期限切れになる場合にのみ許可する
Amazon Bedrock 用であり、かつ有効期限が 90 日以内の場合のみ、IAM ID による長期 API キーの作成を許可するには、次のポリシーを ID にアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceSpecificCredential",
"Resource": "arn:aws:iam::123456789012:user/{{username}}",
"Condition": {
"StringEquals": {
"iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
},
"NumericLessThanEquals": {
"iam:ServiceSpecificCredentialAgeDays": "90"
}
}
}
]
}
```
------