翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 侵害された長期および短期の Amazon Bedrock API キーを処理する
<a name="api-keys-revoke"></a>

API キーが侵害された場合は、そのキーを使用するためのアクセス許可を取り消す必要があります。Amazon Bedrock API キーのアクセス許可を取り消すには、さまざまな方法があります。
+ 長期 Amazon Bedrock API キーの場合、[UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)、[ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)、または [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html) を使用して、次の方法でアクセス許可を取り消すことができます。
  + キーのステータスを非アクティブに設定します。後で再アクティブ化できます。
  + キーをリセットします。このアクションで、キーの新しいパスワードが生成されます。
  + キーを完全に削除します。
**注記**  
API を使用してこれらのアクションを実行するには、Amazon Bedrock API キーではなく AWS 認証情報で認証する必要があります。
+ 長期および短期の Amazon Bedrock API キーの両方について、IAM ポリシーをアタッチしてアクセス許可を取り消すことができます。

**Topics**
+ [長期 Amazon Bedrock API キーのステータスを変更する](#api-keys-change-status)
+ [長期 Amazon Bedrock API キーをリセットする](#api-keys-reset)
+ [長期 Amazon Bedrock API キーを削除する](#api-keys-delete)
+ [Amazon Bedrock API キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする](#api-keys-iam-policies)

## 長期 Amazon Bedrock API キーのステータスを変更する
<a name="api-keys-change-status"></a>

キーを一時的に使用できないようにする必要がある場合は、キーを非アクティブ化します。再度使用する準備ができたら、再アクティブ化します。

任意の方法のタブを選択し、その手順に従います。

------
#### [ Console ]

**キーを非アクティブ化する方法**

1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール ([https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)) を開きます。

1. 左側のナビゲーションペインで、**[API キー]** を選択します。

1. **[長期 API キー]** セクションで、**[ステータス]** が **[非アクティブ]** のキーを選択します。

1. **[アクション]** を選択します。

1. **[Deactivate]** (無効化) を選択します。

1. 確認するには、**[API キーの非アクティブ化]** を選択します。キーの **[ステータス]** が **[非アクティブ]** になります。

**キーを再アクティブ化する方法**

1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール ([https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)) を開きます。

1. 左側のナビゲーションペインで、**[API キー]** を選択します。

1. **[長期 API キー]** セクションで、**[ステータス]** が **[非アクティブ]** のキーを選択します。

1. **[アクション]** を選択します。

1. **[アクティブ化]** を選択します。

1. 確認するには、**[API キーのアクティブ化]** を選択します。キーの **[ステータス]** が **[アクティブ]** になります。

------
#### [ Python ]

API を使用してキーを非アクティブ化するには、[IAM エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)を使用して [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html) リクエストを送信し、`Status` を `Inactive` に指定します。次のコードスニペットを使用してキーを非アクティブ化できます。この際、{{${ServiceSpecificCredentialId}}} をキーの作成時に返された値に置き換えます。

```
import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id={{${ServiceSpecificCredentialId}}},
    status="Inactive"
)
```

API を使用してキーを再アクティブ化するには、[IAM エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)を使用して [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html) リクエストを送信し、`Status` を `Active` に指定します。次のコードスニペットを使用してキーを再アクティブ化できます。この際、{{${ServiceSpecificCredentialId}}} をキーの作成時に返された値に置き換えます。

```
import boto3
                        
iam_client = boto3.client("iam")
                      
iam_client.update_service_specific_credential(
    service_specific_credential_id={{${ServiceSpecificCredentialId}}},
    status="Active"
)
```

------

## 長期 Amazon Bedrock API キーをリセットする
<a name="api-keys-reset"></a>

キーの値が侵害されたか、使用できなくなった場合は、キーをリセットします。キーの有効期限がまだ残っている必要があります。既に有効期限が切れている場合は、キーを削除して新しいキーを作成します。

任意の方法のタブを選択し、その手順に従います。

------
#### [ Console ]

**キーをリセットする方法**

1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール ([https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)) を開きます。

1. 左側のナビゲーションペインで、**[API キー]** を選択します。

1. **[長期 API キー]** セクションで、キーを選択します。

1. **[アクション]** を選択します。

1. **[キーのリセット]** を選択します。

1. **[次へ]** を選択してください。

------
#### [ Python ]

API を使用してキーをリセットするには、[IAM エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)を使用して [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html) リクエストを送信します。次のコードスニペットを使用してキーをリセットできます。この際、{{${ServiceSpecificCredentialId}}} をキーの作成時に返された値に置き換えます。

```
import boto3
            
iam_client = boto3.client("iam")
          
iam_client.reset_service_specific_credential(
    service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```

------

## 長期 Amazon Bedrock API キーを削除する
<a name="api-keys-delete"></a>

キーが不要になった場合、またはキーの有効期限が切れている場合は、キーを削除します。

任意の方法のタブを選択し、その手順に従います。

------
#### [ Console ]

**キーを削除するには**

1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール ([https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)) を開きます。

1. 左側のナビゲーションペインで、**[API キー]** を選択します。

1. **[長期 API キー]** セクションで、キーを選択します。

1. **[アクション]** を選択します。

1. **[削除]** を選択します。

1. 削除を確定します。

**API キーが IAM ユーザーにリンクされている**  
この API キーを削除しても、このキーを所有者として作成した IAM ユーザーは削除されません。次のステップで IAM コンソールから IAM ユーザーを削除できます。

------
#### [ Python ]

API を使用してキーを削除するには、[IAM エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iam-service.html)を使用して [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html) リクエストを送信します。次のコードスニペットを使用してキーを削除できます。この際、{{${ServiceSpecificCredentialId}}} をキーの作成時に返された値に置き換えます。

```
import boto3
            
iam_client = boto3.client("iam")
          
iam_client.delete_service_specific_credential(
    service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```

------

## Amazon Bedrock API キーを使用するためのアクセス許可を削除する IAM ポリシーをアタッチする
<a name="api-keys-iam-policies"></a>

このセクションでは、Amazon Bedrock API キーへのアクセスを制限するために使用できる一部の IAM ポリシーについて説明します。

### Amazon Bedrock API キーを使用して呼び出す能力を ID に与えることを拒否する
<a name="api-keys-iam-policies-deny-call-with-bearer-token"></a>

Amazon Bedrock API キーを使用して呼び出すことを ID に許可するアクションは `bedrock:CallWithBearerToken` です。ID が Amazon Bedrock API キーを使用して呼び出しを実行できないようにするには、キーのタイプに応じて ID に IAM ポリシーをアタッチします。
+ **長期キー** – キーに関連付けられている IAM ユーザーにポリシーをアタッチします。
+ **短期キー** – キーの生成に使用される IAM ロールにポリシーをアタッチします。

IAM アイデンティティにアタッチできる IAM ポリシーは次のとおりです。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "bedrock:CallWithBearerToken",
    "Resource": "*"
  }
}
```

------

### IAM ロールセッションを無効にする
<a name="api-keys-iam-policies-invalidate-session"></a>

短期キーが侵害された場合は、キーの生成に使用されたロールセッションを無効にすることで、その使用を防ぐことができます。ロールセッションを無効にするには、キーを生成した IAM アイデンティティに次のポリシーをアタッチします。{{2014-05-07T23:47:00Z}} を、セッションを無効にする時間に置き換えます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {"aws:TokenIssueTime": "{{2014-05-07T23:47:00Z}}"}
    }
  }
}
```

------