As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controlar as permissões para gerar e usar as chaves de API do Amazon Bedrock
A geração e o uso das chaves de API do Amazon Bedrock são controlados por ações e chaves de condição nos serviços Amazon Bedrock e IAM.
**Controlar a geração de chaves de API do Amazon Bedrock**
O [objetivo:](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html#awsidentityandaccessmanagementiam-actions-as-permissions) a CreateServiceSpecificCredential ação controla a geração de uma chave específica de serviço (como uma chave de API Amazon Bedrock de longo prazo). Você pode definir o escopo dessa ação para usuários do IAM como um recurso para limitar os usuários para os quais uma chave pode ser gerada.
É possível usar as seguintes chaves de condição para impor condições à permissão para a ação `iam:CreateServiceSpecificCredential`:
+ [iam: ServiceSpecificCredentialAgeDays](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) — Permite especificar, na condição, o tempo de expiração da chave em dias. Por exemplo, é possível usar essa chave de condição para permitir somente a criação de chaves de API que expirem em noventa dias.
+ [iam: ServiceSpecificCredentialServiceName](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_ServiceSpecificCredentialAgeDays) — Permite especificar, na condição, o nome de um serviço. Por exemplo, é possível usar essa chave de condição para permitir somente a criação de chaves de API para o Amazon Bedrock e não para outros serviços.
**Controlar o uso de chaves de API do Amazon Bedrock**
A [base:](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) a CallWithBearerToken ação controla o uso de uma chave de API Amazon Bedrock de curto ou longo prazo.
Você pode usar a chave de condição `bedrock:bearerTokenType` com [operadores de condição de string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) para especificar o tipo de token de portador ao qual aplicar a permissão `bedrock:CallWithBearerToken`. É possível especificar um dos seguintes valores:
+ `SHORT_TERM`: especifica chaves de API de curto prazo do Amazon Bedrock na condição.
+ `LONG_TERM`: especifica chaves de API de longo prazo do Amazon Bedrock na condição.
A seguinte tabela resume como impedir que uma identidade gere ou use as chaves de API do Amazon Bedrock:
****
| Finalidade | Chave de longo prazo | Chave de curto prazo |
| --- | --- | --- |
| Impedir a geração de chaves | Anexe uma política que negue a ação iam:CreateServiceSpecificCredential a uma identidade do IAM. | N/D |
| Impedir o uso de uma chave | Anexe uma política que negue a ação bedrock:CallWithBearerToken ao usuário do IAM associado à chave. | Anexe uma política que negue a ação bedrock:CallWithBearerToken às identidades do IAM que você não quer usem a chave. |
**Atenção**
Como uma chave de API do Amazon Bedrock de curto prazo usa credenciais existentes de uma sessão, é possível impedir o uso negando a ação `bedrock:CallWithBearerToken` na identidade que gerou a chave. No entanto, não é possível impedir a geração de uma chave de curto prazo.
## Exemplos de política para controlar a geração e o uso de chaves de API
Para ver exemplos de política do IAM para controlar a geração e o uso de chaves de API, selecione um dos seguintes tópicos:
**Topics**
+ [Impedir que uma identidade gere chaves de longo prazo e use as chaves de API do Amazon Bedrock](#api-keys-permissions-examples-prevent-generation-and-use)
+ [Impedir que uma identidade use chaves de API de curto prazo](#api-keys-permissions-examples-prevent-use-short-term)
+ [Impedir que uma identidade use chaves de API de longo prazo](#api-keys-permissions-examples-prevent-use-long-term)
+ [Impedir explicitamente que uma identidade use chaves de API de curto prazo](#api-keys-permissions-examples-deny-use-short-term-explicitly)
+ [Impedir explicitamente que uma identidade use chaves de API de longo prazo](#api-keys-permissions-examples-deny-use-long-term-explicitly)
+ [Permitir a criação de chaves do Amazon Bedrock somente se elas expirarem dentro de noventa dias](#api-keys-permissions-examples-allow-bedrock-keys-expire-within-90-days)
### Impedir que uma identidade gere chaves de longo prazo e use as chaves de API do Amazon Bedrock
Para evitar que uma identidade do IAM gere chaves de API de longo prazo do Amazon Bedrock e use qualquer chave de API do Amazon Bedrock, anexe a seguinte política à identidade:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"DenyBedrockShortAndLongTermAPIKeys",
"Effect": "Deny",
"Action": [
"iam:CreateServiceSpecificCredential",
"bedrock:CallWithBearerToken"
],
"Resource": [
"*"
]
}
]
}
```
------
**Atenção**
Mão é possível impedir a geração de chaves de curto prazo.
Essa política impedirá a criação de credenciais para todos os AWS serviços que oferecem suporte à criação de credenciais específicas do serviço. Para ter mais informações, consulte [Credenciais específicas do serviço para usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_service-specific-creds.html).
### Impedir que uma identidade use chaves de API de curto prazo
Para evitar que uma identidade do IAM use chaves de API de curto prazo do Amazon Bedrock, anexe a seguinte política à identidade:
### Impedir que uma identidade use chaves de API de longo prazo
Para evitar que uma identidade do IAM use chaves de API de longo prazo do Amazon Bedrock, anexe a seguinte política à identidade:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
}
]
}
```
------
### Impedir explicitamente que uma identidade use chaves de API de curto prazo
Para impedir explicitamente que uma identidade do IAM use chaves de API de curto prazo do Amazon Bedrock, mas permitir o uso de outras chaves de API, anexe a seguinte política à identidade:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "SHORT_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### Impedir explicitamente que uma identidade use chaves de API de longo prazo
Para impedir explicitamente que uma identidade do IAM use chaves de API de longo prazo do Amazon Bedrock, mas permitir o uso de outras chaves de API, anexe a seguinte política à identidade:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:bearerTokenType": "LONG_TERM"
}
}
},
{
"Effect": "Allow",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
]
}
```
------
### Permitir a criação de chaves do Amazon Bedrock somente se elas expirarem dentro de noventa dias
Para permitir que uma identidade do IAM crie uma chave de API de longo prazo somente se for para o Amazon Bedrock e se o prazo de expiração for de noventa dias ou menos, anexe a seguinte política à identidade:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceSpecificCredential",
"Resource": "arn:aws:iam::123456789012:user/{{username}}",
"Condition": {
"StringEquals": {
"iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
},
"NumericLessThanEquals": {
"iam:ServiceSpecificCredentialAgeDays": "90"
}
}
}
]
}
```
------