As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Lidar com chaves de API de longo e curto prazo comprometidas do Amazon Bedrock
Se sua chave de API for comprometida, você deverá revogar as permissões para usá-la. Há vários métodos que você pode usar para revogar as permissões de uma chave de API do Amazon Bedrock:
+ Para chaves de API Amazon Bedrock de longo prazo, você pode usar o [UpdateServiceSpecificCredential[ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html),, ou [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)para revogar permissões das seguintes maneiras:
+ Defina o status da chave como inativa. Você poderá reativar a chave posteriormente.
+ Redefina a chave. Essa ação gera uma nova senha para a chave.
+ Exclua a chave permanentemente.
**nota**
Para realizar essas ações por meio da API, você deve se autenticar com AWS credenciais e não com uma chave de API do Amazon Bedrock.
+ Para chaves de API de longo e curto prazo do Amazon Bedrock, você pode anexar políticas do IAM para revogar permissões.
**Topics**
+ [Alterar o status de uma chave de API de longo prazo do Amazon Bedrock](#api-keys-change-status)
+ [Redefinir uma chave de API de longo prazo do Amazon Bedrock](#api-keys-reset)
+ [Excluir uma chave de API de longo prazo do Amazon Bedrock](#api-keys-delete)
+ [Anexar políticas do IAM para remover as permissões de uso de uma chave de API do Amazon Bedrock](#api-keys-iam-policies)
## Alterar o status de uma chave de API de longo prazo do Amazon Bedrock
Se você precisar evitar que uma chave seja usada temporariamente, desative-a. Quando estiver tudo pronto para ela ser usada novamente, reative-a.
Escolha a guia correspondente ao método de sua preferência e siga as etapas:
------
#### [ Console ]
**Como desativar uma chave**
1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. No painel de navegação à esquerda, selecione **Chaves de API**.
1. Na seção **Chaves de API de longo prazo**, escolha uma chave cujo **status** seja **inativa**.
1. Escolha **Ações**.
1. Selecione **Deactivate** (Desativar).
1. Para confirmar, selecione **Desativar chave de API**. O **status** da chave se torna **inativa**.
**Como reativar uma chave**
1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. No painel de navegação à esquerda, selecione **Chaves de API**.
1. Na seção **Chaves de API de longo prazo**, escolha uma chave cujo **status** seja **inativa**.
1. Escolha **Ações**.
1. Selecione **Ativar**.
1. Para confirmar, selecione **Ativar chave de API**. O **status** da chave se torna **ativa**.
------
#### [ Python ]
Para desativar uma chave usando a API, envie uma [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)solicitação com um [endpoint do IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) e especifique as`Status`. `Inactive` Você pode usar o seguinte trecho de código para desativar uma chave, {{${ServiceSpecificCredentialId}}} substituindo-a pelo valor retornado quando você criou a chave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}},
status="Inactive"
)
```
Para reativar uma chave usando a API, envie uma [UpdateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html.html)solicitação com um [endpoint do IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html) e especifique as`Status`. `Active` Você pode usar o seguinte trecho de código para reativar uma chave, {{${ServiceSpecificCredentialId}}} substituindo-a pelo valor retornado quando você criou a chave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.update_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}},
status="Active"
)
```
------
## Redefinir uma chave de API de longo prazo do Amazon Bedrock
Se o valor da chave tiver sido comprometido ou você não a tiver mais, redefina-a. A chave ainda não deve ter expirado. Se ela já tiver expirado, exclua a chave e crie outra.
Escolha a guia correspondente ao método de sua preferência e siga as etapas:
------
#### [ Console ]
**Como redefinir uma chave**
1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. No painel de navegação à esquerda, selecione **Chaves de API**.
1. Na seção **Chaves de API de longo prazo**, escolha uma chave.
1. Escolha **Ações**.
1. Selecione **Redefinir chave**.
1. Escolha **Próximo**.
------
#### [ Python ]
Para redefinir uma chave usando a API, envie uma [ResetServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html.html)solicitação com um [endpoint do IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Você pode usar o seguinte trecho de código para redefinir uma chave, {{${ServiceSpecificCredentialId}}} substituindo-a pelo valor retornado quando você criou a chave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.reset_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```
------
## Excluir uma chave de API de longo prazo do Amazon Bedrock
Se você não precisar mais de uma chave ou ela tiver expirado, exclua-a.
Escolha a guia correspondente ao método de sua preferência e siga as etapas:
------
#### [ Console ]
**Para excluir uma chave**
1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. No painel de navegação à esquerda, selecione **Chaves de API**.
1. Na seção **Chaves de API de longo prazo**, escolha uma chave.
1. Escolha **Ações**.
1. Selecione **Excluir**.
1. Confirme a exclusão.
**Uma chave de API está vinculada a um usuário do IAM**
A exclusão dessa chave de API não exclui o usuário do IAM que foi criado com essa chave como proprietário. Você pode excluir o usuário do IAM do console do IAM na próxima etapa.
------
#### [ Python ]
Para excluir uma chave usando a API, envie uma [DeleteServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html.html)solicitação com um [endpoint do IAM](https://docs.aws.amazon.com/general/latest/gr/iam-service.html). Você pode usar o seguinte trecho de código para excluir uma chave, {{${ServiceSpecificCredentialId}}} substituindo-a pelo valor retornado quando você criou a chave.
```
import boto3
iam_client = boto3.client("iam")
iam_client.delete_service_specific_credential(
service_specific_credential_id={{${ServiceSpecificCredentialId}}}
)
```
------
## Anexar políticas do IAM para remover as permissões de uso de uma chave de API do Amazon Bedrock
Esta seção apresenta algumas políticas do IAM que você pode usar para restringir o acesso ao perfil de uma chave de API do Amazon Bedrock.
### Negar a uma identidade a possibilidade de fazer chamadas com uma chave de API do Amazon Bedrock
A ação que permite que uma identidade faça chamadas com uma chave de API do Amazon Bedrock é `bedrock:CallWithBearerToken`. Para evitar que uma identidade faça chamadas com a chave de API do Amazon Bedrock, você pode anexar uma política do IAM a uma identidade, dependendo do tipo de chave:
+ **Chave de longo prazo**: anexe a política ao usuário do IAM associado à chave.
+ **Chave de curto prazo**: anexe a política ao perfil do IAM usado para gerar a chave.
A política do IAM que você pode anexar à identidade do IAM é a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "bedrock:CallWithBearerToken",
"Resource": "*"
}
}
```
------
### Invalidar sessão de um perfil do IAM
Se uma chave de curto prazo for comprometida, você poderá impedir que ela seja usada invalidando a sessão do perfil usada para gerar a chave. Para invalidar a sessão do perfil, anexe a política a seguir à identidade do IAM que gerou a chave. {{2014-05-07T23:47:00Z}}Substitua pelo tempo após o qual você deseja que a sessão seja invalidada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {"aws:TokenIssueTime": "{{2014-05-07T23:47:00Z}}"}
}
}
}
```
------