Exemple SCPs pour Amazon Bedrock - AWS Organizations
Refuser l'accès à des modèles Amazon Bedrock spécifiquesRestreindre l'accès à des modèles Amazon Bedrock spécifiquesRestreindre la création et l'utilisation des clés d'API Amazon BedrockRestreindre la création de clés d'API Amazon Bedrock à long terme

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple SCPs pour Amazon Bedrock

Refuser l'accès à des modèles Amazon Bedrock spécifiques

La politique de contrôle des services (SCP) suivante bloque l'accès à des modèles ou à des familles de modèles Amazon Bedrock spécifiques dans l'ensemble de l'organisation. Cette politique est utile lorsque vous souhaitez empêcher l'utilisation de certains modèles susceptibles de ne pas répondre aux exigences de conformité, de coût ou de sécurité de votre organisation.

La politique refuse toutes les actions Amazon Bedrock pour le modèle de base spécifié. Dans cet exemple, la politique bloque l'accès aux modèles Deepseek. Le caractère générique (.*) dans l'ARN de la ressource correspond à toutes les versions et variantes de la famille de modèles spécifiée. Vous pouvez ajouter un modèle supplémentaire ARNs à la Resource matrice pour bloquer l'accès à d'autres modèles si nécessaire.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyModelAccessEverywhere",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": [
        "arn:aws:bedrock:*:*:foundation-model/deepseek.*"
      ]
    }
  ]
}

Restreindre l'accès à des modèles ou à des familles de modèles Amazon Bedrock spécifiques dans l'ensemble de l'organisation

La politique de contrôle des services (SCP) suivante empêche les utilisateurs et les rôles d'accéder aux modèles Amazon Bedrock Foundation non approuvés. Cette politique interdit l'accès à tous les modèles Amazon Bedrock, à l'exception de ceux que vous spécifiez explicitement dans l'NotResourceélément.

Pour utiliser cette politique, <model-unique-identifier> remplacez-la par les modèles spécifiques que vous souhaitez autoriser. Par exemple, utilisez-le amazon.* pour autoriser tous les modèles Amazon Foundation ou pour spécifier un modèle IDs individuel amazon.titan-text-premier-v1:0 pour un contrôle plus précis. Vous pouvez ajouter plusieurs modèles ARNs à la NotResource matrice pour permettre l'accès à plusieurs modèles approuvés.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PermittedModels",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "NotResource": [
        "arn:aws:bedrock:*:*:foundation-model/<model-unique-identifier>"
      ]
    }
  ]
}

Restreindre la création et l'utilisation des clés d'API Amazon Bedrock

La politique de contrôle des services (SCP) suivante interdit aux utilisateurs de créer et d'utiliser des clés API d'identification spécifiques au service Amazon Bedrock. Les clés API d'identification spécifiques au service fournissent un accès programmatique à Amazon Bedrock en dehors de l'authentification standard basée sur les rôles IAM, qui peut créer des risques de sécurité si elle n'est pas correctement gérée. Cette politique bloque à la fois la création de nouvelles clés API d'identification spécifiques au service et l'utilisation de clés API existantes.

La politique fonctionne en interdisant deux actions : iam:CreateServiceSpecificCredential empêche les utilisateurs de générer de nouvelles clés API d'identification spécifiques au service Amazon Bedrock, et bedrock:CallWithBearerToken empêche l'utilisation de jetons porteurs (clés API d'identification spécifiques au service) pour authentifier les appels d'API Amazon Bedrock.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "bedrock:CallWithBearerToken",
      "Resource": "*"
    }
  ]
}

Restreindre la création de clés API Amazon Bedrock à long terme valables au-delà de 30 jours

La politique de contrôle des services (SCP) suivante interdit aux utilisateurs de créer des clés API d'identification spécifiques au service Amazon Bedrock à long terme, valides pendant plus de 30 jours. En limitant les clés API d'identification spécifiques à un service à 30 jours ou moins, vous réduisez ce risque et encouragez une rotation régulière des informations d'identification.

La politique interdit la création d'informations d'identification spécifiques au service Amazon Bedrock lorsque la période de validité demandée dépasse 30 jours. La clé de iam:ServiceSpecificCredentialAgeDays condition vérifie le délai d'expiration demandé lors de la création des informations d'identification. Vous pouvez ajuster la limite de 30 jours en fonction des exigences de sécurité de votre organisation en modifiant la valeur de la NumericGreaterThanEquals condition.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        },
        "NumericGreaterThanEquals": {
          "iam:ServiceSpecificCredentialAgeDays": "30"
        }
      }
    }
  ]
}