Negare l'accesso a modelli Amazon Bedrock specifici Limita l'accesso a modelli Amazon Bedrock specifici Limita la creazione e l'uso di chiavi API Amazon Bedrock Limita la creazione di chiavi API Amazon Bedrock a lungo termine

Esempio SCPs per Amazon Bedrock

Argomenti

Negare l'accesso a modelli Amazon Bedrock specifici
Limita l'accesso a specifici modelli o famiglie di modelli Amazon Bedrock in un'intera organizzazione
Limita la creazione e l'uso di chiavi API Amazon Bedrock
Limita la creazione di chiavi API Amazon Bedrock a lungo termine valide oltre 30 giorni

Negare l'accesso a modelli Amazon Bedrock specifici

La seguente policy di controllo dei servizi (SCP) blocca l'accesso a specifici modelli o famiglie di modelli Amazon Bedrock in un'intera organizzazione. Questa policy è utile quando desideri impedire l'uso di determinati modelli che potrebbero non soddisfare i requisiti di conformità, costi o sicurezza dell'organizzazione.

La policy nega tutte le azioni di Amazon Bedrock per il modello di base specificato. In questo esempio, la policy blocca l'accesso ai modelli Deepseek. Il wildcard (.*) nella risorsa ARN corrisponde a tutte le versioni e varianti della famiglia di modelli specificata. È possibile aggiungere un modello aggiuntivo ARNs all'Resourcearray per bloccare l'accesso ad altri modelli in base alle esigenze.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyModelAccessEverywhere",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": [
        "arn:aws:bedrock:*:*:foundation-model/deepseek.*"
      ]
    }
  ]
}

Limita l'accesso a specifici modelli o famiglie di modelli Amazon Bedrock in un'intera organizzazione

La seguente policy di controllo dei servizi (SCP) impedisce a utenti e ruoli di accedere a modelli Amazon Bedrock Foundation non approvati. Questa politica nega l'accesso a tutti i modelli Amazon Bedrock ad eccezione di quelli specificati esplicitamente nell'elemento. NotResource

Per utilizzare questa politica, sostituiscila <model-unique-identifier> con i modelli specifici che desideri consentire. Ad esempio, utilizzalo amazon.* per consentire tutti i modelli Amazon Foundation o specifica un modello IDs individuale amazon.titan-text-premier-v1:0 per un controllo più granulare. Puoi aggiungere più modelli ARNs all'NotResourcearray per consentire l'accesso a diversi modelli approvati.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PermittedModels",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "NotResource": [
        "arn:aws:bedrock:*:*:foundation-model/<model-unique-identifier>"
      ]
    }
  ]
}

Limita la creazione e l'uso di chiavi API Amazon Bedrock

La seguente policy di controllo del servizio (SCP) impedisce agli utenti di creare e utilizzare chiavi API per credenziali specifiche del servizio Amazon Bedrock. Le chiavi API per credenziali specifiche del servizio forniscono l'accesso programmatico ad Amazon Bedrock al di fuori dell'autenticazione standard basata sui ruoli IAM, che può creare rischi per la sicurezza se non gestita correttamente. Questa policy blocca sia la creazione di nuove chiavi API per credenziali specifiche del servizio sia l'uso di quelle esistenti.

La policy nega due azioni: iam:CreateServiceSpecificCredential impedisce agli utenti di generare nuove chiavi API per credenziali specifiche del servizio Amazon Bedrock, mentre bedrock:CallWithBearerToken impedisce l'uso di token bearer (chiavi API per credenziali specifiche del servizio) per autenticare le chiamate API di Amazon Bedrock.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "bedrock:CallWithBearerToken",
      "Resource": "*"
    }
  ]
}

Limita la creazione di chiavi API Amazon Bedrock a lungo termine valide oltre 30 giorni

La seguente policy di controllo del servizio (SCP) impedisce agli utenti di creare chiavi API per credenziali specifiche del servizio Amazon Bedrock a lungo termine valide per più di 30 giorni. Limitando le chiavi API per le credenziali specifiche del servizio a 30 giorni o meno, riduci questo rischio e incoraggi la rotazione regolare delle credenziali.

La policy nega la creazione di credenziali specifiche per il servizio Amazon Bedrock quando il periodo di validità richiesto supera i 30 giorni. La chiave iam:ServiceSpecificCredentialAgeDays condizionale controlla l'ora di scadenza richiesta durante la creazione delle credenziali. Puoi modificare il limite di 30 giorni in modo che soddisfi i requisiti di sicurezza della tua organizzazione modificando il valore della condizione. NumericGreaterThanEquals


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        },
        "NumericGreaterThanEquals": {
          "iam:ServiceSpecificCredentialAgeDays": "30"
        }
      }
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi generali

Amazon Q