View a markdown version of this page

API-Schlüssel für AWS Dienste - AWS Identitäts- und Zugriffsverwaltung
Unterstützte ServicesVoraussetzungen für langfristige API-SchlüsselGenerieren eines langfristigen API-Schlüssels (Konsole)Generierung eines langfristigen API-Schlüssels (AWS CLI)Generierung eines langfristigen API-Schlüssels (AWS API)Kurzfristige API-Schlüssel (Amazon Bedrock)Servicespezifische Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

API-Schlüssel für AWS Dienste

Sie können über die AWS CLI oder AWS-Managementkonsole AWS -API programmgesteuert auf AWS Dienste zugreifen. Wenn Sie programmatische Anfragen an Dienste wie Amazon Bedrock und Amazon CloudWatch Logs stellen, können Sie sich mit IAM-Anmeldeinformationen (z. B. temporären Sicherheitsanmeldedaten oder langfristigen Zugriffsschlüsseln) oder API-Schlüsseln authentifizieren. Es gibt zwei Arten von API-Schlüsseln:

  • Langfristige API-Schlüssel – Langfristige API-Schlüssel sind einem IAM-Benutzer zugeordnet und werden mithilfe von IAM-servicespezifischen Anmeldeinformationen generiert. Diese Anmeldeinformationen sind für die Verwendung mit nur einem einzigen AWS Dienst konzipiert und erhöhen die Sicherheit, indem der Gültigkeitsbereich der Anmeldeinformationen begrenzt wird. Sie können eine Ablaufzeit für den langfristigen API-Schlüssel festlegen. Sie können die IAM- oder dienstspezifische Konsole (z. B. die Amazon Bedrock- oder CloudWatch Logs-Konsole), die oder API verwenden AWS CLI, um langfristige AWS API-Schlüssel zu generieren.

  • Kurzfristige API-Schlüssel (nur von Amazon Bedrock unterstützt) — Ein kurzfristiger API-Schlüssel ist eine vorsignierte URL, die AWS Signature Version 4 verwendet. Kurzfristige API-Schlüssel haben dieselben Berechtigungen und dieselbe Gültigkeitsdauer wie die Anmeldeinformationen der Identität, die den API-Schlüssel generiert, und sind bis zu 12 Stunden oder bis zum Ende Ihrer Konsolensitzung gültig, je nachdem, welcher Zeitraum kürzer ist. Sie können die Amazon-Bedrock-Konsole, das Python-Paket aws-bedrock-token-generator und Pakete für andere Programmiersprachen verwenden, um kurzfristige API-Schlüssel zu generieren. Weitere Informationen finden Sie im Amazon-Bedrock-Benutzerhandbuch unter Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API.

Anmerkung

Langfristige API-Schlüssel bergen ein höheres Sicherheitsrisiko als kurzfristige API-Schlüssel. Wir empfehlen, nach Möglichkeit kurzfristige API-Schlüssel oder temporäre Sicherheitsanmeldeinformationen zu verwenden. Wenn Sie langfristige API-Schlüssel verwenden, empfehlen wir die regelmäßige Schlüsselrotation.

Unterstützte Services

In der folgenden Tabelle sind die AWS Dienste aufgeführt, die API-Schlüssel unterstützen, sowie die Art des API-Schlüssels, den jeder Dienst unterstützt.

# Service Langfristige API-Schlüssel Kurzfristige API-Schlüssel Automatisch angefügte verwaltete Richtlinien
1 Amazon Bedrock Ja Ja AmazonBedrockLimitedAccess
2 CloudWatch Amazon-Protokolle Ja CloudWatchLogsAPIKeyAccess

Wenn Sie einen langfristigen API-Schlüssel für einen Service generieren, wird die entsprechende AWS verwaltete Richtlinie automatisch an den IAM-Benutzer angehängt und gewährt so Zugriff auf die Kernoperationen für diesen Service. Wenn Sie zusätzlichen Zugriff benötigen, können Sie die Berechtigungen für den IAM-Benutzer ändern. Weitere Informationen zum Ändern von Berechtigungen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen. Weitere Informationen zur Verwendung eines Amazon Bedrock-Schlüssels finden Sie unter Verwenden eines Amazon Bedrock-API-Schlüssels im Amazon Bedrock-Benutzerhandbuch. Weitere Informationen zur Verwendung von Bearer-Token für Amazon CloudWatch Logs finden Sie unter Bearer-Token-Authentifizierung im CloudWatch Logs-Benutzerhandbuch.

Voraussetzungen für langfristige API-Schlüssel

Bevor Sie einen langfristigen API-Schlüssel in der IAM-Konsole generieren können, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Ein IAM-Benutzer, der dem langfristigen API-Schlüssel zugeordnet werden soll. Weitere Anweisungen zum Erstellen eines IAM-Benutzers finden Sie unter Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto.

  • Sie benötigen die folgenden IAM-Richtlinienberechtigungen, um dienstspezifische Anmeldeinformationen für einen IAM-Benutzer zu verwalten. Die Beispielrichtlinie gewährt die Berechtigung zum Erstellen, Auflisten, Aktualisieren, Löschen und Zurücksetzen servicespezifischer Anmeldeinformationen. Ersetzen Sie den username Wert im Resource-Element durch den Namen des IAM-Benutzers, für den Sie langfristige API-Schlüssel generieren möchten:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Generieren eines langfristigen API-Schlüssels (Konsole)

Um einen langfristigen API-Schlüssel für einen bestimmten Dienst in der IAM-Konsole zu generieren

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM-Konsole Benutzer aus.

  3. Wählen Sie den IAM-Benutzer aus, für den Sie einen langfristigen API-Schlüssel generieren möchten.

  4. Wechseln Sie zur Registerkarte Sicherheitsanmeldeinformationen.

  5. Wählen Sie im Abschnitt API-Schlüssel die Option API-Schlüssel generieren aus.

  6. Wählen Sie aus der AWS Dropdownliste für den Dienst den Dienst aus, für den Sie sich mit dem API-Schlüssel authentifizieren möchten.

  7. Für den Ablauf des API-Schlüssels haben Sie folgende Möglichkeiten:

    • Wählen Sie eine Ablaufdauer für den API-Schlüssel von 1, 5, 30, 90 oder 365 Tagen aus.

    • Wählen Sie Benutzerdefinierte Dauer aus, um ein benutzerdefiniertes Ablaufdatum für den API-Schlüssel festzulegen.

    • Wählen Sie Nie läuft ab (nicht empfohlen).

  8. Wählen Sie API-Schlüssel generieren aus.

  9. Kopieren Sie Ihren API-Schlüssel oder laden Sie ihn herunter. Dies ist das einzige Mal, dass Sie den API-Schlüsselwert anzeigen können.

    Wichtig

    Bewahren Sie Ihren API-Schlüssel sicher auf. Nach dem Schließen des Dialogfelds kann der API-Schlüssel nicht erneut abgerufen werden. Wenn Sie Ihren API-Schlüssel verlieren oder vergessen, können Sie ihn nicht abrufen. Generieren Sie stattdessen einen neuen API-Schlüssel und machen Sie den alten Schlüssel inaktiv.

Generierung eines langfristigen API-Schlüssels (AWS CLI)

Gehen Sie wie folgt vor AWS CLI, um mit dem einen langfristigen API-Schlüssel zu generieren:

  1. Erstellen Sie mit dem Befehl create-user einen IAM-Benutzer, der mit Amazon Bedrock oder Amazon CloudWatch Logs verwendet wird:

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Hängen Sie die AWS verwaltete Richtlinie mithilfe des Befehls an den IAM-Benutzer an. attach-user-policy

    Für Amazon Bedrock:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Für Amazon CloudWatch Logs:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Generieren Sie den langfristigen API-Schlüssel mithilfe des create-service-specific-credentialBefehls.

    Für Amazon Bedrock:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Für Amazon CloudWatch Logs:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    Anmerkung

    Der Parameter --credential-age-days ist optional. Sie können einen Wert zwischen 1—36600 Tagen angeben. Wenn Sie diesen Parameter weglassen, läuft der API-Schlüssel nicht ab.

Der ServiceApiKeyValue in der Antwort zurückgegebene ist Ihr langfristiger API-Schlüssel für den jeweiligen Dienst. Speichern Sie den Wert „ServiceApiKeyValue“ sicher, da Sie ihn später nicht mehr abrufen können.

Auflisten langfristiger API-Schlüssel (AWS CLI)

Verwenden Sie den list-service-specific-credentialsBefehl mit dem folgenden --user-name Parameter, um Metadaten für langfristige API-Schlüssel für einen bestimmten Benutzer aufzulisten:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
Anmerkung

bedrock.amazonaws.com.rproxy.govskope.caErsetzen Sie es durch den entsprechenden Servicenamen (z. B. logs.amazonaws.com für Amazon CloudWatch Logs).

Verwenden Sie den list-service-specific-credentialsBefehl mit dem folgenden --all-users Parameter, um alle Metadaten für langfristige API-Schlüssel im Konto aufzulisten:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Aktualisieren des Status des langfristigen API-Schlüssels (AWS CLI)

Verwenden Sie den update-service-specific-credentialfolgenden Befehl, um den Status eines langfristigen API-Schlüssels zu aktualisieren:

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Generierung eines langfristigen API-Schlüssels (AWS API)

Sie können die folgenden IAM-API-Operationen verwenden, um langfristige API-Schlüssel für jeden unterstützten Dienst zu verwalten:

Kurzfristige API-Schlüssel (Amazon Bedrock)

Kurzfristige API-Schlüssel werden derzeit nur von Amazon Bedrock unterstützt. Informationen zur Generierung und Verwendung von kurzfristigen API-Schlüsseln finden Sie unter Generieren eines API-Schlüssels im Amazon Bedrock-Benutzerhandbuch.

Servicespezifische Informationen