API-Schlüssel für Amazon Bedrock
Amazon Bedrock ist ein vollständig verwalteter Service, der Grundlagenmodelle führender KI-Unternehmen und von Amazon bietet. Sie können über die AWS-Managementkonsole und programmgesteuert über die AWS CLI oder die AWS-API auf Amazon Bedrock zugreifen. Bei programmgesteuerten Anfragen an Amazon Bedrock können Sie sich entweder mit temporären Sicherheitsanmeldeinformationen oder API-Schlüsseln von Amazon Bedrock authentifizieren. Amazon Bedrock unterstützt zwei Arten von API-Schlüsseln:
-
Kurzfristige API-Schlüssel – Ein kurzfristiger API-Schlüssel ist eine vorsignierte URL, die AWS Signature Version 4 verwendet. Kurzfristige API-Schlüssel haben dieselben Berechtigungen und dieselbe Gültigkeitsdauer wie die Anmeldeinformationen der Identität, die den API-Schlüssel generiert, und sind bis zu 12 Stunden oder bis zum Ende Ihrer Konsolensitzung gültig, je nachdem, welcher Zeitraum kürzer ist. Sie können die Amazon-Bedrock-Konsole, das Python-Paket
aws-bedrock-token-generatorund Pakete für andere Programmiersprachen verwenden, um kurzfristige API-Schlüssel zu generieren. Weitere Informationen finden Sie im Amazon-Bedrock-Benutzerhandbuch unter Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API. -
Langfristige API-Schlüssel – Langfristige API-Schlüssel sind einem IAM-Benutzer zugeordnet und werden mithilfe von IAM-servicespezifischen Anmeldeinformationen generiert. Diese Anmeldeinformationen sind ausschließlich für die Verwendung mit Amazon Bedrock vorgesehen und erhöhen die Sicherheit durch die Einschränkung des Umfangs der Anmeldeinformationen. Sie können eine Ablaufzeit für den langfristigen API-Schlüssel festlegen. Sie können die IAM- oder Amazon-Bedrock-Konsole, die AWS-CLI oder die AWS-API verwenden, um langfristige API-Schlüssel zu generieren.
Ein IAM-Benutzer kann über bis zu zwei langfristige API-Schlüssel für Amazon Bedrock verfügen, was Ihnen die Implementierung sicherer Schlüsselrotationsverfahren erleichtert.
Wenn Sie einen langfristigen API-Schlüssel generieren, wird die von AWS verwaltete Richtlinie AmazonBedrockLimitedAccess automatisch dem IAM-Benutzer zugewiesen. Diese Richtlinie gewährt Zugriff auf die wichtigsten API-Operationen von Amazon Bedrock. Wenn Sie zusätzlichen Zugriff auf Amazon Bedrock benötigen, können Sie die Berechtigungen für den IAM-Benutzer anpassen. Weitere Informationen zum Ändern von Berechtigungen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen. Weitere Informationen zur Verwendung eines Amazon-Bedrock-Schlüssels finden Sie im Amazon-Bedrock-Benutzerhandbuch unter Verwenden eines API-Schlüssels von Amazon Bedrock.
Anmerkung
Langfristige API-Schlüssel bergen ein höheres Sicherheitsrisiko als kurzfristige API-Schlüssel. Wir empfehlen, nach Möglichkeit kurzfristige API-Schlüssel oder temporäre Sicherheitsanmeldeinformationen zu verwenden. Wenn Sie langfristige API-Schlüssel verwenden, empfehlen wir die regelmäßige Schlüsselrotation.
Voraussetzungen
Bevor Sie einen langfristigen API-Schlüssel für Amazon Bedrock über die IAM-Konsole generieren können, müssen folgende Voraussetzungen erfüllt sein:
-
Ein IAM-Benutzer, der dem langfristigen API-Schlüssel zugeordnet werden soll. Weitere Anweisungen zum Erstellen eines IAM-Benutzers finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto.
-
Stellen Sie sicher, dass Sie über die folgenden IAM-Richtlinienberechtigungen verfügen, um servicespezifische Anmeldeinformationen für einen IAM-Benutzer zu verwalten. Die Beispielrichtlinie gewährt die Berechtigung zum Erstellen, Auflisten, Aktualisieren, Löschen und Zurücksetzen servicespezifischer Anmeldeinformationen. Ersetzen Sie den Wert „
username
Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (Konsole)
So generieren Sie einen langfristigen API-Schlüssel für Amazon Bedrock (Konsole)
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich der IAM-Konsole Benutzer aus.
-
Wählen Sie den IAM-Benutzer aus, für den Sie langfristige API-Schlüssel für Amazon Bedrock generieren möchten.
-
Wechseln Sie zur Registerkarte Sicherheitsanmeldeinformationen.
-
Wählen Sie im Abschnitt API-Schlüssel für Amazon Bedrock die Option API-Schlüssel generieren aus.
-
Für den Ablauf des API-Schlüssels haben Sie folgende Möglichkeiten:
-
Wählen Sie eine Ablaufdauer für den API-Schlüssel von 1, 5, 30, 90 oder 365 Tagen aus.
-
Wählen Sie Benutzerdefinierte Dauer aus, um ein benutzerdefiniertes Ablaufdatum für den API-Schlüssel festzulegen.
-
Wählen Sie Nie läuft ab aus (nicht empfohlen).
-
-
Wählen Sie API-Schlüssel generieren aus.
-
Kopieren Sie Ihren API-Schlüssel oder laden Sie ihn herunter. Dies ist das einzige Mal, dass Sie den API-Schlüsselwert anzeigen können.
Wichtig
Bewahren Sie Ihren API-Schlüssel sicher auf. Nach dem Schließen des Dialogfelds kann der API-Schlüssel nicht erneut abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren oder vergessen, können Sie ihn nicht wiederherstellen. Erstellen Sie stattdessen einen neuen Zugriffsschlüssel und deaktivieren Sie den alten.
Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS CLI)
Um einen langfristigen API-Schlüssel für Amazon Bedrock mithilfe der AWS CLI zu generieren, gehen Sie wie folgt vor:
-
Erstellen Sie mit dem Befehl create-user
einen IAM-Benutzer, der mit Amazon Bedrock verwendet werden soll. aws iam create-user \ --user-nameBedrockAPIKey_1 -
Weisen Sie dem IAM-Benutzer von Amazon Bedrock mit dem Befehl attach-user-policy
die von AWS verwaltete Richtlinie „ AmazonBedrockLimitedAccess“ zu.aws iam attach-user-policy --user-nameBedrockAPIKey_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess -
Generieren Sie den langfristigen API-Schlüssel für Amazon Bedrock mit dem Befehl create-service-specific-credential
. Für die Gültigkeitsdauer der Anmeldeinformationen können Sie einen Wert zwischen 1 und 36 600 Tagen angeben. Wenn Sie keine Gültigkeitsdauer für die Anmeldeinformationen angeben, läuft der API-Schlüssel nicht ab. So generieren Sie einen langfristigen API-Schlüssel mit einer Gültigkeitsdauer von 30 Tagen:
aws iam create-service-specific-credential \ --user-nameBedrockAPIKey_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30
Der in der Antwort zurückgegebene Wert „ServiceApiKeyValue“ ist Ihr langfristiger API-Schlüssel für Amazon Bedrock. Speichern Sie den Wert „ServiceApiKeyValue“ sicher, da Sie ihn später nicht mehr abrufen können.
Auflisten langfristiger API-Schlüssel (AWS CLI)
Um die Metadaten der langfristigen API-Schlüssel für Amazon Bedrock eines bestimmten Benutzers aufzulisten, verwenden Sie den Befehl list-service-specific-credentials--user-name“:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameBedrockAPIKey_1
Um alle Metadaten der langfristigen API-Schlüssel für Amazon Bedrock im Konto aufzulisten, verwenden Sie den Befehl list-service-specific-credentials--all-users“:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Aktualisieren des Status des langfristigen API-Schlüssels (AWS CLI)
Verwenden Sie den Befehl update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "BedrockAPIKey_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS-API)
Sie können die folgenden API-Operationen verwenden, um langfristige API-Schlüssel für Amazon Bedrock zu generieren und zu verwalten:
