Generar una clave de API de Amazon Bedrock - Amazon Bedrock
Genere una clave de API mediante la consolaGenere una clave de API mediante la API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Generar una clave de API de Amazon Bedrock

Puede generar una clave de API de Amazon Bedrock mediante la AWS Management Console o la AWS API. Le recomendamos que utilice la AWS Management Console para generar fácilmente una clave de API de Amazon Bedrock en unos pocos pasos.

Genere una clave de API de Amazon Bedrock mediante la consola

Para generar una clave de API de Amazon Bedrock mediante la consola, haga lo siguiente:

  1. Inicie sesión AWS Management Console con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola Amazon Bedrock en https://console.aws.amazon.com/bedrock/.

  2. En el panel de navegación izquierdo, selecciona Claves de API.

  3. Genera uno de los siguientes tipos de claves:

    • Clave de API a corto plazo: en la pestaña Claves de API a corto plazo, selecciona Generar claves de API a corto plazo. La clave caduca cuando caduca la sesión de la consola (y no más de 12 horas) y te permite realizar llamadas a la fuente desde la Región de AWS que la generaste. Puede modificar la región directamente en la clave generada.

    • Clave de API a largo plazo: en la pestaña Claves de API a largo plazo, selecciona Generar claves de API a largo plazo.

      1. En la sección de caducidad de la clave de API, elige una hora a partir de la cual caducará la clave.

      2. (Opcional) De forma predeterminada, la política AmazonBedrockLimitedAccess AWS gestionada, que concede acceso a las operaciones principales de la API de Amazon Bedrock, se adjunta al usuario de IAM asociado a la clave. Para seleccionar más políticas para adjuntarlas al usuario, amplíe la sección de permisos avanzados y seleccione las políticas que desee añadir.

      3. Seleccione Generar.

      aviso

      Recomendamos encarecidamente restringir el uso de claves de larga duración para la exploración de Amazon Bedrock. Cuando esté preparado para incorporar Amazon Bedrock en aplicaciones con mayores requisitos de seguridad, consulte la siguiente documentación:

Genere una clave de API de Amazon Bedrock mediante la API

Le recomendamos que lo utilice AWS Management Console para generar las claves de API de Amazon Bedrock para una experiencia sencilla. Sin embargo, también puede generar claves a través de la API. Amplía la sección que corresponda a tu caso de uso.

Los pasos generales para crear una clave de API de Amazon Bedrock a largo plazo en la API son los siguientes:

  1. Cree un usuario de IAM enviando una CreateUsersolicitud con un punto de enlace de IAM.

  2. Adjunte el AmazonBedrockLimitedAccessnombre al usuario de IAM enviando una AttachUserPolicysolicitud con un punto final de IAM. Puede repetir este paso para adjuntar al usuario otras políticas administradas o personalizadas, según sea necesario.

    nota

    Como práctica recomendada de seguridad, le recomendamos encarecidamente que adjunte políticas de IAM al usuario de IAM para restringir el uso de las claves de API de Amazon Bedrock. Para ver ejemplos de políticas con plazos determinados y restringir las direcciones IP que pueden utilizar la clave, consulte Controlar el uso de las claves de acceso adjuntando una política en línea a un usuario de IAM.

  3. Genere la clave de API de Amazon Bedrock a largo plazo enviando una CreateServiceSpecificCredentialsolicitud con un punto de enlace de IAM y especificándola bedrock.amazonaws.com como. ServiceName

    • La que se ServiceApiKeyValue devuelve en la respuesta es la clave de API de Amazon Bedrock a largo plazo.

    • La ServiceSpecificCredentialId información devuelta en la respuesta se puede utilizar para realizar operaciones de API relacionadas con la clave.

Para obtener información sobre cómo generar una clave de API de Amazon Bedrock a largo plazo, elija la pestaña del método que prefiera y, a continuación, siga los pasos:

CLI

Para crear una clave de API de Amazon Bedrock a largo plazo, utilice las operaciones de AWS Identity and Access Management API. En primer lugar, asegúrese de cumplir el requisito previo:

Requisito previo

Asegúrese de que su configuración le permita reconocer automáticamente sus AWS credenciales. AWS CLI Para obtener más información, consulte Configurar los ajustes para AWS CLI.

Abra una ventana de terminal y ejecute los siguientes comandos:

  1. Cree un usuario de IAM. Puede sustituir el nombre por uno de su elección:

    aws iam create-user --user-name bedrock-api-user

  2. Adjunte el nombre AmazonBedrockLimitedAccessal usuario. Puedes repetir este paso con cualquier otra política AWS gestionada o personalizada que desees añadir a la clave de API: ARNs 

    aws iam attach-user-policy --user-name bedrock-api-user --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. Cree la clave API de Amazon Bedrock de larga duración y ${NUMBER-OF-DAYS} sustitúyala por el número de días que desea que dure la clave:

    aws iam create-service-specific-credential \
    --user-name bedrock-api-user \
    --service-name bedrock.amazonaws.com \
    --credential-age-days ${NUMBER-OF-DAYS}
Python

Para crear una clave de API de Amazon Bedrock a largo plazo, utilice las operaciones de AWS Identity and Access Management API. En primer lugar, asegúrese de cumplir el requisito previo:

Requisito previo

Asegúrese de que su configuración permita que Python reconozca automáticamente sus AWS credenciales. Para obtener más información, consulte Configurar los ajustes para AWS CLI.

Ejecute el siguiente script para crear un usuario de IAM, adjuntar permisos para realizar acciones de Amazon Bedrock y generar una clave de API de Amazon Bedrock a largo plazo para asociarla al usuario:

import boto3
from datetime import datetime, timedelta

# Replace with name for your IAM user
username = "bedrock-api-user"
# Add any AWS-managed or custom policies that you want to the user
bedrock_policies = [
    "arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess",        # Limited access
#    "arn:aws:iam::aws:policy/AmazonBedrockMarketplaceAccess",   # Optional: Access to Amazon Bedrock Marketplace actions
]
# Set the key expiration time to a number of your choice
expiration_time_in_days = 30

iam_client = boto3.client("iam")
    
# Create IAM user
user = iam_client.create_iam_user(username)

# Attach policies to user
for policy_arn in bedrock_policies:
    iam_client.attach_managed_policy(username, policy_arn)

# Create long-term Amazon Bedrock API key and return it
service_credentials = iam_client.create_service_specific_credential(
    user_name=username, 
    service_name="bedrock",
    credential_age_days=expiration_time_in_days
) 
api_key = service_credentials["ServiceApiKeyValue"]
print(api_key)

Puede generar una clave de API de Amazon Bedrock de corta duración que dure tanto como la sesión utilizada para generarla (y no más de 12 horas).

Requisitos previos

  • Asegúrese de que su configuración permita que Python reconozca automáticamente sus AWS credenciales. Para obtener más información, consulte Configurar los ajustes para AWS CLI.

  • Abre una terminal y descarga el generador de fichas de Amazon Bedrock con el comando que corresponda al SDK que estés utilizando:

    • Python

      python3 -m pip install aws-bedrock-token-generator

    • Javascript

      npm install @aws/bedrock-token-generator

  • Asegúrese de que la identidad de IAM que está utilizando para realizar llamadas a la API tenga permisos mínimos para asumir un rol y crear una sesión de rol:

    • La identidad de IAM debe tener permisos para asumir la función. Si la identidad tiene permisos restringidos, puede adjuntar la siguiente política basada en la identidad a la identidad (${arn:aws:iam::111122223333:role/SessionRole}sustituirla por el ARN real del rol de la sesión):

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "${arn:aws:iam::111122223333:role/SessionRole}"
        }
    ]
}

      Para obtener más información sobre cómo conceder permisos de identidad para asumir un rol, consulte Otorgar permisos a un usuario para cambiar de rol.

    • El rol de IAM debe tener una política de confianza que permita que la identidad de IAM lo asuma. Puede adjuntar la siguiente política de confianza a una función de IAM para permitir que el director especificado en el Principal campo asuma la función de crear la clave. En este ejemplo, se especifica un usuario de IAM como principal. Sustitúyalo por el ARN real del usuario.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "${arn:aws:iam::111122223333:user/UserId}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

      Para obtener más información sobre los principios, consulte Elementos de la política de AWS JSON: Principal. Para obtener información sobre cómo actualizar la política de confianza de un rol, consulta Actualizar la política de confianza de un rol.

Elija la pestaña que corresponda al SDK que esté utilizando y ejecute el script para generar una clave de API de Amazon Bedrock a corto plazo a partir de sus credenciales de sesión:

Python
from aws_bedrock_token_generator import BedrockTokenGenerator
import boto3

# Replace with a region of your choice
region = "us-east-1"

# Fetch credentials
session = boto3.Session()
credentials = session.get_credentials()

# Initialize token generator
generator = BedrockTokenGenerator()

# Generate one-time token
token = generator.get_token(credentials, region)
Javascript
import { BedrockTokenGenerator } from '@aws/bedrock-token-generator';
import { fromNodeProviderChain } from '@aws-sdk/credential-providers';

async function example() {
    // Set region
    const region = 'us-east-1'
    
    // Create token generator
    const generator = new BedrockTokenGenerator();
    
    // Get credentials from default provider chain
    const credentials = fromNodeProviderChain();
    
    // Generate token
    const token = await generator.generateToken(credentials, region);
    
    // Use the token for API calls (valid for 12 hours)
    console.log(`Bearer Token: ${token}`);
}
Java

Importación de Maven

<dependency>
    <groupId>software.amazon.bedrock</groupId>
    <artifactId>aws-bedrock-token-generator</artifactId>
    <version>1.0.0</version>
</dependency>

Importación de Gradle

implementation 'software.amazon.bedrock:aws-bedrock-token-generator:1.0.0'

Uso

import software.amazon.bedrock.token.BedrockTokenGenerator;
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;

// Create token generator
BedrockTokenGenerator tokenGenerator = new BedrockTokenGenerator();

// Generate token using default credentials
String bearerToken = tokenGenerator.getToken(
    DefaultCredentialsProvider.create().resolveCredentials(),
    Region
);

// Use the token for API calls (valid for 12 hours)
System.out.println("Bearer Token: " + bearerToken);
nota

Los permisos de la clave de corto plazo serán la intersección de los siguientes: