View a markdown version of this page

Clés d'API pour les AWS services - AWS Identity and Access Management
Services pris en chargeConditions préalables pour les clés d'API à long termeGénération d'une clé d'API à long terme (console)Génération d'une clé d'API à long terme (AWS CLI)Génération d'une clé d'API (AWS API) à long termeClés d'API à court terme (Amazon Bedrock)Informations spécifiques aux services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés d'API pour les AWS services

Vous pouvez accéder aux AWS services via AWS Management Console et par programmation à l'aide de l'API AWS CLI or AWS . Lorsque vous envoyez des demandes programmatiques à des services tels qu'Amazon Bedrock et Amazon CloudWatch Logs, vous pouvez vous authentifier à l'aide d'informations d'identification IAM (par exemple, des informations de sécurité temporaires ou des clés d'accès à long terme) ou de clés API. Il existe deux types de clés d'API :

  • Clés d’API à long terme : les clés d’API à long terme sont associées à un utilisateur IAM et générées à l’aide d’informations d’identification spécifiques au service IAM. Ces informations d'identification sont conçues pour être utilisées avec un seul AWS service, ce qui renforce la sécurité en limitant la portée des informations d'identification. Vous pouvez définir une date d'expiration pour la clé d'API à long terme. Vous pouvez utiliser la console IAM ou spécifique à un service (par exemple, la console Amazon Bedrock ou CloudWatch Logs) AWS CLI, l'API ou l'API pour générer des clés d' AWS API à long terme.

  • Clés d'API à court terme (uniquement prises en charge par Amazon Bedrock) — Une clé d'API à court terme est une URL pré-signée qui utilise la version 4 de AWS Signature. Les clés API à court terme partagent les mêmes autorisations et la même date d’expiration que les informations d’identification de l’identité qui génère la clé d’API. Elles sont valables pendant 12 heures maximum ou jusqu’à la fin de votre session sur la console, selon la durée la plus courte. Vous pouvez utiliser la console Amazon Bedrock, le package Python aws-bedrock-token-generator et les packages d’autres langages de programmation pour générer des clés d’API à court terme. Pour plus d’informations, consultez la section Générer des clés d’API Amazon Bedrock pour accéder facilement à l’API Amazon Bedrock dans le Guide de l’utilisateur Amazon Bedrock.

Note

Les clés d’API à long terme présentent un risque de sécurité plus élevé que les clés d’API à court terme. Nous vous recommandons d’utiliser des clés d’API à court terme ou des informations d’identification de sécurité temporaires si possible. Si vous utilisez des clés API à long terme, nous vous recommandons de mettre en place des pratiques régulières de rotation des clés.

Services pris en charge

Le tableau suivant répertorie les AWS services qui prennent en charge les clés d'API et le type de clé d'API pris en charge par chaque service.

# Service Clés d'API à long terme Clés d'API à court terme Politique gérée attachée automatiquement
1 Amazon Bedrock Oui Oui AmazonBedrockLimitedAccess
2 Amazon CloudWatch Logs Oui N/A CloudWatchLogsAPIKeyAccès

Lorsque vous générez une clé d'API à long terme pour un service, la politique AWS gérée correspondante est automatiquement attachée à l'utilisateur IAM, lui donnant accès aux opérations principales de ce service. Si vous avez besoin d'un accès supplémentaire, vous pouvez modifier les autorisations de l'utilisateur IAM. Pour plus d’informations sur la modification des autorisations, consultez Ajout et suppression d'autorisations basées sur l'identité IAM. Pour plus d'informations sur l'utilisation d'une clé Amazon Bedrock, consultez la section Utiliser une clé d'API Amazon Bedrock dans le guide de l'utilisateur d'Amazon Bedrock. Pour plus d'informations sur l'utilisation du jeton porteur pour Amazon CloudWatch Logs, consultez la section Authentification par jeton porteur dans le guide de l'utilisateur CloudWatch des journaux.

Conditions préalables pour les clés d'API à long terme

Avant de pouvoir générer une clé d'API à long terme dans la console IAM, vous devez remplir les conditions suivantes :

  • Un utilisateur IAM à associer à la clé d’API à long terme. Pour plus d’informations sur la création d’un utilisateur IAM, consultez Créez un utilisateur IAM dans votre Compte AWS.

  • Vous devez disposer des autorisations de politique IAM suivantes pour gérer les informations d'identification spécifiques au service pour un utilisateur IAM. L’exemple de politique accorde l’autorisation de créer, répertorier, mettre à jour, supprimer et réinitialiser les informations d’identification spécifiques au service. Remplacez la username valeur de l'élément Resource par le nom de l'utilisateur IAM pour lequel vous allez générer des clés d'API à long terme :

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Génération d'une clé d'API à long terme (console)

Pour générer une clé d'API à long terme pour un service spécifique dans la console IAM

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation de la console IAM, sélectionnez Utilisateurs.

  3. Choisissez l'utilisateur IAM pour lequel vous souhaitez générer une clé d'API à long terme.

  4. Choisissez l’onglet Informations d’identification de sécurité.

  5. Dans la section Clés d'API, choisissez Générer une clé d'API.

  6. Dans la liste déroulante des AWS services, choisissez le service auprès duquel vous souhaitez que la clé d'API s'authentifie.

  7. Pour Epiration de la clé d’API, effectuez l’une des actions suivantes :

    • Choisissez une durée d'expiration de la clé d'API de 1, 5, 30, 90 ou 365 jours.

    • Choisissez Durée personnalisée pour spécifier une date d’expiration personnalisée pour la clé d’API.

    • Choisissez Ne jamais expirer (non recommandé).

  8. Choisissez Générer une clé d’API.

  9. Copiez ou téléchargez votre clé d’API. C’est le seul moment où vous pouvez voir la valeur de la clé API.

    Important

    Stockez votre clé d’API en toute sécurité. Une fois la boîte de dialogue fermée, vous ne pouvez plus récupérer la clé d’API. Si vous perdez ou oubliez votre clé d'API, vous ne pouvez pas la récupérer. Générez plutôt une nouvelle clé d'API et désactivez l'ancienne clé.

Génération d'une clé d'API à long terme (AWS CLI)

Pour générer une clé d'API à long terme à l'aide de AWS CLI, procédez comme suit :

  1. Créez un utilisateur IAM qui sera utilisé avec Amazon Bedrock ou Amazon CloudWatch Logs à l'aide de la commande create-user :

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Attachez la politique AWS gérée à l'utilisateur IAM à l'aide de la attach-user-policycommande.

    Pour Amazon Bedrock :

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Pour Amazon CloudWatch Logs :

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Générez la clé d'API à long terme à l'aide de la create-service-specific-credentialcommande.

    Pour Amazon Bedrock :

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Pour Amazon CloudWatch Logs :

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    Note

    Le paramètre --credential-age-days est facultatif. Vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous omettez ce paramètre, la clé d'API n'expire pas.

La valeur renvoyée ServiceApiKeyValue dans la réponse est votre clé d'API à long terme pour le service concerné. Stockez la valeur ServiceApiKeyValue en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.

Répertorier les clés d’API à long terme (AWS CLI)

Pour répertorier les métadonnées des clés d'API à long terme pour un utilisateur spécifique, utilisez la list-service-specific-credentialscommande avec le --user-name paramètre :

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
Note

bedrock.amazonaws.com.rproxy.govskope.caRemplacez-le par le nom de service approprié (par exemple, logs.amazonaws.com pour Amazon CloudWatch Logs).

Pour répertorier toutes les métadonnées des clés d'API à long terme du compte, utilisez la list-service-specific-credentialscommande avec le --all-users paramètre suivant :

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Mettre à jour le statut de la clé d’API à long terme (AWS CLI)

Pour mettre à jour le statut d'une clé d'API à long terme, utilisez la update-service-specific-credentialcommande suivante :

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Génération d'une clé d'API (AWS API) à long terme

Vous pouvez utiliser les opérations d'API IAM suivantes pour gérer les clés d'API à long terme pour tous les services pris en charge :

Clés d'API à court terme (Amazon Bedrock)

Les clés d'API à court terme ne sont actuellement prises en charge que par Amazon Bedrock. Pour plus d'informations sur la génération et l'utilisation de clés d'API à court terme, consultez la section Générer une clé d'API dans le guide de l'utilisateur d'Amazon Bedrock.

Informations spécifiques aux services

  • Pour plus d'informations sur l'utilisation des clés d'API avec Amazon Bedrock, consultez la section Utiliser une clé d'API Amazon Bedrock dans le guide de l'utilisateur d'Amazon Bedrock.

  • Pour plus d'informations sur l'utilisation des clés d'API avec Amazon CloudWatch Logs, consultez la section Ingestion de journaux via des points de terminaison HTTP dans le guide de l'utilisateur Amazon CloudWatch Logs.