Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Clés d'API pour les AWS services
<a name="id_credentials_api_keys_for_aws_services"></a>

Vous pouvez accéder aux AWS services via AWS Management Console et par programmation à l'aide de l'API AWS CLI or AWS . Lorsque vous envoyez des demandes programmatiques à des services tels qu'Amazon Bedrock et Amazon CloudWatch Logs, vous pouvez vous authentifier à l'aide d'informations d'identification IAM (par exemple, des informations de sécurité temporaires ou des clés d'accès à long terme) ou de clés API. Il existe deux types de clés d'API :
+ **Clés d’API à long terme **: les clés d’API à long terme sont associées à un utilisateur IAM et générées à l’aide d’[informations d’identification](id_credentials_service-specific-creds.md) spécifiques au service IAM. Ces informations d'identification sont conçues pour être utilisées avec un seul AWS service, ce qui renforce la sécurité en limitant la portée des informations d'identification. Vous pouvez définir une date d'expiration pour la clé d'API à long terme. Vous pouvez utiliser la console IAM ou spécifique à un service (par exemple, la console Amazon Bedrock ou CloudWatch Logs) AWS CLI, l'API ou l'API pour générer des clés d' AWS API à long terme.
+ **Clés d'API à court terme** (uniquement prises en charge par Amazon Bedrock) — Une clé d'API à court terme est une URL pré-signée qui utilise la version 4 de AWS Signature. Les clés API à court terme partagent les mêmes autorisations et la même date d’expiration que les informations d’identification de l’identité qui génère la clé d’API. Elles sont valables pendant 12 heures maximum ou jusqu’à la fin de votre session sur la console, selon la durée la plus courte. Vous pouvez utiliser la console Amazon Bedrock, le package Python `aws-bedrock-token-generator` et les packages d’autres langages de programmation pour générer des clés d’API à court terme. Pour plus d’informations, consultez la section [Générer des clés d’API Amazon Bedrock pour accéder facilement à l’API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) dans le *Guide de l’utilisateur Amazon Bedrock*.

**Note**  
Les clés d’API à long terme présentent un risque de sécurité plus élevé que les clés d’API à court terme. Nous vous recommandons d’utiliser des clés d’API à court terme ou des informations d’identification de sécurité temporaires si possible. Si vous utilisez des clés API à long terme, nous vous recommandons de mettre en place des pratiques régulières de rotation des clés.

## Services pris en charge
<a name="id_credentials_api_keys_supported_services"></a>

Le tableau suivant répertorie les AWS services qui prennent en charge les clés d'API et le type de clé d'API pris en charge par chaque service.


| \$1 | Service | Clés d'API à long terme | Clés d'API à court terme | Politique gérée attachée automatiquement | 
| --- | --- | --- | --- | --- | 
| 1 | Amazon Bedrock | Oui | Oui | [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockLimitedAccess.html) | 
| 2 | Amazon CloudWatch Logs | Oui | N/A | [CloudWatchLogsAPIKeyAccès](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) | 

Lorsque vous générez une clé d'API à long terme pour un service, la politique AWS gérée correspondante est automatiquement attachée à l'utilisateur IAM, lui donnant accès aux opérations principales de ce service. Si vous avez besoin d'un accès supplémentaire, vous pouvez modifier les autorisations de l'utilisateur IAM. Pour plus d’informations sur la modification des autorisations, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md). Pour plus d'informations sur l'utilisation d'une clé Amazon Bedrock, consultez la section [Utiliser une clé d'API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) dans le guide de l'utilisateur d'*Amazon Bedrock*. Pour plus d'informations sur l'utilisation du jeton porteur pour Amazon CloudWatch Logs, consultez la section [Authentification par jeton porteur](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints_BearerTokenAuth.html) dans le guide de l'*utilisateur CloudWatch des journaux*.

## Conditions préalables pour les clés d'API à long terme
<a name="id_credentials_api_keys_prerequisites"></a>

Avant de pouvoir générer une clé d'API à long terme dans la console IAM, vous devez remplir les conditions suivantes :
+ Un utilisateur IAM à associer à la clé d’API à long terme. Pour plus d’informations sur la création d’un utilisateur IAM, consultez [Créez un utilisateur IAM dans votre Compte AWS](id_users_create.md).
+ Vous devez disposer des autorisations de politique IAM suivantes pour gérer les informations d'identification spécifiques au service pour un utilisateur IAM. L’exemple de politique accorde l’autorisation de créer, répertorier, mettre à jour, supprimer et réinitialiser les informations d’identification spécifiques au service. Remplacez la `username` valeur de l'élément Resource par le nom de l'utilisateur IAM pour lequel vous allez générer des clés d'API à long terme :

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "ManageBedrockServiceSpecificCredentials",
              "Effect": "Allow",
              "Action": [
                  "iam:CreateServiceSpecificCredential",
                  "iam:ListServiceSpecificCredentials",
                  "iam:UpdateServiceSpecificCredential",
                  "iam:DeleteServiceSpecificCredential",
                  "iam:ResetServiceSpecificCredential"
              ],
              "Resource": "arn:aws:iam::*:user/username"
          }
      ]
  }
  ```

------

## Génération d'une clé d'API à long terme (console)
<a name="id_credentials_api_keys_console_create"></a>

**Pour générer une clé d'API à long terme pour un service spécifique dans la console IAM**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation de la console IAM, sélectionnez **Utilisateurs**.

1. Choisissez l'utilisateur IAM pour lequel vous souhaitez générer une clé d'API à long terme.

1. Choisissez l’onglet **Informations d’identification de sécurité.**

1. Dans la section **Clés d'API**, choisissez **Générer une clé d'API**.

1. Dans la liste déroulante des **AWS services**, choisissez le service auprès duquel vous souhaitez que la clé d'API s'authentifie.

1. Pour **Epiration de la clé d’API**, effectuez l’une des actions suivantes :
   + Choisissez une durée d'expiration de la clé d'API de **1**, **5**, **30**, **90** ou **365** jours.
   + Choisissez **Durée personnalisée** pour spécifier une date d’expiration personnalisée pour la clé d’API.
   + Choisissez **Ne jamais expirer** (non recommandé).

1. Choisissez **Générer une clé d’API**.

1. Copiez ou téléchargez votre clé d’API. C’est le seul moment où vous pouvez voir la valeur de la clé API.
**Important**  
Stockez votre clé d’API en toute sécurité. Une fois la boîte de dialogue fermée, vous ne pouvez plus récupérer la clé d’API. Si vous perdez ou oubliez votre clé d'API, vous ne pouvez pas la récupérer. Générez plutôt une nouvelle clé d'API et désactivez l'ancienne clé.

## Génération d'une clé d'API à long terme (AWS CLI)
<a name="id_credentials_api_keys_cli_create"></a>

Pour générer une clé d'API à long terme à l'aide de AWS CLI, procédez comme suit :

1. Créez un utilisateur IAM qui sera utilisé avec Amazon Bedrock ou Amazon CloudWatch Logs à l'aide de la commande [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html) :

   ```
   aws iam create-user \
       --user-name APIKeyUser_1
   ```

1. Attachez la politique AWS gérée à l'utilisateur IAM à l'aide de la [ attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html)commande.

   Pour Amazon Bedrock :

   ```
   aws iam attach-user-policy --user-name APIKeyUser_1 \
       --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
   ```

   Pour Amazon CloudWatch Logs :

   ```
   aws iam attach-user-policy --user-name APIKeyUser_1 \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess
   ```

1. Générez la clé d'API à long terme à l'aide de la [ create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)commande.

   Pour Amazon Bedrock :

   ```
   aws iam create-service-specific-credential \
       --user-name APIKeyUser_1 \
       --service-name bedrock.amazonaws.com \
       --credential-age-days 30
   ```

   Pour Amazon CloudWatch Logs :

   ```
   aws iam create-service-specific-credential \
       --user-name APIKeyUser_1 \
       --service-name logs.amazonaws.com \
       --credential-age-days 30
   ```
**Note**  
Le paramètre `--credential-age-days` est facultatif. Vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous omettez ce paramètre, la clé d'API n'expire pas.

La valeur renvoyée `ServiceApiKeyValue` dans la réponse est votre clé d'API à long terme pour le service concerné. Stockez la valeur `ServiceApiKeyValue` en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.

### Répertorier les clés d’API à long terme (AWS CLI)
<a name="id_credentials_api_keys_cli_list"></a>

Pour répertorier les métadonnées des clés d'API à long terme pour un utilisateur spécifique, utilisez la [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)commande avec le `--user-name` paramètre :

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
```

**Note**  
`bedrock.amazonaws.com`Remplacez-le par le nom de service approprié (par exemple, `logs.amazonaws.com` pour Amazon CloudWatch Logs).

Pour répertorier toutes les métadonnées des clés d'API à long terme du compte, utilisez la [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)commande avec le `--all-users` paramètre suivant :

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users
```

### Mettre à jour le statut de la clé d’API à long terme (AWS CLI)
<a name="id_credentials_api_keys_cli_update"></a>

Pour mettre à jour le statut d'une clé d'API à long terme, utilisez la [ update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)commande suivante :

```
aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active
```

## Génération d'une clé d'API (AWS API) à long terme
<a name="id_credentials_api_keys_api"></a>

Vous pouvez utiliser les opérations d'API IAM suivantes pour gérer les clés d'API à long terme pour tous les services pris en charge :
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html) 

## Clés d'API à court terme (Amazon Bedrock)
<a name="id_credentials_api_keys_short_term"></a>

Les clés d'API à court terme ne sont actuellement prises en charge que par Amazon Bedrock. Pour plus d'informations sur la génération et l'utilisation de clés d'API à court terme, consultez la section [Générer une clé d'API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-generate.html) dans le *guide de l'utilisateur d'Amazon Bedrock*.

## Informations spécifiques aux services
<a name="id_credentials_api_keys_service_info"></a>
+ Pour plus d'informations sur l'utilisation des clés d'API avec Amazon Bedrock, consultez la section [Utiliser une clé d'API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) dans le guide de l'utilisateur d'*Amazon Bedrock*.
+ Pour plus d'informations sur l'utilisation des clés d'API avec Amazon CloudWatch Logs, consultez la section Ingestion de [journaux via des points de terminaison HTTP](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.