Clés d’API pour Amazon Bedrock
Amazon Bedrock est un service entièrement géré qui propose des modèles de base provenant des principales entreprises d’IA et d’Amazon. Vous pouvez accéder à Amazon Bedrock via AWS Management Console et par programmation à l’aide de l’AWS CLI ou de l’API AWS Lorsque vous effectuez des demandes programmatiques auprès d’Amazon Bedrock, vous pouvez vous authentifier à l’aide d’informations d’identification de sécurité temporaires ou de clés API Amazon Bedrock. Amazon Bedrock prend en charge deux types de clés d’API :
-
Clés d’API à court terme : une clé d’API à court terme est une URL pré-signée qui utilise AWS Signature Version 4. Les clés API à court terme partagent les mêmes autorisations et la même date d’expiration que les informations d’identification de l’identité qui génère la clé d’API. Elles sont valables pendant 12 heures maximum ou jusqu’à la fin de votre session sur la console, selon la durée la plus courte. Vous pouvez utiliser la console Amazon Bedrock, le package Python
aws-bedrock-token-generatoret les packages d’autres langages de programmation pour générer des clés d’API à court terme. Pour plus d’informations, consultez la section Générer des clés d’API Amazon Bedrock pour accéder facilement à l’API Amazon Bedrock dans le Guide de l’utilisateur Amazon Bedrock. -
Clés d’API à long terme : les clés d’API à long terme sont associées à un utilisateur IAM et générées à l’aide d’informations d’identification spécifiques au service IAM. Ces informations d’identification sont conçues pour être utilisées uniquement avec Amazon Bedrock, ce qui renforce la sécurité en limitant leur portée. Vous pouvez définir une date d’expiration pour la clé d’API à long terme. Vous pouvez utiliser la console IAM ou Amazon Bedrock, l’interface de la ligne de commande AWS ou l’API AWS pour générer des clés d’API à long terme.
Un utilisateur IAM peut disposer d’un maximum de deux clés d’API à long terme pour Amazon Bedrock, ce qui vous aide à mettre en œuvre des pratiques sécurisées de rotation des clés.
Lorsque vous générez une clé d’API à long terme, la politique gérée AWS AmazonBedrockLimitedAccess est automatiquement attachée à l’utilisateur IAM. Cette politique accorde l’accès aux principales opérations d’API Amazon Bedrock. Si vous avez besoin d’un accès supplémentaire à Amazon Bedrock, vous pouvez modifier les autorisations de l’utilisateur IAM. Pour plus d’informations sur la modification des autorisations, consultez Ajout et suppression d'autorisations basées sur l'identité IAM. Pour plus d’informations sur l’utilisation d’une clé Amazon Bedrock, consultez la section Utilisation d’une clé d’API Amazon Bedrock dans le Guide de l’utilisateur Amazon Bedrock.
Note
Les clés d’API à long terme présentent un risque de sécurité plus élevé que les clés d’API à court terme. Nous vous recommandons d’utiliser des clés d’API à court terme ou des informations d’identification de sécurité temporaires si possible. Si vous utilisez des clés API à long terme, nous vous recommandons de mettre en place des pratiques régulières de rotation des clés.
Prérequis
Avant de pouvoir générer une clé d’API Amazon Bedrock à long terme à partir de la console IAM, vous devez remplir les conditions préalables suivantes :
-
Un utilisateur IAM à associer à la clé d’API à long terme. Pour plus d’informations sur la création d’un utilisateur IAM, consultez Création d’un utilisateur IAM dans votre Compte AWS.
-
Assurez-vous de disposer des autorisations de politique IAM suivantes pour gérer les informations d’identification spécifiques au service pour un utilisateur IAM. L’exemple de politique accorde l’autorisation de créer, répertorier, mettre à jour, supprimer et réinitialiser les informations d’identification spécifiques au service. Remplacez la valeur
username
Génération d’une clé d’API à long terme pour Amazon Bedrock (console)
Pour générer une clé d’API à long terme pour Amazon Bedrock (console)
Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de la console IAM, sélectionnez Utilisateurs.
-
Sélectionnez l’utilisateur IAM pour lequel vous souhaitez générer des clés d’API Amazon Bedrock à long terme.
-
Choisissez l’onglet Informations d’identification de sécurité.
-
Dans la section Clés d’API pour Amazon Bedrock, choisissez Générer une clé d’API.
-
Pour Epiration de la clé d’API, effectuez l’une des actions suivantes :
-
Sélectionnez une durée d’expiration de la clé d’API de 1, 5, 30, 90 ou 365 jours.
-
Choisissez Durée personnalisée pour spécifier une date d’expiration personnalisée pour la clé d’API.
-
Sélectionnez Ne jamais expirer (non recommandé)
-
-
Choisissez Générer une clé d’API.
-
Copiez ou téléchargez votre clé d’API. C’est le seul moment où vous pouvez voir la valeur de la clé API.
Important
Stockez votre clé d’API en toute sécurité. Une fois la boîte de dialogue fermée, vous ne pouvez plus récupérer la clé d’API. Si vous perdez ou oubliez votre clé d’accès secrète, vous ne pourrez pas la récupérer. Créez plutôt une nouvelle clé d’accès et désactivez l’ancienne.
Génération d’une clé d’API à long terme pour Amazon Bedrock (AWS CLI)
Pour générer une clé d’API à long terme Amazon Bedrock à l’aide de l’AWS CLI, procédez comme suit :
-
Créez un utilisateur IAM qui sera utilisé avec Amazon Bedrock à l’aide de la commande create-user
: aws iam create-user \ --user-nameBedrockAPIKey_1 -
Associez la politique gérée AWS
AmazonBedrockLimitedAccessà l’utilisateur IAM Amazon Bedrock à l’aide de la commande attach-user-policy: aws iam attach-user-policy --user-nameBedrockAPIKey_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess -
Générez la clé d’API à long terme Amazon Bedrock à l’aide de la commande create-service-specific-credential
. Pour la durée de validité des informations d’identification, vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous ne spécifiez pas de durée de validité, la clé d’API n’expirera pas. Pour générer une clé d’API à long terme avec une expiration de 30 jours, procédez comme suit :
aws iam create-service-specific-credential \ --user-nameBedrockAPIKey_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30
La valeur ServiceApiKeyValue renvoyée dans la réponse est votre clé d’API Amazon Bedrock à long terme. Stockez la valeur ServiceApiKeyValue en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.
Répertorier les clés d’API à long terme (AWS CLI)
Pour répertorier les métadonnées des clés d’API Amazon Bedrock à long terme pour un utilisateur spécifique, utilisez la commande list-service-specific-credentials--user-name :
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameBedrockAPIKey_1
Pour répertorier toutes les métadonnées des clés d’API Amazon Bedrock à long terme du compte, utilisez la commande list-service-specific-credentials--all-users :
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Mettre à jour le statut de la clé d’API à long terme (AWS CLI)
Pour mettre à jour le statut d’une clé d’API à long terme pour Amazon Bedrock, utilisez la commande update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "BedrockAPIKey_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
Génération d’une clé d’API à long terme pour Amazon Bedrock (API AWS)
Vous pouvez utiliser les opérations d’API suivantes pour générer et gérer des clés d’API à long terme pour Amazon Bedrock :
