Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Clés d'API pour Amazon Bedrock
Amazon Bedrock est un service entièrement géré qui propose des modèles de base issus des principales sociétés d'IA et d'Amazon. Vous pouvez accéder à Amazon Bedrock via AWS Management Console et par programmation à l'aide de l' AWS CLI API ou. AWS Lorsque vous envoyez des demandes programmatiques à Amazon Bedrock, vous pouvez vous authentifier à l'aide d'informations d'identification de sécurité temporaires ou de clés d'API Amazon Bedrock. Amazon Bedrock prend en charge deux types de clés d'API :
-
Clés d'API à court terme — Une clé d'API à court terme est une URL pré-signée qui utilise AWS la version 4 de Signature. Les clés d'API à court terme ont les mêmes autorisations et expirations que les informations d'identification de l'identité qui génère la clé d'API et sont valides jusqu'à 12 heures ou jusqu'à la fin de votre session de console, la période la plus courte étant retenue. Vous pouvez utiliser la console Amazon Bedrock, le package
aws-bedrock-token-generatorPython et les packages d'autres langages de programmation pour générer des clés d'API à court terme. Pour plus d'informations, consultez la section Générer des clés d'API Amazon Bedrock pour accéder facilement à l'API Amazon Bedrock dans le guide de l'utilisateur d'Amazon Bedrock. -
Clés d'API à long terme : les clés d'API à long terme sont associées à un utilisateur IAM et générées à l'aide d'informations d'identification spécifiques au service IAM. Ces informations d'identification sont conçues pour être utilisées uniquement avec Amazon Bedrock, ce qui renforce la sécurité en limitant la portée des informations d'identification. Vous pouvez définir une date d'expiration pour la clé d'API à long terme. Vous pouvez utiliser la console IAM ou Amazon Bedrock, la AWS CLI ou l' AWS API pour générer des clés d'API à long terme.
Un utilisateur IAM peut disposer d'un maximum de deux clés d'API à long terme pour Amazon Bedrock, qui vous aident à mettre en œuvre des pratiques de rotation de clés sécurisées.
Lorsque vous générez une clé d'API à long terme, la politique AWS gérée AmazonBedrockLimitedAccessest automatiquement attachée à l'utilisateur IAM. Cette politique donne accès aux principales opérations de l'API Amazon Bedrock. Si vous avez besoin d'un accès supplémentaire à Amazon Bedrock, vous pouvez modifier les autorisations de l'utilisateur IAM. Pour plus d'informations sur la modification des autorisations, consultezAjout et suppression d'autorisations basées sur l'identité IAM.
Note
Les clés d'API à long terme présentent un risque de sécurité plus élevé que les clés d'API à court terme. Nous vous recommandons d'utiliser des clés API à court terme ou des identifiants de sécurité temporaires dans la mesure du possible. Si vous utilisez des clés d'API à long terme, nous vous recommandons de mettre en œuvre des pratiques régulières de rotation des clés.
Prérequis
Avant de pouvoir générer une clé d'API à long terme Amazon Bedrock à partir de la console IAM, vous devez remplir les conditions préalables suivantes :
-
Un utilisateur IAM à associer à la clé d'API à long terme. Pour obtenir des instructions sur la création d'un utilisateur IAM, consultezCréation d’un utilisateur IAM dans votre Compte AWS.
-
Assurez-vous de disposer des autorisations de politique IAM suivantes pour gérer les informations d'identification spécifiques au service pour un utilisateur IAM. L'exemple de politique accorde l'autorisation de créer, de répertorier, de mettre à jour, de supprimer et de réinitialiser les informations d'identification spécifiques au service. Remplacez la
username{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageBedrockServiceSpecificCredentials", "Effect": "Allow", "Action": [ "iam:CreateServiceSpecificCredential", "iam:ListServiceSpecificCredentials", "iam:UpdateServiceSpecificCredential", "iam:DeleteServiceSpecificCredential", "iam:ResetServiceSpecificCredential" ], "Resource": "arn:aws:iam::*:user/username" } ] }
Génération d'une clé d'API à long terme pour Amazon Bedrock (console)
Pour générer une clé d'API à long terme Amazon Bedrock (console)
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Dans le volet de navigation de la console IAM, sélectionnez Users.
-
Sélectionnez l'utilisateur IAM pour lequel vous souhaitez générer des clés d'API à long terme Amazon Bedrock.
-
Choisissez l'onglet Informations d'identification de sécurité.
-
Dans la section Clés d'API pour Amazon Bedrock, choisissez Generate API Key.
-
Pour l'expiration de la clé d'API, effectuez l'une des opérations suivantes :
-
Sélectionnez une durée d'expiration de la clé API de 1, 5, 30, 90 ou 365 jours.
-
Choisissez Durée personnalisée pour spécifier une date d'expiration de clé d'API personnalisée.
-
Sélectionnez Ne jamais expirer (non recommandé)
-
-
Choisissez Générer une clé d'API.
-
Copiez ou téléchargez votre clé d'API. C'est la seule fois où vous pouvez consulter la valeur de la clé d'API.
Important
Stockez votre clé d'API en toute sécurité. Après avoir fermé la boîte de dialogue, vous ne pouvez plus récupérer la clé d'API. Si vous perdez ou oubliez votre clé d'accès secrète, vous ne pouvez pas la récupérer. Créez plutôt une nouvelle clé d'accès et désactivez l'ancienne clé.
Génération d'une clé d'API à long terme pour Amazon Bedrock ()AWS CLI
Pour générer une clé d'API à long terme Amazon Bedrock à l'aide de AWS CLI, procédez comme suit :
-
Créez un utilisateur IAM qui sera utilisé avec Amazon Bedrock à l'aide de la commande create-user
: aws iam create-user \ --user-nameBedrockAPIKey_1 -
Associez la politique AWS gérée
AmazonBedrockLimitedAccessà l'utilisateur Amazon Bedrock IAM à l'aide de la attach-user-policycommande : aws iam attach-user-policy --user-nameBedrockAPIKey_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess -
Générez la clé d'API à long terme Amazon Bedrock à l'aide de la create-service-specific-credential
commande. Pour l'âge des informations d'identification, vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous ne spécifiez pas d'âge d'identification, la clé d'API n'expirera pas. Pour générer une clé d'API à long terme avec une expiration de 30 jours, procédez comme suit :
aws iam create-service-specific-credential \ --user-nameBedrockAPIKey_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30
La réponse ServiceApiKeyValue renvoie votre clé API Amazon Bedrock à long terme. Stockez la ServiceApiKeyValue valeur en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.
Répertorier les clés d'API à long terme (AWS CLI)
Pour répertorier les métadonnées des clés d'API à long terme d'Amazon Bedrock pour un utilisateur spécifique, utilisez la list-service-specific-credentials--user-name paramètre :
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameBedrockAPIKey_1
Pour répertorier toutes les métadonnées des clés d'API à long terme Amazon Bedrock présentes dans le compte, utilisez la list-service-specific-credentials--all-users paramètre :
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Mettre à jour le statut de la clé d'API à long terme (AWS CLI)
Pour mettre à jour le statut d'une clé d'API à long terme pour Amazon Bedrock, utilisez la update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "BedrockAPIKey_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
Génération d'une clé d'API à long terme pour Amazon Bedrock (AWS API)
Vous pouvez utiliser les opérations d'API suivantes pour générer et gérer des clés d'API à long terme pour Amazon Bedrock :
