Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Informations d’identification spécifiques au service pour les utilisateurs IAM
Les informations d'identification spécifiques à un service sont des mécanismes d'authentification spécialisés conçus pour des services spécifiques AWS . Ces informations d'identification fournissent une authentification simplifiée par rapport aux AWS informations d'identification standard et sont adaptées aux exigences d'authentification de chaque AWS service. Contrairement aux clés d'accès, qui peuvent être utilisées pour plusieurs AWS services, les informations d'identification spécifiques à un service sont conçues pour être utilisées uniquement avec le service pour lequel elles ont été créées. Cette approche ciblée améliore la sécurité en limitant la portée des informations d’identification.
Les informations d’identification spécifiques à un service se composent généralement d’un nom d’utilisateur et d’un mot de passe ou de clés d’API spécialisées dont le format est conforme aux exigences du service concerné. Lorsque vous créez des informations d’identification spécifiques à un service, celles-ci sont actives par défaut et peuvent être utilisées immédiatement. Vous pouvez avoir un maximum de deux ensembles d’informations d’identification spécifiques au service pour chaque service pris en charge par utilisateur IAM. Cette limite vous permet de conserver un ensemble actif tout en passant à un nouveau set en cas de besoin. AWS prend actuellement en charge les informations d'identification spécifiques au service pour les services suivants :
## Quand utiliser les informations d'identification spécifiques au service
Les informations d'identification spécifiques au service sont destinées à être compatibles avec des bibliothèques SDKs, des outils ou des applications tiers qui ne sont pas compatibles nativement avec les AWS informations d'identification, AWS SDKs ou. AWS APIs Ces cas d'utilisation incluent la migration vers des AWS services à partir d'une infrastructure auto-hébergée ou de services hébergés par d'autres fournisseurs.
Lorsque vous partez de zéro, et dans la mesure du possible, nous vous recommandons d'utiliser des informations d'identification AWS temporaires, telles que celles fournies par un rôle IAM, pour vous authentifier auprès d'un AWS service à l'aide d'un AWS SDK ou d'une bibliothèque qui prend en charge AWS les informations d'identification temporaires.
## Changement des informations d’identification spécifiques au service
En tant que bonne pratique en matière de sécurité, renouvelez régulièrement les informations d’identification spécifiques aux services. Pour changer les informations d’identification sans perturber vos applications :
1. Créez un deuxième ensemble d’informations d’identification spécifiques au service pour le même service et le même utilisateur IAM
1. Mettez à jour toutes les applications afin qu’elles utilisent les nouvelles informations d’identification et vérifiez qu’elles fonctionnent correctement
1. Modifiez le statut des informations d’identification d’origine en « Inactif »
1. Vérifiez que toutes les applications fonctionnent toujours correctement
1. Supprimez les informations d’identification spécifiques au service inactif lorsque vous êtes certain qu’elles ne sont plus nécessaires.
## Surveillance des informations d’identification spécifiques au service
Vous pouvez l'utiliser AWS CloudTrail pour surveiller l'utilisation des informations d'identification spécifiques au service dans votre AWS compte. Pour consulter les CloudTrail événements liés à l'utilisation des informations d'identification spécifiques à un service, consultez les CloudTrail journaux des événements provenant du service où les informations d'identification sont utilisées. Pour de plus amples informations, veuillez consulter [Journalisation des appels IAM et AWS STS API avec AWS CloudTrail](cloudtrail-integration.md).
Pour plus de sécurité, envisagez de configurer des CloudWatch alarmes pour vous avertir de modèles d'utilisation spécifiques des informations d'identification susceptibles d'indiquer un accès non autorisé ou d'autres problèmes de sécurité. Pour plus d'informations, consultez la section [Surveillance des fichiers CloudTrail CloudWatch journaux avec Amazon Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Les rubriques suivantes fournissent des informations sur les informations d’identification spécifiques au service.
**Topics**
+ [Quand utiliser les informations d'identification spécifiques au service](#id_credentials_service-specific-creds-usecase)
+ [Changement des informations d’identification spécifiques au service](#id_credentials_service-specific-creds-rotation)
+ [Surveillance des informations d’identification spécifiques au service](#id_credentials_service-specific-creds-monitoring)
+ [Clés d'API pour Amazon Bedrock et Amazon CloudWatch Logs](id_credentials_bedrock_cloudwatchlogs.md)
+ [Utilisation d’IAM avec Amazon Keyspaces (pour Apache Cassandra)](id_credentials_keyspaces.md)
# Clés d'API pour Amazon Bedrock et Amazon CloudWatch Logs
**Note**
Les clés d'API Amazon CloudWatch Logs sont actuellement disponibles en version préliminaire et seront généralement disponibles dans les semaines à venir. Les clés d'API Amazon CloudWatch Logs ressemblent étroitement aux clés d'API à long terme d'Amazon Bedrock décrites sur cette page. Pour en savoir plus sur les clés d'API à long terme d'Amazon CloudWatch Logs, consultez [Envoyer des journaux à Amazon CloudWatch Logs à l'aide du point de terminaison HLC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HLC_Endpoint.html).
Amazon Bedrock est un service entièrement géré qui propose des modèles de base provenant des principales entreprises d’IA et d’Amazon. Vous pouvez accéder à Amazon Bedrock via AWS Management Console et par programmation à l'aide de l' AWS CLI API ou. AWS Lorsque vous effectuez des demandes programmatiques auprès d’Amazon Bedrock, vous pouvez vous authentifier à l’aide d’[informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) ou de clés API Amazon Bedrock. Amazon Bedrock prend en charge deux types de clés d’API :
+ **Clés d'API à** court terme — Une clé d'API à court terme est une URL pré-signée qui utilise AWS la version 4 de Signature. Les clés API à court terme partagent les mêmes autorisations et la même date d’expiration que les informations d’identification de l’identité qui génère la clé d’API. Elles sont valables pendant 12 heures maximum ou jusqu’à la fin de votre session sur la console, selon la durée la plus courte. Vous pouvez utiliser la console Amazon Bedrock, le package Python `aws-bedrock-token-generator` et les packages d’autres langages de programmation pour générer des clés d’API à court terme. Pour plus d’informations, consultez la section [Générer des clés d’API Amazon Bedrock pour accéder facilement à l’API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) dans le *Guide de l’utilisateur Amazon Bedrock*.
+ **Clés d’API à long terme **: les clés d’API à long terme sont associées à un utilisateur IAM et générées à l’aide d’[informations d’identification](id_credentials_service-specific-creds.md) spécifiques au service IAM. Ces informations d’identification sont conçues pour être utilisées uniquement avec Amazon Bedrock, ce qui renforce la sécurité en limitant leur portée. Vous pouvez définir une date d’expiration pour la clé d’API à long terme. Vous pouvez utiliser la console IAM ou Amazon Bedrock, la AWS CLI ou l' AWS API pour générer des clés d'API à long terme.
Un utilisateur IAM peut disposer d’un maximum de deux clés d’API à long terme pour Amazon Bedrock, ce qui vous aide à mettre en œuvre des pratiques sécurisées de rotation des clés.
Lorsque vous générez une clé d'API à long terme, la politique AWS gérée [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/bedrock/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonBedrockLimitedAccess)est automatiquement attachée à l'utilisateur IAM. Cette politique accorde l’accès aux principales opérations d’API Amazon Bedrock. Si vous avez besoin d’un accès supplémentaire à Amazon Bedrock, vous pouvez modifier les autorisations de l’utilisateur IAM. Pour plus d’informations sur la modification des autorisations, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md). Pour plus d’informations sur l’utilisation d’une clé Amazon Bedrock, consultez la section [Utilisation d’une clé d’API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) dans le *Guide de l’utilisateur Amazon Bedrock*.
**Note**
Les clés d’API à long terme présentent un risque de sécurité plus élevé que les clés d’API à court terme. Nous vous recommandons d’utiliser des clés d’API à court terme ou des informations d’identification de sécurité temporaires si possible. Si vous utilisez des clés API à long terme, nous vous recommandons de mettre en place des pratiques régulières de rotation des clés.
## Conditions préalables
Avant de pouvoir générer une clé d’API Amazon Bedrock à long terme à partir de la console IAM, vous devez remplir les conditions préalables suivantes :
+ Un utilisateur IAM à associer à la clé d’API à long terme. Pour plus d’informations sur la création d’un utilisateur IAM, consultez [Créez un utilisateur IAM dans votre Compte AWS](id_users_create.md).
+ Assurez-vous de disposer des autorisations de politique IAM suivantes pour gérer les informations d’identification spécifiques au service pour un utilisateur IAM. L’exemple de politique accorde l’autorisation de créer, répertorier, mettre à jour, supprimer et réinitialiser les informations d’identification spécifiques au service. Remplacez la valeur `username` dans l’élément Resource par le nom de l’utilisateur IAM pour lequel vous allez générer des clés d’API Amazon Bedrock :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageBedrockServiceSpecificCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:UpdateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ResetServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/username"
}
]
}
```
------
## Génération d’une clé d’API à long terme pour Amazon Bedrock (console)
**Pour générer une clé d’API à long terme pour Amazon Bedrock (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, sélectionnez **Utilisateurs**.
1. Sélectionnez l’utilisateur IAM pour lequel vous souhaitez générer des clés d’API Amazon Bedrock à long terme.
1. Choisissez l’onglet **Informations d’identification de sécurité.**
1. Dans la section **Clés d’API pour Amazon Bedrock**, choisissez **Générer une clé d’API**.
1. Pour **Epiration de la clé d’API**, effectuez l’une des actions suivantes :
+ Sélectionnez une durée d’expiration de la clé d’API de **1**, **5**, **30**, **90** ou **365** jours.
+ Choisissez **Durée personnalisée** pour spécifier une date d’expiration personnalisée pour la clé d’API.
+ Sélectionnez **Ne jamais expirer** (non recommandé)
1. Choisissez **Générer une clé d’API**.
1. Copiez ou téléchargez votre clé d’API. C’est le seul moment où vous pouvez voir la valeur de la clé API.
**Important**
Stockez votre clé d’API en toute sécurité. Une fois la boîte de dialogue fermée, vous ne pouvez plus récupérer la clé d’API. Si vous perdez ou oubliez votre clé d’accès secrète, vous ne pourrez pas la récupérer. Créez plutôt une nouvelle clé d’accès et désactivez l’ancienne.
## Génération d’une clé d’API à long terme pour Amazon Bedrock (AWS CLI)
Pour générer une clé d'API à long terme Amazon Bedrock à l'aide de AWS CLI, procédez comme suit :
1. Créez un utilisateur IAM qui sera utilisé avec Amazon Bedrock à l’aide de la commande [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html) :
```
aws iam create-user \
--user-name BedrockAPIKey_1
```
1. Associez la politique AWS gérée `AmazonBedrockLimitedAccess` à l'utilisateur Amazon Bedrock IAM à l'aide de la [ attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html)commande :
```
aws iam attach-user-policy --user-name BedrockAPIKey_1 \
--policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
```
1. Générez la clé d'API à long terme Amazon Bedrock à l'aide de la [ create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)commande. Pour la durée de validité des informations d’identification, vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous ne spécifiez pas de durée de validité, la clé d’API n’expirera pas.
Pour générer une clé d’API à long terme avec une expiration de 30 jours, procédez comme suit :
```
aws iam create-service-specific-credential \
--user-name BedrockAPIKey_1 \
--service-name bedrock.amazonaws.com \
--credential-age-days 30
```
La valeur `ServiceApiKeyValue` renvoyée dans la réponse est votre clé d’API Amazon Bedrock à long terme. Stockez la valeur `ServiceApiKeyValue` en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.
### Répertorier les clés d’API à long terme (AWS CLI)
Pour répertorier les métadonnées des clés d'API à long terme d'Amazon Bedrock pour un utilisateur spécifique, utilisez la [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)commande avec le `--user-name` paramètre :
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--user-name BedrockAPIKey_1
```
Pour répertorier toutes les métadonnées des clés d'API à long terme Amazon Bedrock présentes dans le compte, utilisez la [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)commande avec le `--all-users` paramètre :
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--all-users
```
### Mettre à jour le statut de la clé d’API à long terme (AWS CLI)
Pour mettre à jour le statut d'une clé d'API à long terme pour Amazon Bedrock, utilisez la [ update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)commande :
```
aws iam update-service-specific-credential \
--user-name "BedrockAPIKey_1" \
--service-specific-credential-id "ACCA1234EXAMPLE1234" \
--status Inactive|Active
```
## Génération d'une clé d'API à long terme pour Amazon Bedrock (AWS API)
Vous pouvez utiliser les opérations d’API suivantes pour générer et gérer des clés d’API à long terme pour Amazon Bedrock :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html)
# Utilisation d’IAM avec Amazon Keyspaces (pour Apache Cassandra)
Amazon Keyspaces (pour Apache Cassandra) est un service de base de données compatible avec Apache Cassandra, évolutif, hautement disponible et géré. Vous pouvez accéder à Amazon Keyspaces par le biais du ou par AWS Management Console programme. Pour accéder à Amazon Keyspaces de manière programmatique avec des informations d'identification spécifiques au service, vous pouvez utiliser `cqlsh` ou des pilotes Cassandra open source. Les *informations d'identification spécifiques à un service* comprennent un nom d'utilisateur et un mot de passe similaires à ceux que Cassandra utilise pour l'authentification et la gestion des accès. Vous pouvez avoir un maximum de deux ensembles d'informations d’identification spécifiques au service pour chaque service pris en charge par utilisateur.
Pour accéder à Amazon Keyspaces par programmation à l'aide de clés d' AWS accès, vous pouvez utiliser le AWS SDK, le AWS Command Line Interface (AWS CLI) ou les pilotes Cassandra open source avec le plugin SigV4. Pour en savoir plus, consultez la section [Création et configuration des AWS informations d'identification pour Amazon Keyspaces](https://docs.aws.amazon.com//keyspaces/latest/devguide/access.credentials.html) (pour Apache Cassandra) dans le guide du développeur Amazon *Keyspaces (pour Apache Cassandra*).
**Note**
Si vous envisagez d'interagir avec Amazon Keyspaces uniquement via la console, vous n'avez pas besoin de générer des informations d'identification spécifiques au service. Pour de plus amples informations, veuillez consulter la rubrique [Accès à Amazon Keyspaces à l'aide de la console](https://docs.aws.amazon.com/keyspaces/latest/devguide/console_keyspaces.html) dans le *Guide du développeur Amazon Keyspaces (pour Apache Cassandra)*.
Pour de plus amples informations sur les autorisations requises pour accéder à Amazon Keyspaces, veuillez consulter [Exemples de politiques basées sur l'identité Amazon Keyspaces (for Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) dans le *Manuel du développeur Amazon Keyspaces (for Apache Cassandra)*.
## Génération d'informations d'identification Amazon Keyspaces (console)
Vous pouvez utiliser le AWS Management Console pour générer des informations d'identification Amazon Keyspaces (pour Apache Cassandra) pour vos utilisateurs IAM.
**Pour générer des informations d'identification spécifiques au service Amazon Keyspaces (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Users (Utilisateurs)**, puis choisissez le nom de l'utilisateur ayant besoin d'informations d'identification.
1. Dans l'onglet **Security Credentials** (informations d'identification de sécurité) sous **Credentials for Amazon Keyspaces (informations d’identification pour Amazon Keyspaces) (pour Apache Cassandra) (MCS)** sélectionnez **Generate credentials** (générer des informations d'identification).
1. Vos informations d'identification spécifiques au service sont disponibles. C'est la seule fois que vous pouvez afficher ou télécharger le mot de passe. Vous ne pourrez pas la récupérer plus tard. Cependant, vous pouvez réinitialiser votre mot de passe à tout moment. Enregistrez cet utilisateur et ce mot de passe dans un emplacement sécurisé, car vous en aurez besoin plus tard.
## Génération d'informations d'identification Amazon Keyspaces (AWS CLI)
Vous pouvez utiliser le AWS CLI pour générer des informations d'identification Amazon Keyspaces (pour Apache Cassandra) pour vos utilisateurs IAM.
**Pour générer des informations d'identification spécifiques au service Amazon Keyspaces (AWS CLI)**
+ Utilisez la commande suivante :
+ [était iam create-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-specific-credential.html)
## Génération d'informations d'identification Amazon Keyspaces (API)AWS
Vous pouvez utiliser l' AWS API pour générer des informations d'identification Amazon Keyspaces (pour Apache Cassandra) pour vos utilisateurs IAM.
**Pour générer des informations d'identification (API) spécifiques au service Amazon Keyspaces AWS**
+ Complétez l'opération suivante :
+ [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)