Actualisez les clés d'API Amazon Bedrock à court terme pour un contrôle et une sécurité accrus - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actualisez les clés d'API Amazon Bedrock à court terme pour un contrôle et une sécurité accrus

Une fois que vous serez familiarisé avec Amazon Bedrock, nous vous déconseillons vivement d'utiliser des clés d'API Amazon Bedrock à long terme. Vous devez plutôt passer à l'utilisation d'informations d'identification de sécurité temporaires ou à des clés d'API Amazon Bedrock à court terme.

Vous pouvez créer un script à l'aide du aws-bedrock-token-generator package pour régénérer par programmation une nouvelle clé à court terme chaque fois que votre clé actuelle a expiré. Tout d'abord, assurez-vous que vous avez rempli les conditions requises àGénérez une clé d'API Amazon Bedrock à court terme à l'aide de l'API.

Vous pouvez ensuite utiliser le script Python suivant :

from datetime import datetime, timedelta
import os
import boto3
from botocore.credentials import Credentials
from aws_bedrock_token_generator import BedrockTokenGenerator

# Replace the following values as necessary
SESSION_DURATION = timedelta(hours=12)                                  # 12 hours is the maximum
EFFECTIVE_TOKEN_DURATION = min(SESSION_DURATION, timedelta(hours=12))   # The token can last no longer than 12 hours
ROLE_ARN = "arn:aws:iam::111122223333:role/TargetRole"        # Ensure that the identity you're authenticating with has permissions to assume this role
ROLE_SESSION_NAME = "your-session-name"
REGION = "us-east-1"

def get_session_from_assume():
    sts = boto3.client("sts")
    response = sts.assume_role(
        RoleArn=ROLE_ARN,
        RoleSessionName=ROLE_SESSION_NAME,
        DurationSeconds=int(SESSION_DURATION.total_seconds())
    )
    creds = response["Credentials"]
    return Credentials(
        access_key=creds["AccessKeyId"],
        secret_key=creds["SecretAccessKey"],
        token=creds["SessionToken"]
    )

# Step 1: Generate initial token and note timestamp
generator = BedrockTokenGenerator()
creds = get_session_from_assume()
token = generator.get_token(creds, region=REGION)
token_created_at = datetime.utcnow()

# Step 2: Later in your long lived process — before using the token
if datetime.utcnow() - token_created_at >= EFFECTIVE_TOKEN_DURATION:
    creds = get_session_from_assume()
    token = generator.get_token(creds, region=REGION)
    token_created_at = datetime.utcnow()
else:
    # Token is still valid
    pass
        
# Set the token as an environment variable so you can use it in API calls
os.environ['AWS_BEARER_TOKEN_BEDROCK'] = token