Démarrage avec l’API - Amazon Bedrock
Obtention des informations d’identification pour accorder un accès programmatiqueAttribution des autorisations Amazon Bedrock à un utilisateur ou à un rôleEssayer de réaliser des appels d’API vers Amazon Bedrock

Démarrage avec l’API

Cette section décrit comment configurer votre environnement pour effectuer des demandes Amazon Bedrock via l’API AWS. AWS propose les outils suivants pour rationaliser votre expérience :

  • AWS Command Line Interface (AWS CLI)

  • Kits SDK AWS

  • Blocs-notes Amazon SageMaker AI

Pour commencer à utiliser l’API, vous avez besoin d’informations d’identification pour accorder un accès programmatique. Si les sections suivantes vous concernent, développez-les et suivez les instructions. Sinon, passez aux sections restantes.

Si vous n’avez pas de compte Compte AWS, procédez comme suit pour en créer un.

Pour s’inscrire à un Compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous souscrivez à un Compte AWS, un Utilisateur racine d'un compte AWS est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation lorsque le processus d’inscription est terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en choisissant Mon compte.

Sécurisation de votre Utilisateur racine d'un compte AWS

  1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez Connexion en tant qu’utilisateur racine dans le Guide de l’utilisateur Connexion à AWS.

  2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.

    Pour obtenir des instructions, consultez Activation d’un dispositif MFA virtuel pour l’utilisateur racine de votre Compte AWS (console) dans le Guide de l’utilisateur IAM.

Pour installer l’AWS CLI en suivant les étapes décrites dans Installation ou mise à jour de la dernière version de l’AWS CLI.

Pour installer un kit AWS SDK, sélectionnez l’onglet correspondant au langage de programmation que vous souhaitez utiliser dans Outils pour créer sur AWS. Les kits de développement logiciel AWS (SDK) sont disponibles pour de nombreux langages de programmation populaires. Chaque SDK fournit une API, des exemples de code et de la documentation qui facilitent la création d’applications par les développeurs dans leur langage préféré. Les kits SDK exécutent automatiquement des tâches utiles pour vous, telles que :

  • Signature cryptographique des requêtes de service

  • Nouvelle tentative de demandes

  • Gestion des réponses d’erreur

Obtention des informations d’identification pour accorder un accès programmatique

Les utilisateurs ont besoin d’un accès programmatique s’ils souhaitent interagir avec AWS en dehors de la AWS Management Console. AWS propose plusieurs options, en fonction de vos préoccupations en matière de sécurité.

Note

Pour un guide étape par étape permettant de générer une clé d’API que vous pouvez utiliser pour accéder rapidement à l’API Amazon Bedrock, consultezDémarrer avec les clés d’API Amazon Bedrock : génération d’une clé de 30 jours et réalisation de votre premier appel d’API.

Pour des exigences de sécurité accrues, poursuivez la lecture de cette section.

La manière d’octroyer un accès par programmation dépend du type d’utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel principal a besoin d’un accès programmatique ? Pour Par
Utilisateurs IAM Limitez la durée des informations d’identification à long terme pour signer des demandes par programmation destinées à la AWS CLI, aux kits AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.
Rôles IAM Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS. Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS dans le Guide de l’utilisateur IAM.

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Si vous décidez d’utiliser des clés d’accès pour un utilisateur IAM, AWS recommande de définir une date d’expiration pour cet utilisateur IAM en incluant une politique en ligne restrictive.

Important

Tenez compte des avertissements suivants :

  • N’utilisez PAS les informations d’identification root de votre compte pour accéder aux ressources AWS. Ces informations d’identification offrent un accès illimité au compte et sont difficiles à révoquer.

  • N’incluez PAS de clés d’accès littérales ou d’informations d’identification dans vos fichiers d’application. Vous risqueriez en effet d’exposer accidentellement vos informations d’identification si, par exemple, vous chargiez le projet sur un référentiel public.

  • N’incluez PAS de fichiers contenant des informations d’identification dans votre zone de projet.

  • Gérez vos clés d’accès en toute sécurité. Ne communiquez pas vos clés d’accès à des tiers non autorisés, même pour vous aider à trouver les identifiants de votre compte. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.

  • Sachez que les informations d’identification du fichier d’informations d’identification AWS partagé sont stockées en texte brut.

Pour plus d’informations, consultez Bonnes pratiques en matière de gestion des clés d’accès AWS dans Références générales AWS.

Créer un utilisateur IAM

  1. Sur la page d’accueil de la AWS Management Console, sélectionnez le service IAM ou accédez à la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Utilisateurs, puis Créer un utilisateur.

  3. Suivez les instructions de la console IAM pour configurer un utilisateur programmatique (sans accès à la AWS Management Console) et sans autorisations.

Restreindre l’accès utilisateur à une fenêtre de temps limitée

Toutes les clés d’accès utilisateur IAM que vous créez sont des informations d’identification à long terme. Pour garantir que ces informations d’identification expirent en cas de mauvaise gestion, vous pouvez fixer une durée limitée en créant une politique en ligne qui spécifie une date après laquelle les clés ne seront plus valides.

  1. Ouvrez l’utilisateur IAM que vous venez de créer. Dans l’onglet Autorisations, choisissez Ajouter des autorisations, puis Créer une politique en ligne.

  2. Dans l’éditeur JSON, spécifiez les autorisations suivantes. Pour utiliser cette politique, remplacez la valeur de la valeur d’horodatage aws:CurrentTime dans l’exemple de politique par votre propre date de fin.

    Note

    IAM vous recommande de limiter vos clés d’accès à 12 heures.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "2024-01-01T00:00:000"
        }
      }
    }
  ]
}
Créer une clé d’accès

  1. Sur la page Détails de l’utilisateur, sélectionnez Informations d’identification de sécurité. Dans la section Clés d’accès, choisissez Créer une clé d’accès.

  2. Indiquez que vous prévoyez d’utiliser ces clés d’accès sous la forme Autre et choisissez Créer une clé d’accès.

  3. Sur la page Retrieve access key page (Récupérer les clés d’accès), choisissez Show (Afficher) pour révéler la valeur de la clé d’accès secrète de votre utilisateur. Vous pouvez copier les informations d’identification ou télécharger un fichier .csv.

Important

Lorsque vous n’aurez plus besoin de cet utilisateur IAM, nous vous recommandons de le supprimer et de respecter les Bonnes pratiques de sécurité AWS. Nous vous recommandons de demander à vos utilisateurs humains d’utiliser des informations d’identification temporaires via AWS IAM Identity Center lors de l’accès à AWS.

Attribution des autorisations Amazon Bedrock à un utilisateur ou à un rôle

Après avoir configuré les informations d’identification pour l’accès programmatique, vous devez configurer les autorisations pour qu’un utilisateur ou un rôle IAM ait accès à un ensemble d’actions liées à Amazon Bedrock. Pour configurer ces autorisations, procédez comme suit :

  1. Sur la page d’accueil de la AWS Management Console, sélectionnez le service IAM ou accédez à la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Sélectionnez Utilisateurs ou Rôles, puis votre utilisateur ou votre rôle.

  3. Dans l’onglet Autorisations, choisissez Ajouter des autorisations, puis sélectionnez Ajouter une politique gérée par AWS. Choisissez la politique gérée par AWS AmazonBedrockFullAccess.

  4. Pour autoriser l’utilisateur ou le rôle à s’abonner à des modèles, choisissez Créer une politique en ligne, puis spécifiez les autorisations suivantes dans l’éditeur JSON :

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Sid": "MarketplaceBedrock",
          "Effect": "Allow",
          "Action": [
              "aws-marketplace:ViewSubscriptions",
              "aws-marketplace:Unsubscribe",
              "aws-marketplace:Subscribe"
          ],
          "Resource": "*"
      }
  ]
}

Essayer de réaliser des appels d’API vers Amazon Bedrock

Une fois que vous avez rempli toutes les conditions préalables, sélectionnez l’une des rubriques suivantes pour tester la création de demandes d’invocation de modèles à l’aide des modèles Amazon Bedrock :

Rubriques