View a markdown version of this page

Kunci API untuk AWS layanan - AWS Identity and Access Management
Layanan yang didukungPrasyarat untuk kunci API jangka panjangMembuat kunci API jangka panjang (konsol)Menghasilkan kunci API jangka panjang (AWS CLI)Menghasilkan kunci API jangka panjang (AWS API)Kunci API jangka pendek (Amazon Bedrock)Informasi khusus layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci API untuk AWS layanan

Anda dapat mengakses AWS layanan melalui Konsol Manajemen AWS dan secara terprogram menggunakan AWS CLI atau AWS API. Saat membuat permintaan terprogram ke layanan seperti Amazon Bedrock dan Amazon CloudWatch Logs, Anda dapat mengautentikasi menggunakan kredensi IAM (misalnya, kredenal keamanan sementara atau kunci akses jangka panjang) atau kunci API. Ada dua jenis kunci API:

  • Kunci API jangka panjang — Kunci API jangka panjang dikaitkan dengan pengguna IAM dan dihasilkan menggunakan kredenal khusus layanan IAM. Kredensi ini dirancang untuk digunakan hanya dengan satu AWS layanan, meningkatkan keamanan dengan membatasi cakupan kredensi. Anda dapat mengatur waktu kedaluwarsa untuk kunci API jangka panjang. Anda dapat menggunakan IAM atau konsol khusus layanan (misalnya, konsol Amazon Bedrock atau CloudWatch Logs) AWS CLI, atau AWS API untuk menghasilkan kunci API jangka panjang.

  • Kunci API jangka pendek (hanya didukung oleh Amazon Bedrock) — Kunci API jangka pendek adalah URL yang ditandatangani sebelumnya yang menggunakan AWS Signature Version 4. Kunci API jangka pendek memiliki izin dan kedaluwarsa yang sama dengan kredenal identitas yang menghasilkan kunci API dan berlaku hingga 12 jam atau sisa waktu sesi konsol Anda, mana yang lebih pendek. Anda dapat menggunakan konsol Amazon Bedrock, paket Python, dan aws-bedrock-token-generator paket untuk bahasa pemrograman lain untuk menghasilkan kunci API jangka pendek. Untuk informasi selengkapnya, lihat Menghasilkan kunci API Amazon Bedrock untuk akses mudah ke Amazon Bedrock API di Panduan Pengguna Amazon Bedrock.

catatan

Kunci API jangka panjang memiliki risiko keamanan yang lebih tinggi dibandingkan dengan kunci API jangka pendek. Sebaiknya gunakan kunci API jangka pendek atau kredensi keamanan sementara jika memungkinkan. Jika Anda menggunakan kunci API jangka panjang, sebaiknya terapkan praktik rotasi kunci reguler.

Layanan yang didukung

Tabel berikut mencantumkan AWS layanan yang mendukung kunci API dan jenis kunci API yang didukung setiap layanan.

# Layanan Kunci API jangka panjang Kunci API jangka pendek Kebijakan terkelola terlampir otomatis
1 Amazon Bedrock Ya Ya AmazonBedrockLimitedAccess
2 CloudWatch Log Amazon Ya N/A CloudWatchLogsAPIKeyAkses

Saat Anda membuat kunci API jangka panjang untuk layanan, kebijakan AWS terkelola terkait secara otomatis dilampirkan ke pengguna IAM, memberikan akses ke operasi inti untuk layanan tersebut. Jika Anda memerlukan akses tambahan, Anda dapat mengubah izin untuk pengguna IAM. Untuk informasi tentang mengubah izin, lihat. Menambahkan dan menghapus izin identitas IAM Untuk informasi selengkapnya tentang cara menggunakan kunci Amazon Bedrock, lihat Menggunakan kunci Amazon Bedrock API di Panduan Pengguna Amazon Bedrock. Untuk informasi selengkapnya tentang cara menggunakan token pembawa untuk CloudWatch Log Amazon, lihat otentikasi token pembawa di Panduan Pengguna CloudWatch Log.

Prasyarat untuk kunci API jangka panjang

Sebelum Anda dapat membuat kunci API jangka panjang di konsol IAM, Anda harus memenuhi prasyarat berikut:

  • Pengguna IAM untuk mengasosiasikan dengan kunci API jangka panjang. Untuk petunjuk cara membuat pengguna IAM, lihatBuat pengguna IAM di Akun AWS.

  • Anda harus memiliki izin kebijakan IAM berikut untuk mengelola kredenal khusus layanan bagi pengguna IAM. Kebijakan contoh memberikan izin untuk membuat, mencantumkan, memperbarui, menghapus, dan mengatur ulang kredenal khusus layanan. Ganti username nilai dalam elemen Resource dengan nama pengguna IAM yang akan Anda hasilkan kunci API jangka panjang untuk:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Membuat kunci API jangka panjang (konsol)

Untuk menghasilkan kunci API jangka panjang untuk layanan tertentu di konsol IAM

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Pengguna.

  3. Pilih pengguna IAM yang ingin Anda buat kunci API jangka panjang.

  4. Pilih tab Kredensial keamanan.

  5. Di bagian API keys, pilih Generate API key.

  6. Dari daftar tarik-turun AWS layanan, pilih layanan yang Anda inginkan untuk mengautentikasi kunci API.

  7. Untuk kedaluwarsa kunci API, lakukan salah satu hal berikut:

    • Pilih durasi kedaluwarsa kunci API 1, 5, 30, 90, atau 365 hari.

    • Pilih Durasi kustom untuk menentukan tanggal kedaluwarsa kunci API kustom.

    • Pilih Jangan pernah kedaluwarsa (tidak disarankan).

  8. Pilih Hasilkan kunci API.

  9. Salin atau unduh kunci API Anda. Ini adalah satu-satunya saat Anda dapat melihat nilai kunci API.

    penting

    Simpan kunci API Anda dengan aman. Setelah Anda menutup kotak dialog, Anda tidak dapat mengambil kunci API lagi. Jika Anda kehilangan atau lupa kunci API Anda, Anda tidak dapat mengambilnya. Sebagai gantinya, buat kunci API baru dan buat kunci lama tidak aktif.

Menghasilkan kunci API jangka panjang (AWS CLI)

Untuk membuat kunci API jangka panjang menggunakan AWS CLI, gunakan langkah-langkah berikut:

  1. Buat pengguna IAM yang akan digunakan dengan Amazon Bedrock atau Amazon CloudWatch Logs menggunakan perintah create-user:

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Lampirkan kebijakan AWS terkelola ke pengguna IAM menggunakan attach-user-policyperintah.

    Untuk Amazon Bedrock:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Untuk CloudWatch Log Amazon:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Hasilkan kunci API jangka panjang menggunakan create-service-specific-credentialperintah.

    Untuk Amazon Bedrock:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Untuk CloudWatch Log Amazon:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    catatan

    Parameter --credential-age-days bersifat opsional. Anda dapat menentukan nilai antara 1-36600 hari. Jika Anda menghilangkan parameter ini, kunci API tidak kedaluwarsa.

Yang dikembalikan ServiceApiKeyValue dalam respons adalah kunci API jangka panjang Anda untuk masing-masing layanan. Simpan ServiceApiKeyValue nilai dengan aman, karena Anda tidak dapat mengambilnya nanti.

Daftar kunci API jangka panjang (AWS CLI)

Untuk membuat daftar metadata kunci API jangka panjang untuk pengguna tertentu, gunakan list-service-specific-credentialsperintah dengan parameter: --user-name

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
catatan

Ganti bedrock.amazonaws.com dengan nama layanan yang sesuai (misalnya, logs.amazonaws.com untuk Amazon CloudWatch Logs).

Untuk mencantumkan semua metadata kunci API jangka panjang di akun, gunakan list-service-specific-credentialsperintah dengan parameter: --all-users

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Perbarui status kunci API jangka panjang (AWS CLI)

Untuk memperbarui status kunci API jangka panjang, gunakan update-service-specific-credentialperintah:

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Menghasilkan kunci API jangka panjang (AWS API)

Anda dapat menggunakan operasi IAM API berikut untuk mengelola kunci API jangka panjang untuk layanan apa pun yang didukung:

Kunci API jangka pendek (Amazon Bedrock)

Kunci API jangka pendek saat ini hanya didukung oleh Amazon Bedrock. Untuk informasi tentang membuat dan menggunakan kunci API jangka pendek, lihat Membuat kunci API di Panduan Pengguna Amazon Bedrock.

Informasi khusus layanan