Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kunci API untuk AWS layanan
Anda dapat mengakses AWS layanan melalui Konsol Manajemen AWS dan secara terprogram menggunakan AWS CLI atau AWS API. Saat membuat permintaan terprogram ke layanan seperti Amazon Bedrock dan Amazon CloudWatch Logs, Anda dapat mengautentikasi menggunakan kredensi IAM (misalnya, kredenal keamanan sementara atau kunci akses jangka panjang) atau kunci API. Ada dua jenis kunci API:
+ **Kunci API jangka panjang — Kunci** API jangka panjang dikaitkan dengan pengguna IAM dan dihasilkan menggunakan kredenal khusus [layanan](id_credentials_service-specific-creds.md) IAM. Kredensi ini dirancang untuk digunakan hanya dengan satu AWS layanan, meningkatkan keamanan dengan membatasi cakupan kredensi. Anda dapat mengatur waktu kedaluwarsa untuk kunci API jangka panjang. Anda dapat menggunakan IAM atau konsol khusus layanan (misalnya, konsol Amazon Bedrock atau CloudWatch Logs) AWS CLI, atau AWS API untuk menghasilkan kunci API jangka panjang.
+ **Kunci API jangka pendek** (hanya didukung oleh Amazon Bedrock) — Kunci API jangka pendek adalah URL yang ditandatangani sebelumnya yang menggunakan AWS Signature Version 4. Kunci API jangka pendek memiliki izin dan kedaluwarsa yang sama dengan kredenal identitas yang menghasilkan kunci API dan berlaku hingga 12 jam atau sisa waktu sesi konsol Anda, mana yang lebih pendek. Anda dapat menggunakan konsol Amazon Bedrock, paket Python, dan `aws-bedrock-token-generator` paket untuk bahasa pemrograman lain untuk menghasilkan kunci API jangka pendek. Untuk informasi selengkapnya, lihat [Menghasilkan kunci API Amazon Bedrock untuk akses mudah ke Amazon Bedrock API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) di Panduan Pengguna *Amazon Bedrock*.
**catatan**
Kunci API jangka panjang memiliki risiko keamanan yang lebih tinggi dibandingkan dengan kunci API jangka pendek. Sebaiknya gunakan kunci API jangka pendek atau kredensi keamanan sementara jika memungkinkan. Jika Anda menggunakan kunci API jangka panjang, sebaiknya terapkan praktik rotasi kunci reguler.
## Layanan yang didukung
Tabel berikut mencantumkan AWS layanan yang mendukung kunci API dan jenis kunci API yang didukung setiap layanan.
| \$1 | Layanan | Kunci API jangka panjang | Kunci API jangka pendek | Kebijakan terkelola terlampir otomatis |
| --- | --- | --- | --- | --- |
| 1 | Amazon Bedrock | Ya | Ya | [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockLimitedAccess.html) |
| 2 | CloudWatch Log Amazon | Ya | N/A | [CloudWatchLogsAPIKeyAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) |
Saat Anda membuat kunci API jangka panjang untuk layanan, kebijakan AWS terkelola terkait secara otomatis dilampirkan ke pengguna IAM, memberikan akses ke operasi inti untuk layanan tersebut. Jika Anda memerlukan akses tambahan, Anda dapat mengubah izin untuk pengguna IAM. Untuk informasi tentang mengubah izin, lihat. [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md) Untuk informasi selengkapnya tentang cara menggunakan kunci Amazon Bedrock, lihat [Menggunakan kunci Amazon Bedrock API di Panduan](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) Pengguna *Amazon Bedrock*. Untuk informasi selengkapnya tentang cara menggunakan token pembawa untuk CloudWatch Log Amazon, lihat [otentikasi token pembawa di Panduan Pengguna CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints_BearerTokenAuth.html) *Log*.
## Prasyarat untuk kunci API jangka panjang
Sebelum Anda dapat membuat kunci API jangka panjang di konsol IAM, Anda harus memenuhi prasyarat berikut:
+ Pengguna IAM untuk mengasosiasikan dengan kunci API jangka panjang. Untuk petunjuk cara membuat pengguna IAM, lihat[Buat pengguna IAM di Akun AWS](id_users_create.md).
+ Anda harus memiliki izin kebijakan IAM berikut untuk mengelola kredenal khusus layanan bagi pengguna IAM. Kebijakan contoh memberikan izin untuk membuat, mencantumkan, memperbarui, menghapus, dan mengatur ulang kredenal khusus layanan. Ganti `username` nilai dalam elemen Resource dengan nama pengguna IAM yang akan Anda hasilkan kunci API jangka panjang untuk:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageBedrockServiceSpecificCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:UpdateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ResetServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/username"
}
]
}
```
------
## Membuat kunci API jangka panjang (konsol)
**Untuk menghasilkan kunci API jangka panjang untuk layanan tertentu di konsol IAM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Di panel navigasi konsol IAM, pilih Pengguna.**
1. Pilih pengguna IAM yang ingin Anda buat kunci API jangka panjang.
1. Pilih tab **Kredensial keamanan**.
1. Di bagian **API keys**, pilih **Generate API key**.
1. Dari daftar tarik-turun **AWS layanan**, pilih layanan yang Anda inginkan untuk mengautentikasi kunci API.
1. Untuk **kedaluwarsa kunci API**, lakukan salah satu hal berikut:
+ Pilih durasi kedaluwarsa kunci API **1**, **5**, **30**, **90**, atau **365 hari**.
+ Pilih **Durasi kustom** untuk menentukan tanggal kedaluwarsa kunci API kustom.
+ Pilih **Jangan pernah kedaluwarsa** (tidak disarankan).
1. Pilih **Hasilkan kunci API**.
1. Salin atau unduh kunci API Anda. Ini adalah satu-satunya saat Anda dapat melihat nilai kunci API.
**penting**
Simpan kunci API Anda dengan aman. Setelah Anda menutup kotak dialog, Anda tidak dapat mengambil kunci API lagi. Jika Anda kehilangan atau lupa kunci API Anda, Anda tidak dapat mengambilnya. Sebagai gantinya, buat kunci API baru dan buat kunci lama tidak aktif.
## Menghasilkan kunci API jangka panjang (AWS CLI)
Untuk membuat kunci API jangka panjang menggunakan AWS CLI, gunakan langkah-langkah berikut:
1. Buat pengguna IAM yang akan digunakan dengan Amazon Bedrock atau Amazon CloudWatch Logs menggunakan perintah [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html):
```
aws iam create-user \
--user-name APIKeyUser_1
```
1. Lampirkan kebijakan AWS terkelola ke pengguna IAM menggunakan [ attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html)perintah.
Untuk Amazon Bedrock:
```
aws iam attach-user-policy --user-name APIKeyUser_1 \
--policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
```
Untuk CloudWatch Log Amazon:
```
aws iam attach-user-policy --user-name APIKeyUser_1 \
--policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess
```
1. Hasilkan kunci API jangka panjang menggunakan [ create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)perintah.
Untuk Amazon Bedrock:
```
aws iam create-service-specific-credential \
--user-name APIKeyUser_1 \
--service-name bedrock.amazonaws.com \
--credential-age-days 30
```
Untuk CloudWatch Log Amazon:
```
aws iam create-service-specific-credential \
--user-name APIKeyUser_1 \
--service-name logs.amazonaws.com \
--credential-age-days 30
```
**catatan**
Parameter `--credential-age-days` bersifat opsional. Anda dapat menentukan nilai antara 1-36600 hari. Jika Anda menghilangkan parameter ini, kunci API tidak kedaluwarsa.
Yang dikembalikan `ServiceApiKeyValue` dalam respons adalah kunci API jangka panjang Anda untuk masing-masing layanan. Simpan `ServiceApiKeyValue` nilai dengan aman, karena Anda tidak dapat mengambilnya nanti.
### Daftar kunci API jangka panjang (AWS CLI)
Untuk membuat daftar metadata kunci API jangka panjang untuk pengguna tertentu, gunakan [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)perintah dengan parameter: `--user-name`
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--user-name APIKeyUser_1
```
**catatan**
Ganti `bedrock.amazonaws.com` dengan nama layanan yang sesuai (misalnya, `logs.amazonaws.com` untuk Amazon CloudWatch Logs).
Untuk mencantumkan semua metadata kunci API jangka panjang di akun, gunakan [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)perintah dengan parameter: `--all-users`
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--all-users
```
### Perbarui status kunci API jangka panjang (AWS CLI)
Untuk memperbarui status kunci API jangka panjang, gunakan [ update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)perintah:
```
aws iam update-service-specific-credential \
--user-name "APIKeyUser_1" \
--service-specific-credential-id "ACCA1234EXAMPLE1234" \
--status Inactive|Active
```
## Menghasilkan kunci API jangka panjang (AWS API)
Anda dapat menggunakan operasi IAM API berikut untuk mengelola kunci API jangka panjang untuk layanan apa pun yang didukung:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html)
## Kunci API jangka pendek (Amazon Bedrock)
Kunci API jangka pendek saat ini hanya didukung oleh Amazon Bedrock. Untuk informasi tentang membuat dan menggunakan kunci API jangka pendek, lihat [Membuat kunci API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-generate.html) di *Panduan Pengguna Amazon Bedrock*.
## Informasi khusus layanan
+ Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon Bedrock, lihat [Menggunakan kunci Amazon Bedrock API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) di Panduan Pengguna *Amazon Bedrock*.
+ Untuk informasi selengkapnya tentang penggunaan kunci API dengan Amazon CloudWatch Logs, lihat [Konsumsi log melalui titik akhir HTTP di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints.html) Pengguna *Amazon CloudWatch Logs*.