Buat kunci API Amazon Bedrock - Amazon Bedrock
Buat kunci API menggunakan konsolBuat kunci API menggunakan API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat kunci API Amazon Bedrock

Anda dapat membuat kunci Amazon Bedrock API menggunakan API AWS Management Console atau AWS API. Kami menyarankan Anda menggunakan kunci AWS Management Console Amazon Bedrock API dengan mudah dengan beberapa langkah.

Buat kunci Amazon Bedrock API menggunakan konsol

Untuk membuat kunci Amazon Bedrock API menggunakan konsol, lakukan hal berikut:

  1. Masuk ke AWS Management Console dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock/.

  2. Di panel navigasi kiri, pilih kunci API.

  3. Hasilkan salah satu jenis kunci berikut:

    • Kunci API jangka pendek — Di tab Kunci API jangka pendek, pilih Hasilkan kunci API jangka pendek. Kunci kedaluwarsa saat sesi konsol Anda kedaluwarsa (dan tidak lebih dari 12 jam) dan memungkinkan Anda melakukan panggilan ke tempat Wilayah AWS Anda membuatnya. Anda dapat memodifikasi Wilayah secara langsung di kunci yang dihasilkan.

    • Kunci API jangka panjang — Di tab Kunci API jangka panjang, pilih Hasilkan kunci API jangka panjang.

      1. Di bagian kedaluwarsa kunci API, pilih waktu setelah kunci akan kedaluwarsa.

      2. (Opsional) Secara default, kebijakan AmazonBedrockLimitedAccess AWS-managed, yang memberikan akses ke operasi inti Amazon Bedrock API, dilampirkan ke pengguna IAM yang terkait dengan kunci. Untuk memilih kebijakan lain yang akan dilampirkan ke pengguna, perluas bagian Izin lanjutan dan pilih kebijakan yang ingin ditambahkan.

      3. Pilih Hasilkan.

      Awas

      Kami sangat menyarankan untuk membatasi penggunaan kunci jangka panjang untuk eksplorasi Amazon Bedrock. Saat Anda siap untuk memasukkan Amazon Bedrock ke dalam aplikasi dengan persyaratan keamanan yang lebih besar, Anda harus meninjau dokumentasi berikut:

Buat kunci Amazon Bedrock API menggunakan API

Kami menyarankan Anda menggunakan kunci AWS Management Console Amazon Bedrock API untuk pengalaman yang mudah. Namun, Anda juga dapat menghasilkan kunci melalui API. Perluas bagian yang sesuai dengan kasus penggunaan Anda.

Langkah-langkah umum untuk membuat kunci Amazon Bedrock API jangka panjang di API adalah sebagai berikut:

  1. Buat pengguna IAM dengan mengirimkan CreateUserpermintaan dengan titik akhir IAM.

  2. Lampirkan AmazonBedrockLimitedAccesske pengguna IAM dengan mengirimkan AttachUserPolicypermintaan dengan titik akhir IAM. Anda dapat mengulangi langkah ini untuk melampirkan kebijakan terkelola atau kustom lainnya yang diperlukan kepada pengguna.

    catatan

    Sebagai praktik keamanan terbaik, kami sangat menyarankan Anda melampirkan kebijakan IAM ke pengguna IAM untuk membatasi penggunaan kunci Amazon Bedrock API. Untuk contoh kebijakan pembatas waktu dan pembatasan alamat IP yang dapat menggunakan kunci, lihat Mengontrol penggunaan kunci akses dengan melampirkan kebijakan inline ke pengguna IAM.

  3. Buat kunci API Amazon Bedrock jangka panjang dengan mengirimkan CreateServiceSpecificCredentialpermintaan dengan titik akhir IAM dan menentukan bedrock.amazonaws.com sebagai. ServiceName

    • Yang ServiceApiKeyValue dikembalikan dalam respons adalah kunci API Amazon Bedrock jangka panjang Anda.

    • Respons yang ServiceSpecificCredentialId dikembalikan dapat digunakan untuk melakukan operasi API yang terkait dengan kunci.

Untuk mempelajari cara membuat kunci Amazon Bedrock API jangka panjang, pilih tab untuk metode pilihan Anda, lalu ikuti langkah-langkahnya:

CLI

Untuk membuat kunci API Amazon Bedrock jangka panjang, Anda menggunakan operasi AWS Identity and Access Management API. Pertama, pastikan bahwa Anda telah memenuhi prasyarat:

Prasyarat

Pastikan bahwa pengaturan Anda memungkinkan AWS CLI untuk secara otomatis mengenali AWS kredensi Anda. Untuk mempelajari selengkapnya, lihat Mengonfigurasi setelan untuk. AWS CLI

Buka terminal dan jalankan perintah berikut:

  1. Buat pengguna IAM. Anda dapat mengganti nama dengan salah satu pilihan Anda:

    aws iam create-user --user-name bedrock-api-user

  2. Lampirkan AmazonBedrockLimitedAccesske pengguna. Anda dapat mengulangi langkah ini dengan kebijakan AWS-managed atau custom lainnya yang ingin Anda tambahkan ke kunci API: ARNs 

    aws iam attach-user-policy --user-name bedrock-api-user --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. Buat kunci Amazon Bedrock API jangka panjang, ganti ${NUMBER-OF-DAYS} dengan jumlah hari yang Anda inginkan kuncinya bertahan:

    aws iam create-service-specific-credential \
    --user-name bedrock-api-user \
    --service-name bedrock.amazonaws.com \
    --credential-age-days ${NUMBER-OF-DAYS}
Python

Untuk membuat kunci API Amazon Bedrock jangka panjang, Anda menggunakan operasi AWS Identity and Access Management API. Pertama, pastikan bahwa Anda telah memenuhi prasyarat:

Prasyarat

Pastikan pengaturan Anda memungkinkan Python mengenali kredensialnya secara otomatis. AWS Untuk mempelajari selengkapnya, lihat Mengonfigurasi setelan untuk. AWS CLI

Jalankan skrip berikut untuk membuat pengguna IAM, melampirkan izin untuk melakukan tindakan Amazon Bedrock, dan buat kunci Amazon Bedrock API jangka panjang untuk diasosiasikan dengan pengguna:

import boto3
from datetime import datetime, timedelta

# Replace with name for your IAM user
username = "bedrock-api-user"
# Add any AWS-managed or custom policies that you want to the user
bedrock_policies = [
    "arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess",        # Limited access
#    "arn:aws:iam::aws:policy/AmazonBedrockMarketplaceAccess",   # Optional: Access to Amazon Bedrock Marketplace actions
]
# Set the key expiration time to a number of your choice
expiration_time_in_days = 30

iam_client = boto3.client("iam")
    
# Create IAM user
user = iam_client.create_iam_user(username)

# Attach policies to user
for policy_arn in bedrock_policies:
    iam_client.attach_managed_policy(username, policy_arn)

# Create long-term Amazon Bedrock API key and return it
service_credentials = iam_client.create_service_specific_credential(
    user_name=username, 
    service_name="bedrock",
    credential_age_days=expiration_time_in_days
) 
api_key = service_credentials["ServiceApiKeyValue"]
print(api_key)

Anda dapat membuat kunci API Amazon Bedrock jangka pendek yang bertahan selama sesi digunakan untuk membuatnya (dan tidak lebih dari 12 jam).

Prasyarat

  • Pastikan pengaturan Anda memungkinkan Python mengenali kredensialnya secara otomatis. AWS Untuk mempelajari selengkapnya, lihat Mengonfigurasi setelan untuk. AWS CLI

  • Buka terminal dan unduh generator token Amazon Bedrock dengan perintah yang sesuai dengan SDK yang Anda gunakan:

    • Python

      python3 -m pip install aws-bedrock-token-generator

    • Javascript

      npm install @aws/bedrock-token-generator

  • Pastikan identitas IAM yang Anda gunakan untuk melakukan panggilan API minimal memiliki izin untuk mengambil peran dan membuat sesi peran:

    • Identitas IAM harus memiliki izin untuk mengambil peran. Jika identitas memiliki izin terbatas, Anda dapat melampirkan kebijakan berbasis identitas berikut ke identitas (ganti ${arn:aws:iam::111122223333:role/SessionRole} dengan ARN aktual peran untuk sesi):

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "${arn:aws:iam::111122223333:role/SessionRole}"
        }
    ]
}

      Untuk informasi selengkapnya tentang pemberian izin identitas untuk mengambil peran, lihat Memberikan izin pengguna untuk beralih peran.

    • Peran IAM harus memiliki kebijakan kepercayaan yang memungkinkan identitas IAM untuk mengasumsikan itu. Anda dapat melampirkan kebijakan kepercayaan berikut ke peran IAM untuk memungkinkan prinsipal yang ditentukan di Principal bidang untuk mengambil peran untuk membuat kunci. Contoh ini menentukan pengguna IAM sebagai prinsipal. Ganti dengan ARN pengguna yang sebenarnya.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "${arn:aws:iam::111122223333:user/UserId}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

      Untuk informasi selengkapnya tentang kepala sekolah, lihat elemen kebijakan AWS JSON: Principal. Untuk mempelajari cara memperbarui kebijakan kepercayaan untuk peran, lihat Memperbarui kebijakan kepercayaan peran.

Pilih tab yang sesuai dengan SDK yang Anda gunakan dan jalankan skrip untuk menghasilkan kunci Amazon Bedrock API jangka pendek dari kredenal sesi Anda:

Python
from aws_bedrock_token_generator import BedrockTokenGenerator
import boto3

# Replace with a region of your choice
region = "us-east-1"

# Fetch credentials
session = boto3.Session()
credentials = session.get_credentials()

# Initialize token generator
generator = BedrockTokenGenerator()

# Generate one-time token
token = generator.get_token(credentials, region)
Javascript
import { BedrockTokenGenerator } from '@aws/bedrock-token-generator';
import { fromNodeProviderChain } from '@aws-sdk/credential-providers';

async function example() {
    // Set region
    const region = 'us-east-1'
    
    // Create token generator
    const generator = new BedrockTokenGenerator();
    
    // Get credentials from default provider chain
    const credentials = fromNodeProviderChain();
    
    // Generate token
    const token = await generator.generateToken(credentials, region);
    
    // Use the token for API calls (valid for 12 hours)
    console.log(`Bearer Token: ${token}`);
}
Java

Maven impor

<dependency>
    <groupId>software.amazon.bedrock</groupId>
    <artifactId>aws-bedrock-token-generator</artifactId>
    <version>1.0.0</version>
</dependency>

Impor gradle

implementation 'software.amazon.bedrock:aws-bedrock-token-generator:1.0.0'

Penggunaan

import software.amazon.bedrock.token.BedrockTokenGenerator;
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;

// Create token generator
BedrockTokenGenerator tokenGenerator = new BedrockTokenGenerator();

// Generate token using default credentials
String bearerToken = tokenGenerator.getToken(
    DefaultCredentialsProvider.create().resolveCredentials(),
    Region
);

// Use the token for API calls (valid for 12 hours)
System.out.println("Bearer Token: " + bearerToken);
catatan

Izin kunci jangka pendek akan menjadi persimpangan berikut ini: