View a markdown version of this page

Chiavi API per AWS i servizi - AWS Identity and Access Management
Servizi supportatiPrerequisiti per le chiavi API a lungo termineGenerazione di una chiave API a lungo termine (console)Generazione di una chiave API a lungo termine ()AWS CLIGenerazione di una chiave API (AWS API) a lungo termineChiavi API a breve termine (Amazon Bedrock)Informazioni specifiche per il servizio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Chiavi API per AWS i servizi

Puoi accedere ai AWS servizi tramite Console di gestione AWS e in modo programmatico utilizzando l'API AWS CLI or AWS . Quando effettui richieste programmatiche a servizi come Amazon Bedrock e Amazon CloudWatch Logs, puoi autenticarti utilizzando credenziali IAM (ad esempio, credenziali di sicurezza temporanee o chiavi di accesso a lungo termine) o chiavi API. Esistono due tipi di chiavi API:

  • Chiavi API a lungo termine: le chiavi API a lungo termine sono associate a un utente IAM e vengono generate utilizzando credenziali specifiche del servizio IAM. Queste credenziali sono progettate per essere utilizzate con un solo AWS servizio, migliorando la sicurezza limitando l'ambito delle credenziali. Puoi impostare una scadenza per la chiave API a lungo termine. Puoi utilizzare la console IAM o specifica del servizio (ad esempio, la console Amazon Bedrock o CloudWatch Logs), o l' AWS API per generare AWS CLI chiavi API a lungo termine.

  • Chiavi API a breve termine (supportate solo da Amazon Bedrock): una chiave API a breve termine è un URL prefirmato che utilizza la versione 4 di AWS Signature. Le chiavi API a breve termine condividono le stesse autorizzazioni e la stessa scadenza delle credenziali dell’identità che genera la chiave API e sono valide per un massimo di 12 ore o per il tempo rimanente della sessione della console, a seconda di quale tra i due sia più breve. Per generare chiavi API a breve termine puoi utilizzare la console Amazon Bedrock, il pacchetto Python aws-bedrock-token-generator e i pacchetti per altri linguaggi di programmazione. Per ulteriori informazioni, consulta Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API nella Guida per l’utente di Amazon Bedrock.

Nota

Le chiavi API a lungo termine presentano un rischio di sicurezza maggiore rispetto alle chiavi API a breve termine. Quando possibile, consigliamo di utilizzare chiavi API a breve termine o credenziali di sicurezza temporanee. Se utilizzi chiavi API a lungo termine, ti consigliamo di implementare pratiche di rotazione delle chiavi a intervalli regolari.

Servizi supportati

La tabella seguente elenca i AWS servizi che supportano le chiavi API e il tipo di chiave API supportata da ciascun servizio.

# Servizio Chiavi API a lungo termine Chiavi API a breve termine Policy gestita allegata automaticamente
1 Amazon Bedrock AmazonBedrockLimitedAccess
2 CloudWatch Registri Amazon N/D CloudWatchLogsAPIKeyAccesso

Quando generi una chiave API a lungo termine per un servizio, la policy AWS gestita corrispondente viene automaticamente allegata all'utente IAM, garantendo l'accesso alle operazioni principali di quel servizio. Se hai bisogno di un accesso aggiuntivo, puoi modificare le autorizzazioni per l'utente IAM. Per informazioni sulla modifica delle autorizzazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM. Per ulteriori informazioni su come usare una chiave Amazon Bedrock, consulta Use an Amazon Bedrock API key nella Amazon Bedrock User Guide. Per ulteriori informazioni su come utilizzare il token bearer per Amazon CloudWatch Logs, consulta l'autenticazione con token Bearer nella CloudWatch Logs User Guide.

Prerequisiti per le chiavi API a lungo termine

Prima di poter generare una chiave API a lungo termine nella console IAM, devi soddisfare questi prerequisiti:

  • Un utente IAM da associare alla chiave API a lungo termine. Per istruzioni su come creare un utente IAM, consulta Crea un utente IAM nel tuo Account AWS.

  • È necessario disporre delle seguenti autorizzazioni relative alle policy IAM per gestire le credenziali specifiche del servizio per un utente IAM. La policy di esempio concede l’autorizzazione a creare, elencare, aggiornare, eliminare e reimpostare le credenziali specifiche del servizio. Sostituisci il username valore nell'elemento Resource con il nome dell'utente IAM per cui genererai chiavi API a lungo termine per:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Generazione di una chiave API a lungo termine (console)

Per generare una chiave API a lungo termine per un servizio specifico nella console IAM

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM, scegli Utenti.

  3. Scegli l'utente IAM per cui desideri generare una chiave API a lungo termine.

  4. Selezionare la scheda Security Credentials (Credenziali di sicurezza).

  5. Nella sezione Chiavi API, scegli Genera chiave API.

  6. Dall'elenco a discesa dei AWS servizi, scegli il servizio su cui desideri autenticare la chiave API.

  7. Per Scadenza della chiave API, esegui una delle seguenti operazioni:

    • Scegli una durata di scadenza della chiave API di 1, 5, 30, 90 o 365 giorni.

    • Scegli Durata personalizzata per specificare una data di scadenza della chiave API personalizzata.

    • Scegli Non scade mai (scelta non consigliata).

  8. Scegli Genera chiave API.

  9. Copia o scarica la tua chiave API. Questo è l’unico momento in cui è possibile visualizzare il valore della chiave API.

    Importante

    Archivia la chiave API in modo sicuro. Dopo aver chiuso la finestra di dialogo, non sarà possibile recuperare di nuovo la chiave API. Se perdi o dimentichi la tua chiave API, non puoi recuperarla. Invece, genera una nuova chiave API e rendi inattiva la vecchia chiave.

Generazione di una chiave API a lungo termine ()AWS CLI

Per generare una chiave API a lungo termine utilizzando il AWS CLI, utilizza i seguenti passaggi:

  1. Crea un utente IAM che verrà utilizzato con Amazon Bedrock o Amazon CloudWatch Logs utilizzando il comando create-user:

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Allega la policy AWS gestita all'utente IAM utilizzando il comando. attach-user-policy

    Per Amazon Bedrock:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Per Amazon CloudWatch Logs:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Genera la chiave API a lungo termine utilizzando il create-service-specific-credentialcomando.

    Per Amazon Bedrock:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Per Amazon CloudWatch Logs:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    Nota

    Il parametro --credential-age-days è facoltativo. Puoi specificare un valore compreso tra 1 e 36600 giorni. Se si omette questo parametro, la chiave API non scade.

La risposta ServiceApiKeyValue restituita è la chiave API a lungo termine per il rispettivo servizio. Archivia il valore ServiceApiKeyValue in modo sicuro, poiché non potrai recuperarlo in un secondo momento.

Elencare le chiavi API a lungo termine (AWS CLI)

Per elencare i metadati delle chiavi API a lungo termine per un utente specifico, usa il list-service-specific-credentialscomando con il --user-name parametro:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
Nota

Sostituisci bedrock.amazonaws.com con il nome di servizio appropriato (ad esempio, logs.amazonaws.com per Amazon CloudWatch Logs).

Per elencare tutti i metadati delle chiavi API a lungo termine presenti nell'account, usa il list-service-specific-credentialscomando con il --all-users parametro:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Aggiornamento dello stato della chiave API a lungo termine (AWS CLI)

Per aggiornare lo stato di una chiave API a lungo termine, usa il update-service-specific-credentialcomando:

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Generazione di una chiave API (AWS API) a lungo termine

Puoi utilizzare le seguenti operazioni API IAM per gestire le chiavi API a lungo termine per qualsiasi servizio supportato:

Chiavi API a breve termine (Amazon Bedrock)

Le chiavi API a breve termine sono attualmente supportate solo da Amazon Bedrock. Per informazioni sulla generazione e l'utilizzo di chiavi API a breve termine, consulta Generare una chiave API nella Amazon Bedrock User Guide.

Informazioni specifiche per il servizio