Prerequisiti Generazione di una chiave API a lungo termine per Amazon Bedrock (console)Generazione di una chiave API a lungo termine per Amazon Bedrock (AWS CLI)Generazione di una chiave API a lungo termine per Amazon Bedrock (API AWS)

Chiavi API per Amazon Bedrock

Amazon Bedrock è un servizio completamente gestito che offre i modelli di fondazione delle aziende leader nel settore dell'IA e di Amazon. Puoi accedere ad Amazon Bedrock tramite la Console di gestione AWS e in modo programmatico utilizzando la AWS CLI o l'API AWS. Quando effettui richieste programmatiche ad Amazon Bedrock, puoi autenticarti utilizzando credenziali di sicurezza temporanee o chiavi API di Amazon Bedrock. Amazon Bedrock supporta due tipi di chiavi API:

Chiavi API a breve termine: una chiave API a breve termine è un URL prefirmato che utilizza la versione 4 di AWS Signature. Le chiavi API a breve termine condividono le stesse autorizzazioni e la stessa scadenza delle credenziali dell'identità che genera la chiave API e sono valide per un massimo di 12 ore o per il tempo rimanente della sessione della console, a seconda di quale tra i due sia più breve. Per generare chiavi API a breve termine puoi utilizzare la console Amazon Bedrock, il pacchetto Python aws-bedrock-token-generator e i pacchetti per altri linguaggi di programmazione. Per ulteriori informazioni, consulta Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API nella Guida per l'utente di Amazon Bedrock.
Chiavi API a lungo termine: le chiavi API a lungo termine sono associate a un utente IAM e vengono generate utilizzando credenziali specifiche del servizio IAM. Queste credenziali sono progettate per essere utilizzate solo con Amazon Bedrock e migliorano la sicurezza limitando l'ambito delle credenziali. Per le chiavi API a lungo termine puoi impostare una scadenza. Per generare chiavi API a lungo termine puoi utilizzare la console IAM o Amazon Bedrock, la AWS CLI o l'API AWS.

Un utente IAM può avere fino a due chiavi API a lungo termine per Amazon Bedrock, che ti aiutano a implementare pratiche sicure di rotazione delle chiavi.

Quando generi una chiave API a lungo termine, la policy gestita da AWS AmazonBedrockLimitedAccess viene collegata all'utente IAM in automatico. Questa policy concede l'accesso alle operazioni di base dell'API di Amazon Bedrock. Se hai bisogno di un accesso aggiuntivo ad Amazon Bedrock, puoi modificare le autorizzazioni per l'utente IAM. Per informazioni sulla modifica delle autorizzazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM. Per ulteriori informazioni su come usare una chiave Amazon Bedrock, consulta Use an Amazon Bedrock API key nella Guida per l'utente di Amazon Bedrock.

Nota

Le chiavi API a lungo termine presentano un rischio di sicurezza maggiore rispetto alle chiavi API a breve termine. Quando possibile, consigliamo di utilizzare chiavi API a breve termine o credenziali di sicurezza temporanee. Se utilizzi chiavi API a lungo termine, ti consigliamo di implementare pratiche di rotazione delle chiavi a intervalli regolari.

Prerequisiti

Prima di poter generare una chiave API a lungo termine di Amazon Bedrock dalla console IAM, devi soddisfare i seguenti prerequisiti:

Un utente IAM da associare alla chiave API a lungo termine. Per istruzioni su come creare un utente IAM, consulta Creare un utente IAM nel tuo Account AWS.

Assicurati di disporre delle seguenti autorizzazioni relative alla policy IAM per gestire le credenziali specifiche del servizio per un utente IAM. La policy di esempio concede l'autorizzazione a creare, elencare, aggiornare, eliminare e reimpostare le credenziali specifiche del servizio. Sostituisci il valore username nell'elemento Resource con il nome dell'utente IAM per cui genererai le chiavi API Amazon Bedrock per:

Generazione di una chiave API a lungo termine per Amazon Bedrock (console)

Per generare una chiave API a lungo termine Amazon Bedrock (console)

Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione della console IAM, scegli Utenti.
Seleziona l'utente IAM per cui desideri generare le chiavi API a lungo termine di Amazon Bedrock.
Scegli la scheda Credenziali di sicurezza.
Nella sezione Chiavi API per Amazon Bedrock, scegli Genera chiave API.
Per Scadenza della chiave API, esegui una delle seguenti operazioni:
- Seleziona una durata di scadenza della chiave API di 1, 5, 30, 90 o 365 giorni.
- Scegli Durata personalizzata per specificare una data di scadenza della chiave API personalizzata.
- Seleziona Non scade mai (scelta non consigliata)
Scegli Genera chiave API.
Copia o scarica la tua chiave API. Questo è l'unico momento in cui è possibile visualizzare il valore della chiave API.

Importante
Archivia la chiave API in modo sicuro. Dopo aver chiuso la finestra di dialogo, non sarà possibile recuperare di nuovo la chiave API. Se perdi o dimentichi la chiave di accesso segreta, non potrai recuperarla. Dovrai invece creare una nuova chiave di accesso e rendere inattiva quella vecchia.

Generazione di una chiave API a lungo termine per Amazon Bedrock (AWS CLI)

Per generare una chiave API a lungo termine di Amazon Bedrock utilizzando la AWS CLI, utilizza i seguenti passaggi:

Crea un utente IAM che verrà utilizzato con Amazon Bedrock utilizzando il comando create-user:
```
aws iam create-user \
    --user-name BedrockAPIKey_1
```
Collega la policy gestita da AWS AmazonBedrockLimitedAccess all'utente Amazon Bedrock IAM utilizzando il comando attach-user-policy:
```
aws iam attach-user-policy --user-name BedrockAPIKey_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
```
Genera la chiave API a lungo termine di Amazon Bedrock utilizzando il comando create-service-specific-credential. Per l'età delle credenziali, puoi specificare un valore compreso tra 1 e 36.600 giorni. Se non specifici l'età delle credenziali, la chiave API non scadrà.

Per generare una chiave API a lungo termine con una scadenza di 30 giorni:
```
aws iam create-service-specific-credential \
    --user-name BedrockAPIKey_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30
```

Il valore ServiceApiKeyValue restituito nella risposta è la chiave API Amazon Bedrock a lungo termine. Archivia il valore ServiceApiKeyValue in modo sicuro, poiché non potrai recuperarlo in un secondo momento.

Elencare le chiavi API a lungo termine (AWS CLI)

Per elencare i metadati delle chiavi API a lungo termine di Amazon Bedrock per un utente specifico, usa il comando list-service-specific-credentials con il parametro --user-name:


aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1

Per elencare tutti i metadati delle chiavi API a lungo termine di Amazon Bedrock nell'account, utilizza il comando list-service-specific-credentials con il parametro --all-users:


aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Aggiornamento dello stato della chiave API a lungo termine (AWS CLI)

Per aggiornare lo stato di una chiave API a lungo termine per Amazon Bedrock, usa il comando update-service-specific-credential:


aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Generazione di una chiave API a lungo termine per Amazon Bedrock (API AWS)

Puoi utilizzare le operazioni API seguenti per generare e gestire chiavi API a lungo termine per Amazon Bedrock:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Credenziali specifiche del servizio

Utilizzare IAM con Amazon Keyspaces