Generazione di una chiave API Amazon Bedrock - Amazon Bedrock
Genera una chiave API utilizzando la consoleGenera una chiave API utilizzando l'API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Generazione di una chiave API Amazon Bedrock

Puoi generare una chiave API Amazon Bedrock utilizzando l' AWS Management Console o l' AWS API. Ti consigliamo di utilizzare il AWS Management Console per generare facilmente una chiave API Amazon Bedrock in pochi passaggi.

Genera una chiave API Amazon Bedrock utilizzando la console

Per generare una chiave API Amazon Bedrock utilizzando la console, procedi come segue:

  1. Accedi a AWS Management Console con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock all'indirizzo https://console.aws.amazon.com/bedrock/.

  2. Nel riquadro di navigazione a sinistra, seleziona Chiavi API.

  3. Genera uno dei seguenti tipi di chiavi:

    • Chiave API a breve termine: nella scheda Chiavi API a breve termine, scegli Genera chiavi API a breve termine. La chiave scade alla scadenza della sessione della console (e non più di 12 ore) e ti consente di effettuare chiamate verso la piattaforma da Regione AWS cui l'hai generata. È possibile modificare la regione direttamente nella chiave generata.

    • Chiave API a lungo termine: nella scheda Chiavi API a lungo termine, scegli Genera chiavi API a lungo termine.

      1. Nella sezione Scadenza della chiave API, scegli l'ora dopo la quale la chiave scadrà.

      2. (Facoltativo) Per impostazione predefinita, la policy AmazonBedrockLimitedAccess AWS gestita, che garantisce l'accesso alle operazioni principali dell'API Amazon Bedrock, è allegata all'utente IAM associato alla chiave. Per selezionare altre politiche da allegare all'utente, espandi la sezione Autorizzazioni avanzate e seleziona le politiche che desideri aggiungere.

      3. Scegliere Generate (Genera).

      avvertimento

      Consigliamo vivamente di limitare l'uso di chiavi a lungo termine per l'esplorazione di Amazon Bedrock. Quando sei pronto a incorporare Amazon Bedrock in applicazioni con requisiti di sicurezza più elevati, consulta la seguente documentazione:

Genera una chiave API Amazon Bedrock utilizzando l'API

Ti consigliamo di utilizzare il AWS Management Console per generare le chiavi API Amazon Bedrock per un'esperienza semplice. Tuttavia, puoi anche generare chiavi tramite l'API. Espandi la sezione corrispondente al tuo caso d'uso.

I passaggi generali per creare una chiave API Amazon Bedrock a lungo termine nell'API sono i seguenti:

  1. Crea un utente IAM inviando una CreateUserrichiesta con un endpoint IAM.

  2. Collegalo AmazonBedrockLimitedAccessall'utente IAM inviando una AttachUserPolicyrichiesta con un endpoint IAM. Puoi ripetere questo passaggio per allegare all'utente altre policy gestite o personalizzate, se necessario.

    Nota

    Come best practice di sicurezza, consigliamo vivamente di allegare le policy IAM all'utente IAM per limitare l'uso delle chiavi API Amazon Bedrock. Per esempi di politiche di limitazione temporale e di limitazione degli indirizzi IP che possono utilizzare la chiave, consulta Controllare l'uso delle chiavi di accesso allegando una policy in linea a un utente IAM.

  3. Genera la chiave API Amazon Bedrock a lungo termine inviando una CreateServiceSpecificCredentialrichiesta con un endpoint IAM e specificando bedrock.amazonaws.com come. ServiceName

    • La risposta ServiceApiKeyValue restituita è la tua chiave API Amazon Bedrock a lungo termine.

    • Il ServiceSpecificCredentialId valore restituito nella risposta può essere utilizzato per eseguire operazioni API relative alla chiave.

Per scoprire come generare una chiave API Amazon Bedrock a lungo termine, scegli la scheda relativa al tuo metodo preferito, quindi segui i passaggi:

CLI

Per creare una chiave API Amazon Bedrock a lungo termine, utilizzi le operazioni AWS Identity and Access Management API. Innanzitutto, assicurati di aver soddisfatto il prerequisito:

Prerequisito

Assicurati che la configurazione consenta loro di riconoscere automaticamente AWS CLI le tue AWS credenziali. Per ulteriori informazioni, consulta Configurazione delle impostazioni per. AWS CLI

Aprire una finestra del terminale ed eseguire i comandi seguenti:

  1. Crea un utente IAM. Puoi sostituire il nome con uno a tua scelta:

    aws iam create-user --user-name bedrock-api-user

  2. Allega il AmazonBedrockLimitedAccessall'utente. Puoi ripetere questo passaggio con qualsiasi altra politica AWS gestita o personalizzata che desideri aggiungere alla chiave API: ARNs 

    aws iam attach-user-policy --user-name bedrock-api-user --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. Crea la chiave API Amazon Bedrock a lungo termine, sostituendola ${NUMBER-OF-DAYS} con il numero di giorni per i quali desideri che duri la chiave:

    aws iam create-service-specific-credential \
    --user-name bedrock-api-user \
    --service-name bedrock.amazonaws.com \
    --credential-age-days ${NUMBER-OF-DAYS}
Python

Per creare una chiave API Amazon Bedrock a lungo termine, utilizzi le operazioni AWS Identity and Access Management API. Innanzitutto, assicurati di aver soddisfatto il prerequisito:

Prerequisito

Assicurati che la tua configurazione consenta a Python di riconoscere automaticamente le tue AWS credenziali. Per ulteriori informazioni, consulta Configurazione delle impostazioni per. AWS CLI

Esegui lo script seguente per creare un utente IAM, allegare le autorizzazioni per eseguire azioni Amazon Bedrock e generare una chiave API Amazon Bedrock a lungo termine da associare all'utente:

import boto3
from datetime import datetime, timedelta

# Replace with name for your IAM user
username = "bedrock-api-user"
# Add any AWS-managed or custom policies that you want to the user
bedrock_policies = [
    "arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess",        # Limited access
#    "arn:aws:iam::aws:policy/AmazonBedrockMarketplaceAccess",   # Optional: Access to Amazon Bedrock Marketplace actions
]
# Set the key expiration time to a number of your choice
expiration_time_in_days = 30

iam_client = boto3.client("iam")
    
# Create IAM user
user = iam_client.create_iam_user(username)

# Attach policies to user
for policy_arn in bedrock_policies:
    iam_client.attach_managed_policy(username, policy_arn)

# Create long-term Amazon Bedrock API key and return it
service_credentials = iam_client.create_service_specific_credential(
    user_name=username, 
    service_name="bedrock",
    credential_age_days=expiration_time_in_days
) 
api_key = service_credentials["ServiceApiKeyValue"]
print(api_key)

Puoi generare una chiave API Amazon Bedrock a breve termine che duri quanto la sessione utilizzata per generarla (e non più di 12 ore).

Prerequisiti

  • Assicurati che la tua configurazione consenta a Python di riconoscere automaticamente le tue AWS credenziali. Per ulteriori informazioni, consulta Configurazione delle impostazioni per. AWS CLI

  • Apri un terminale e scarica il generatore di token Amazon Bedrock con il comando che corrisponde all'SDK che stai utilizzando:

    • Python

      python3 -m pip install aws-bedrock-token-generator

    • Javascript

      npm install @aws/bedrock-token-generator

  • Assicurati che l'identità IAM che stai utilizzando per effettuare chiamate API disponga almeno delle autorizzazioni per assumere un ruolo e creare una sessione di ruolo:

    • L'identità IAM deve disporre delle autorizzazioni per assumere il ruolo. Se l'identità ha autorizzazioni limitate, puoi allegare all'identità la seguente politica basata sull'identità (sostituirla con ${arn:aws:iam::111122223333:role/SessionRole} l'ARN effettivo del ruolo per la sessione):

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "${arn:aws:iam::111122223333:role/SessionRole}"
        }
    ]
}

      Per ulteriori informazioni sulla concessione a un'identità delle autorizzazioni per assumere un ruolo, consulta Concedere a un utente le autorizzazioni per cambiare ruolo.

    • Il ruolo IAM deve avere una policy di fiducia che consenta all'identità IAM di assumerlo. È possibile collegare la seguente policy di fiducia a un ruolo IAM per consentire al principale specificato nel Principal campo di assumere il ruolo di creare la chiave. Questo esempio specifica un utente IAM come principale. Sostituiscilo con l'ARN effettivo dell'utente.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "${arn:aws:iam::111122223333:user/UserId}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

      Per ulteriori informazioni sui principali, consulta Elementi della policy AWS JSON: Principal. Per informazioni su come aggiornare una politica di fiducia per un ruolo, vedi Aggiornare una politica di attendibilità dei ruoli.

Scegli la scheda corrispondente all'SDK che stai utilizzando ed esegui lo script per generare una chiave API Amazon Bedrock a breve termine dalle credenziali della sessione:

Python
from aws_bedrock_token_generator import BedrockTokenGenerator
import boto3

# Replace with a region of your choice
region = "us-east-1"

# Fetch credentials
session = boto3.Session()
credentials = session.get_credentials()

# Initialize token generator
generator = BedrockTokenGenerator()

# Generate one-time token
token = generator.get_token(credentials, region)
Javascript
import { BedrockTokenGenerator } from '@aws/bedrock-token-generator';
import { fromNodeProviderChain } from '@aws-sdk/credential-providers';

async function example() {
    // Set region
    const region = 'us-east-1'
    
    // Create token generator
    const generator = new BedrockTokenGenerator();
    
    // Get credentials from default provider chain
    const credentials = fromNodeProviderChain();
    
    // Generate token
    const token = await generator.generateToken(credentials, region);
    
    // Use the token for API calls (valid for 12 hours)
    console.log(`Bearer Token: ${token}`);
}
Java

Importazione da Maven

<dependency>
    <groupId>software.amazon.bedrock</groupId>
    <artifactId>aws-bedrock-token-generator</artifactId>
    <version>1.0.0</version>
</dependency>

Importazione Gradle

implementation 'software.amazon.bedrock:aws-bedrock-token-generator:1.0.0'

Utilizzo

import software.amazon.bedrock.token.BedrockTokenGenerator;
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;

// Create token generator
BedrockTokenGenerator tokenGenerator = new BedrockTokenGenerator();

// Generate token using default credentials
String bearerToken = tokenGenerator.getToken(
    DefaultCredentialsProvider.create().resolveCredentials(),
    Region
);

// Use the token for API calls (valid for 12 hours)
System.out.println("Bearer Token: " + bearerToken);
Nota

Le autorizzazioni della chiave a breve termine saranno l'intersezione di quanto segue:

  • Le autorizzazioni allegate alla sessione utilizzate per generare la chiave.

  • Le autorizzazioni concesse da. AmazonBedrockLimitedAccess