Amazon Bedrock の API キー - AWS Identity and Access Management
前提条件Amazon Bedrock の長期 API キーの生成 (コンソール)Amazon Bedrock の長期 API キーの生成 (AWS CLI)Amazon Bedrock の長期 API キーの生成 (AWS API)

Amazon Bedrock の API キー

Amazon Bedrock は、主要な AI 企業と Amazon の基盤モデルを提供するフルマネージドサービスです。Amazon Bedrock には、AWS Management Console を通じてアクセスできるほか、AWS CLI や AWS APIを使えばプログラムからもアクセスできます。Amazon Bedrock にプログラムからリクエストする場合は、一時的なセキュリティ認証情報または Amazon Bedrock の API キーを使用して認証できます。Amazon Bedrock は、次の 2 種類の API キーをサポートしています。

  • 短期 API キー – 短期 API キーは、AWS 署名バージョン 4 を使用する署名付き URL です。短期 API キーは、API キーを生成する ID の認証情報と同じアクセス許可と有効期限を共有し、最大 12 時間またはコンソールセッションの残り時間の短い方の時間まで有効です。Amazon Bedrock コンソール、Python パッケージ aws-bedrock-token-generator、および他のプログラミング言語用のパッケージを使用して、短期 API キーを生成できます。詳細については、「Amazon Bedrock ユーザーガイド」の「Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API」を参照してください。

  • 長期 API キー – 長期 API キーは IAM ユーザーに関連付けられ、IAM サービス固有の認証情報を使用して生成されます。これらの認証情報は Amazon Bedrock でのみ使用するように設計されており、認証情報の適用範囲を制限することでセキュリティを強化しています。長期 API キーの有効期限を設定できます。IAM または Amazon Bedrock コンソール、AWS CLI、AWS API を使用して、長期 API キーを生成できます。

IAM ユーザーは、Amazon Bedrock 用に最大 2 つの長期 API キーを持つことができ、安全なキーローテーションプラクティスを実装するのに役立ちます。

長期 API キーを生成すると、AWS 管理ポリシー AmazonBedrockLimitedAccess が IAM ユーザーに自動的にアタッチされます。このポリシーは、コア Amazon Bedrock API オペレーションへのアクセスを許可します。追加の Amazon Bedrock アクセスが必要な場合は、IAM ユーザーのアクセス許可を変更できます。許可の変更については、「IAM ID のアクセス許可の追加および削除」を参照してください。

注記

長期 API キーは、短期 API キーと比較してセキュリティリスクが高くなります。可能であれば、短期 API キーまたは一時的なセキュリティ認証情報を使用することをお勧めします。長期 API キーを使用する場合は、定期的なキーローテーションプラクティスを実施することをお勧めします。

前提条件

IAM コンソールで Amazon Bedrock 長期 API キーを生成する前に、次の前提条件を満たす必要があります。

  • 長期 API キーに関連付ける IAM ユーザー。IAM ユーザーの作成手順については、「AWS アカウント で IAM ユーザーを作成する」を参照してください。

  • IAM ユーザーのサービス固有の認証情報を管理するには、次の IAM ポリシーのアクセス許可があることを確認してください。このポリシー例では、サービス固有の認証情報を作成、一覧表示、更新、削除、およびリセットするアクセス許可を付与します。Resource の要素の username 値を、Amazon Bedrock API キーを生成する IAM ユーザーの名前に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Amazon Bedrock の長期 API キーの生成 (コンソール)

Amazon Bedrock 長期 API キーを生成するには (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

  2. IAM コンソールのナビゲーションペインで [ユーザー] を選択します。

  3. IAM ユーザーを選択して、Amazon Bedrock の長期 API キーを生成します。

  4. [セキュリティ認証情報] タブを選択します。

  5. [Amazon Bedrock の API キー] セクションで、[API キーの生成] を選択します。

  6. API キーの有効期限について、以下のいずれかを実行します。

    • API キーの有効期限として 153090、または 365 日を選択します。

    • カスタム期間を選択して、カスタム API キーの有効期限を指定します。

    • [有効期限なし] (非推奨) を選択します。

  7. [API キーの生成] を選択します。

  8. API キーをコピーまたはダウンロードします。API キー値を表示できるのは今回だけです。

    重要

    API キーを安全に保存してください。ダイアログボックスを閉じた後は、API キーを再度取得することはできません。シークレットアクセスキーがわからないまたは忘れた場合、取得することはできません。代わりに、新しいアクセスキーを作成し、古いキーを非アクティブにします。

Amazon Bedrock の長期 API キーの生成 (AWS CLI)

AWS CLI を使用して Amazon Bedrock 長期 API キーを生成するには、次の手順を実行します。

  1. create-user コマンドを使用して、Amazon Bedrock を使用するために必要な IAM ユーザーを作成します。

    aws iam create-user \
    --user-name BedrockAPIKey_1

  2. attach-user-policy コマンドを使用して、AWS 管理ポリシー AmazonBedrockLimitedAccess を Amazon Bedrock IAM ユーザーにアタッチします。

    aws iam attach-user-policy --user-name BedrockAPIKey_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. create-service-specific-credential コマンドを使用して、Amazon Bedrock の長期 API キーを生成します。認証情報の有効期間には、1~36600 日の値を指定できます。認証情報の有効期間を指定しないと、API キーは期限切れになりません。

    有効期限が 30 日の長期 API キーを生成するには:

    aws iam create-service-specific-credential \
    --user-name BedrockAPIKey_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

レスポンスで返される ServiceApiKeyValue が、Amazon Bedrock の 長期 API キーです。ServiceApiKeyValue 値は後で取得できないため、安全に保管してください。

長期 API キーを一覧表示する (AWS CLI)

特定のユーザーの Amazon Bedrock 長期 API キーメタデータを一覧表示するには、list-service-specific-credentials コマンドと --user-name パラメータを使用します。

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1

アカウント内のすべての Amazon Bedrock 長期 API キーメタデータを一覧表示するには、list-service-specific-credentials コマンドと --all-usersパラメータを使用します。

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

長期 API キーステータスを更新する (AWS CLI)

Amazon Bedrock の長期 API キーのステータスを更新するには、update-service-specific-credential コマンドを使用します。

aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Amazon Bedrock の長期 API キーの生成 (AWS API)

次の API オペレーションを使用して、Amazon Bedrock の長期 API キーを生成および管理できます。