API の使用を開始する - Amazon Bedrock
プログラムによるアクセス権を付与するために認証情報を取得するユーザーまたはロールに Amazon Bedrock のアクセス許可をアタッチするAmazon Bedrock への API コールの実行を試す

API の使用を開始する

このセクションでは、AWS API を使用して Amazon Bedrock リクエストを実行するように環境を設定する方法について説明します。AWS では、次のツールを使用してエクスペリエンスを効率化できます。

  • AWS Command Line Interface (AWS CLI)

  • AWS SDK

  • Amazon SageMaker AI ノートブックを使用

API の使用を開始するには、プログラムによるアクセス権を付与するために認証情報が必要です。次のセクションが該当している場合、展開して指示に従ってください。該当しない場合は、その後のセクションに進みます。

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウントにサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/[マイアカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

AWS アカウントのルートユーザーをセキュリティで保護する

  1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS マネジメントコンソール にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」で AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする方法 (コンソール) を確認してください。

AWS CLI をインストールするには、「Install or update to the latest version of the AWS CLI」の手順に従います。

AWS SDK をインストールするには、「AWS での構築ツール」で使用するプログラミング言語に対応するタブを選択します。AWS Software Development Kit (SDK) は、多くの一般的なプログラミング言語で使用できます。各 SDK には、デベロッパーが好みの言語でアプリケーションを簡単に構築できるようにする API、コード例、およびドキュメントが提供されています。SDK は、次のような便利なタスクを自動的に実行します。

  • サービスリクエストに暗号署名する

  • リクエストを再試行する

  • エラー応答を処理する

プログラムによるアクセス権を付与するために認証情報を取得する

ユーザーが AWS マネジメントコンソール の外部で AWS を操作する場合は、プログラムによるアクセスが必要です。AWS には、セキュリティ上の懸念に応じて複数のオプションが用意されています。

注記

Amazon Bedrock API にすばやくアクセスするために使用できる API キーを生成するためのステップバイステップガイドについては、「Amazon Bedrock API キーの使用を開始する: 30 日間のキーを生成し、最初の API コールを行う」を参照してください。

セキュリティ要件を強化するために、このセクションに進みます。

プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラムによるアクセス権が必要なプリンシパル 目的 方法
IAM ユーザー 長期的な認証情報の期間を制限し、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。

使用するインターフェイスの指示に従ってください。
IAM ロール 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。 IAM ユーザーガイドの「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。

ワークフォースアイデンティティ

(IAM アイデンティティセンターで管理されているユーザー)

 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。

使用するインターフェイスの指示に従ってください。

IAM ユーザー用にアクセスキーを使用する場合、AWS では制限付きインラインポリシーを含めて IAM ユーザーの有効期限を設定することが推奨されます。

重要

次の警告に注意してください。

  • AWS リソースにアクセスする際に、お使いのアカウントのルート認証情報を使用しないでください。これらの認証情報は無制限のアカウントアクセスを提供し、取り消すのが困難です。

  • アプリケーションファイルにリテラルアクセスキーや認証情報を配置しないでください。これを行うと、パブリックリポジトリにプロジェクトをアップロードするなど、誤って認証情報が公開されるリスクが発生します。

  • プロジェクト領域に認証情報を含むファイルを含めないでください

  • アクセスキーを安全に管理します。アカウント識別子を確認するためであっても、アクセスキーを認可されていない当事者に提供しないでください。提供すると、第三者がアカウントへの永続的なアクセスを取得する場合があります。

  • 共有 AWS 認証情報ファイルに格納された認証情報はプレーンテキストで格納されることに注意してください。

詳細については、「AWS 全般のリファレンス」の「AWS アクセスキーを管理するためのベストプラクティス」を参照してください。

IAM ユーザーを作成する

  1. AWS マネジメントコンソール ホームページで、IAM サービスを選択するか、https://console.aws.amazon.com/iam/ で IAM コンソールに移動します。

  2. ナビゲーションペインで [ユーザー][ユーザーの作成] の順に選択します。

  3. IAM コンソールのガイダンスに従って、AWS マネジメントコンソール へのアクセスなしで、アクセス許可もないプログラム型ユーザーを設定します。

制限された時間枠にユーザーアクセスを制限する

作成する IAM ユーザーアクセスキーは長期的な認証情報です。これらの認証情報が誤って処理された場合に有効期限が切れるようにするには、キーの有効性が切れる日付を指定したインラインポリシーを作成して、これらの認証情報に期限を設定することができます。

  1. 先ほど作成した IAM ユーザーを開きます。[アクセス許可] タブで [アクセス許可の追加] を選択したら、[インラインポリシーの作成] を選択します。

  2. JSON エディタで、次のアクセス許可を指定します。このポリシーを使用するには、ポリシー例の aws:CurrentTime タイムスタンプ値の値を独自の終了日に置き換えます。

    注記

    IAM では、アクセスキーを 12 時間に制限することが推奨されます。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "2024-01-01T00:00:000"
        }
      }
    }
  ]
}
アクセスキーの作成

  1. [ユーザー詳細] のページで [セキュリティ認証情報] タブを選択します。[Access keys (アクセスキー)] セクションで、[Create access key (アクセスキーを作成)] を選択します。

  2. これらのアクセスキーを [その他] として使用することを示して、[アクセスキーの作成] を選択します。

  3. [Retrieve access key] (アクセスキーの取得) ページで、[Show] (表示) を選択し、ユーザーのシークレットアクセスキーの値を表示します。認証情報をコピーするか、csv ファイルをダウンロードできます。

重要

この IAM ユーザーが不要になったら、削除してAWS セキュリティのベストプラクティスに準拠させることをお勧めします。AWS にアクセスする際、AWS IAM アイデンティティセンターを介して一時的な認証情報を使用することを、人間のユーザーに求めることをお勧めします。

ユーザーまたはロールに Amazon Bedrock のアクセス許可をアタッチする

プログラムによるアクセス権の認証情報を設定したら、Amazon Bedrock 関連の一連のアクションにアクセスできるように、ユーザーまたは IAM ロールのアクセス許可を設定する必要があります。これらのアクセス許可を設定するには、次の手順を実行します。

  1. AWS マネジメントコンソール ホームページで、IAM サービスを選択するか、https://console.aws.amazon.com/iam/ で IAM コンソールに移動します。

  2. [ユーザー] または [ロール] を選択して、ユーザーまたはロールを指定します。

  3. [アクセス許可] タブで [アクセス許可の追加] を選択してから、[AWS 管理ポリシーの追加] を選択します。「AmazonBedrockFullAccess」のAWS 管理ポリシーを選択します。

  4. ユーザーまたはロールにモデルへのサブスクライブを許可するには、[インラインポリシーの作成] を選択して JSON エディタで次のアクセス許可を指定します。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Sid": "MarketplaceBedrock",
          "Effect": "Allow",
          "Action": [
              "aws-marketplace:ViewSubscriptions",
              "aws-marketplace:Unsubscribe",
              "aws-marketplace:Subscribe"
          ],
          "Resource": "*"
      }
  ]
}

Amazon Bedrock への API コールの実行を試す

すべての前提条件を満たしたら、次のいずれかのトピックを選択して、Amazon Bedrock モデルを使用したモデル呼び出しリクエストの作成をテストします。

トピック