Amazon Bedrock에 대한 API 키 - AWS Identity and Access Management
사전 조건Amazon Bedrock에 대한 장기 API 키 생성(콘솔)Amazon Bedrock용 장기 API 키 생성(AWS CLI)Amazon Bedrock용 장기 API 키 생성(AWS API)

Amazon Bedrock에 대한 API 키

Amazon Bedrock은 선도적인 AI 회사 및 Amazon의 파운데이션 모델을 제공하는 완전관리형 서비스입니다. AWS Management Console을 통해 Amazon Bedrock에 액세스하고 AWS CLI, 또는 AWS API를 사용하여 프로그래밍 방식으로 액세스할 수 있습니다. 프로그래밍 방식으로 Amazon Bedrock에 요청을 할 때 임시 보안 자격 증명 또는 Amazon Bedrock API 키를 사용하여 인증할 수 있습니다. Amazon Bedrock은 두 가지 유형의 API 키를 지원합니다.

  • 단기 API 키 - 단기 API 키는 AWS 서명 버전 4를 사용하는 미리 서명된 URL입니다. 단기 API 키는 API 키를 생성한 자격 증명과 동일한 권한 및 기한을 공유하며 최대 12시간 또는 콘솔 세션의 남은 시간 중 더 빨리 끝나는 기간 동안 유효합니다. Amazon Bedrock 콘솔, Python 패키지 aws-bedrock-token-generator 및 다른 프로그래밍 언어용 패키지를 사용하여 단기 API 키를 생성할 수 있습니다. 자세한 내용은 Amazon Bedrock 사용 설명서Amazon Bedrock API에 쉽게 액세스할 수 있도록 Amazon Bedrock API 키 생성을 참조하세요.

  • 장기 API 키 - 장기 API 키는 IAM 사용자와 연결되며 IAM 서비스별 자격 증명을 사용하여 생성됩니다. 해당 자격 증명은 Amazon Bedrock에서만 사용하도록 설계되어 자격 증명 범위를 제한함으로써 보안을 강화합니다. 장기 API 키가 만료되는 만료 시간을 설정할 수 있습니다. IAM 또는 Amazon Bedrock 콘솔, AWS CLI 또는 AWS API를 사용하여 장기 API 키를 생성할 수 있습니다.

IAM 사용자는 Amazon Bedrock에 대해 최대 2개의 장기 API 키를 보유할 수 있으므로 보안 키 교체 사례 구현에 도움이 됩니다.

장기 API 키를 생성하면 자동으로 AWS 관리형 정책 AmazonBedrockLimitedAccess가 IAM 사용자에게 연결됩니다. 이 정책은 핵심 Amazon Bedrock API 작업에 대한 액세스 권한을 부여합니다. Amazon Bedrock 액세스가 추가로 필요한 경우 IAM 사용자의 권한을 수정할 수 있습니다. 권한 수정에 대한 자세한 내용은 IAM 자격 증명 권한 추가 및 제거 섹션을 참조하세요.

참고

장기 API 키는 단기 API 키에 비해 보안 위험도가 높습니다. 가능하면 단기 API 키 또는 임시 보안 자격 증명을 사용하는 것이 좋습니다. 장기 API 키를 사용하는 경우 키 교체를 정기적으로 수행하는 사례를 구현하는 것이 좋습니다.

사전 조건

IAM 콘솔에서 Amazon Bedrock 장기 API 키를 생성하려면 먼저 다음 사전 조건을 충족해야 합니다.

  • 장기 API 키와 연결할 IAM 사용자입니다. IAM 사용자 생성 지침은 AWS 계정에서 IAM 사용자 생성 섹션을 참조하세요.

  • 다음과 같이 IAM 사용자의 서비스별 자격 증명을 관리할 수 있는 IAM 정책 권한을 보유해야 합니다. 예제 정책은 서비스별 자격 증명을 생성, 나열, 업데이트, 삭제하고 재설정할 수 있는 권한을 부여합니다. 리소스 요소의 username 값을 Amazon Bedrock API 키를 생성할 IAM 사용자의 이름으로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Amazon Bedrock에 대한 장기 API 키 생성(콘솔)

Amazon Bedrock 장기 API 키 생성(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. IAM 콘솔의 탐색 창에서 사용자를 선택합니다.

  3. Amazon Bedrock 장기 API 키를 생성할 IAM 사용자를 선택합니다.

  4. 보안 자격 증명 탭을 선택합니다.

  5. Amazon Bedrock에 대한 API 키 섹션에서 API 키 생성을 선택합니다.

  6. API 키 만료가 된 경우 다음 중 하나를 수행하세요..

    • API 키 만료 기간을 1, 5, 30, 90 또는 365일 중에서 선택합니다.

    • 사용자 지정 기간을 선택하여 사용자 지정 API 키 만료 날짜를 지정합니다.

    • 만료 기간 없음(권장되지 않음)을 선택합니다.

  7. API 키 생성을 선택합니다.

  8. API 키를 복사 또는 다운로드합니다. API 키 값을 볼 수 있는 것은 이 때가 유일합니다.

    중요

    API 키를 안전하게 저장합니다. 대화 상자를 닫은 이후에는 API 키를 다시 검색할 수 없습니다. 시크릿 액세스 키를 분실하거나 잊어버린 경우 검색할 수 없습니다. 대신 새 액세스 키를 생성하고 이전 키를 비활성화하세요.

Amazon Bedrock용 장기 API 키 생성(AWS CLI)

AWS CLI를 사용하여 Amazon Bedrock 장기 API 키를 생성하려면 다음 단계를 사용합니다.

  1. create-user 명령을 사용해 Amazon Bedrock과 함께 사용할 IAM 사용자를 생성합니다.

    aws iam create-user \
    --user-name BedrockAPIKey_1

  2. attach-user-policy 명령을 사용해 AWS 관리형 정책을 AmazonBedrockLimitedAccess Amazon Bedrock IAM 사용자에게 연결합니다.

    aws iam attach-user-policy --user-name BedrockAPIKey_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. create-service-specific-credential 명령을 사용해 Amazon Bedrock 장기 API 키를 생성합니다. 자격 증명 기간에는 1~36600일 사이의 값을 지정할 수 있습니다. 자격 증명 기간을 지정하지 않으면 API 키가 만료되지 않습니다.

    만료 기간이 30일인 장기 API 키 생성:

    aws iam create-service-specific-credential \
    --user-name BedrockAPIKey_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

응답에 반환된 ServiceApiKeyValue는 장기 Amazon Bedrock API 키입니다. 나중에 검색할 수 없으므로 ServiceApiKeyValue 값을 안전하게 저장하세요.

장기 API 키 나열(AWS CLI)

특정 사용자의 Amazon Bedrock 장기 API 키 메타데이터를 나열하려면 list-service-specific-credentials 명령을 --user-name 파라미터와 함께 사용합니다.

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1

계정의 모든 Amazon Bedrock 장기 API 키 메타데이터를 나열하려면 list-service-specific-credentials 명령을 --all-users 파라미터와 함께 사용합니다.

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

장기 API 키 상태 업데이트(AWS CLI)

Amazon Bedrock에 대한 장기 API 키의 상태를 업데이트하려면 update-service-specific-credential 명령을 사용합니다.

aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Amazon Bedrock용 장기 API 키 생성(AWS API)

다음 API 작업을 사용하여 Amazon Bedrock에 대한 장기 API 키를 생성 및 관리할 수 있습니다.