Amazon Bedrock API 키 생성 - Amazon Bedrock
콘솔을 사용하여 API 키 생성API를 사용하여 API 키 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock API 키 생성

AWS Management Console 또는 API를 사용하여 Amazon Bedrock AWS API 키를 생성할 수 있습니다. AWS Management Console 를 사용하여 몇 단계만으로 Amazon Bedrock API 키를 쉽게 생성하는 것이 좋습니다.

콘솔을 사용하여 Amazon Bedrock API 키 생성

콘솔을 사용하여 Amazon Bedrock API 키를 생성하려면 다음을 수행합니다.

  1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명 AWS Management Console 으로에 로그인합니다. 그런 다음 https://console.aws.amazon.com/bedrock/ Amazon Bedrock 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 API 키를 선택합니다.

  3. 다음 유형의 키 중 하나를 생성합니다.

    • 단기 API 키 - 단기 API 키 탭에서 단기 API 키 생성을 선택합니다. 키는 콘솔 세션이 만료되면 만료되고(12시간 이내) 키를 생성한에 호출 AWS 리전 할 수 있습니다. 생성된 키에서 직접 리전을 수정할 수 있습니다.

    • 장기 API 키 - 장기 API 키 탭에서 장기 API 키 생성을 선택합니다.

      1. API 키 만료 섹션에서 키가 만료될 시간을 선택합니다.

      2. (선택 사항) 기본적으로 핵심 Amazon Bedrock API 작업에 대한 액세스 권한을 부여하는 AmazonBedrockLimitedAccess AWS관리형 정책은 키와 연결된 IAM 사용자에게 연결됩니다. 사용자에게 연결할 정책을 더 선택하려면 고급 권한 섹션을 확장하고 추가하려는 정책을 선택합니다.

      3. 생성을 선택합니다.

      주의

      Amazon Bedrock 탐색에 장기 키 사용을 제한하는 것이 좋습니다. Amazon Bedrock을 보안 요구 사항이 더 높은 애플리케이션에 통합할 준비가 되면 다음 설명서를 검토해야 합니다.

API를 사용하여 Amazon Bedrock API 키 생성

간편한 경험을 AWS Management Console 위해를 사용하여 Amazon Bedrock API 키를 생성하는 것이 좋습니다. 그러나 API를 통해 키를 생성할 수도 있습니다. 사용 사례에 해당하는 섹션을 확장합니다.

API에서 장기 Amazon Bedrock API 키를 생성하는 일반적인 단계는 다음과 같습니다.

  1. IAM 엔드포인트로 CreateUser 요청을 전송하여 IAM 사용자를 생성합니다. https://docs.aws.amazon.com/general/latest/gr/iam-service.html

  2. IAM 엔드포인트와 함께 AttachUserPolicy 요청을 전송하여 AmazonBedrockLimitedAccess를 IAM 사용자에게 연결합니다. https://docs.aws.amazon.com/general/latest/gr/iam-service.html 이 단계를 반복하여 필요에 따라 다른 관리형 또는 사용자 지정 정책을 사용자에게 연결할 수 있습니다.

    참고

    보안 모범 사례로 IAM 정책을 IAM 사용자에게 연결하여 Amazon Bedrock API 키 사용을 제한하는 것이 좋습니다. 시간 제한 정책 및 키를 사용할 수 있는 IP 주소 제한의 예는 IAM 사용자에게 인라인 정책을 연결하여 액세스 키 사용 제어를 참조하세요.

  3. IAM 엔드포인트CreateServiceSpecificCredential 요청을 보내고를 bedrock.amazonaws.com로 지정하여 장기 Amazon Bedrock API 키를 생성합니다ServiceName.

    • 응답에 ServiceApiKeyValue 반환된는 장기 Amazon Bedrock API 키입니다.

    • 응답에 ServiceSpecificCredentialId 반환된를 사용하여 키와 관련된 API 작업을 수행할 수 있습니다.

장기 Amazon Bedrock API 키를 생성하는 방법을 알아보려면 원하는 방법의 탭을 선택한 다음 다음 단계를 따릅니다.

CLI

장기 Amazon Bedrock API 키를 생성하려면 AWS Identity and Access Management API 작업을 사용합니다. 먼저 사전 조건을 충족했는지 확인합니다.

전제 조건

설정에서가 자격 AWS 증명을 자동으로 인식 AWS CLI 하도록 허용하는지 확인합니다. 자세한 내용은에 대한 설정 구성을 참조하세요 AWS CLI.

터미널을 열고 다음 명령을 실행합니다.

  1. IAM 사용자를 생성합니다. 이름을 원하는 이름으로 바꿀 수 있습니다.

    aws iam create-user --user-name bedrock-api-user

  2. AmazonBedrockLimitedAccess를 사용자에게 연결합니다. API 키에 추가하려는 다른 AWS관리형 또는 사용자 지정 정책의 ARNs을 사용하여이 단계를 반복할 수 있습니다.

    aws iam attach-user-policy --user-name bedrock-api-user --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. 장기 Amazon Bedrock API 키를 생성하여 ${NUMBER-OF-DAYS}를 키를 유지할 일수로 바꿉니다.

    aws iam create-service-specific-credential \
    --user-name bedrock-api-user \
    --service-name bedrock.amazonaws.com \
    --credential-age-days ${NUMBER-OF-DAYS}
Python

장기 Amazon Bedrock API 키를 생성하려면 AWS Identity and Access Management API 작업을 사용합니다. 먼저 사전 조건을 충족했는지 확인합니다.

전제 조건

설정을 통해 Python이 자격 AWS 증명을 자동으로 인식할 수 있는지 확인합니다. 자세한 내용은에 대한 설정 구성을 참조하세요 AWS CLI.

다음 스크립트를 실행하여 IAM 사용자를 생성하고, Amazon Bedrock 작업을 수행할 수 있는 권한을 연결하고, 사용자와 연결할 장기 Amazon Bedrock API 키를 생성합니다.

import boto3
from datetime import datetime, timedelta

# Replace with name for your IAM user
username = "bedrock-api-user"
# Add any AWS-managed or custom policies that you want to the user
bedrock_policies = [
    "arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess",        # Limited access
#    "arn:aws:iam::aws:policy/AmazonBedrockMarketplaceAccess",   # Optional: Access to Amazon Bedrock Marketplace actions
]
# Set the key expiration time to a number of your choice
expiration_time_in_days = 30

iam_client = boto3.client("iam")
    
# Create IAM user
user = iam_client.create_iam_user(username)

# Attach policies to user
for policy_arn in bedrock_policies:
    iam_client.attach_managed_policy(username, policy_arn)

# Create long-term Amazon Bedrock API key and return it
service_credentials = iam_client.create_service_specific_credential(
    user_name=username, 
    service_name="bedrock",
    credential_age_days=expiration_time_in_days
) 
api_key = service_credentials["ServiceApiKeyValue"]
print(api_key)

세션이 생성에 사용된 기간 동안(12시간 이내) 지속되는 단기 Amazon Bedrock API 키를 생성할 수 있습니다.

사전 조건

  • 설정을 통해 Python이 자격 AWS 증명을 자동으로 인식할 수 있는지 확인합니다. 자세한 내용은에 대한 설정 구성을 참조하세요 AWS CLI.

  • 터미널을 열고 사용 중인 SDK에 해당하는 명령을 사용하여 Amazon Bedrock 토큰 생성기를 다운로드합니다.

    • Python

      python3 -m pip install aws-bedrock-token-generator

    • Javascript

      npm install @aws/bedrock-token-generator

  • API 호출에 사용하는 IAM 자격 증명에 역할을 수임하고 역할 세션을 생성할 수 있는 권한이 최소한으로 있는지 확인합니다.

    • IAM 자격 증명에는 역할을 수임할 수 있는 권한이 있어야 합니다. 자격 증명에 제한된 권한이 있는 경우 자격 증명에 다음 자격 증명 기반 정책을 연결할 수 있습니다(${arn:aws:iam::111122223333:role/SessionRole}을 세션 역할의 실제 ARN으로 대체).

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "${arn:aws:iam::111122223333:role/SessionRole}"
        }
    ]
}

      역할을 수임할 수 있는 자격 증명 권한 부여에 대한 자세한 내용은 역할을 전환할 수 있는 사용자 권한 부여를 참조하세요.

    • IAM 역할에는 IAM 자격 증명이 이를 수임하도록 허용하는 신뢰 정책이 있어야 합니다. 다음 신뢰 정책을 IAM 역할에 연결하여 Principal 필드에 지정된 보안 주체가 역할을 수임하여 키를 생성하도록 허용할 수 있습니다. 이 예제에서는 IAM 사용자를 보안 주체로 지정합니다. 이를 사용자의 실제 ARN으로 바꿉니다.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "${arn:aws:iam::111122223333:user/UserId}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

      보안 주체에 대한 자세한 내용은 AWS JSON 정책 요소: 보안 주체를 참조하세요. 역할에 대한 신뢰 정책을 업데이트하는 방법을 알아보려면 역할 신뢰 정책 업데이트를 참조하세요.

사용 중인 SDK에 해당하는 탭을 선택하고 스크립트를 실행하여 세션 자격 증명에서 단기 Amazon Bedrock API 키를 생성합니다.

Python
from aws_bedrock_token_generator import BedrockTokenGenerator
import boto3

# Replace with a region of your choice
region = "us-east-1"

# Fetch credentials
session = boto3.Session()
credentials = session.get_credentials()

# Initialize token generator
generator = BedrockTokenGenerator()

# Generate one-time token
token = generator.get_token(credentials, region)
Javascript
import { BedrockTokenGenerator } from '@aws/bedrock-token-generator';
import { fromNodeProviderChain } from '@aws-sdk/credential-providers';

async function example() {
    // Set region
    const region = 'us-east-1'
    
    // Create token generator
    const generator = new BedrockTokenGenerator();
    
    // Get credentials from default provider chain
    const credentials = fromNodeProviderChain();
    
    // Generate token
    const token = await generator.generateToken(credentials, region);
    
    // Use the token for API calls (valid for 12 hours)
    console.log(`Bearer Token: ${token}`);
}
Java

Maven 가져오기

<dependency>
    <groupId>software.amazon.bedrock</groupId>
    <artifactId>aws-bedrock-token-generator</artifactId>
    <version>1.0.0</version>
</dependency>

Gradle 가져오기

implementation 'software.amazon.bedrock:aws-bedrock-token-generator:1.0.0'

사용량

import software.amazon.bedrock.token.BedrockTokenGenerator;
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;

// Create token generator
BedrockTokenGenerator tokenGenerator = new BedrockTokenGenerator();

// Generate token using default credentials
String bearerToken = tokenGenerator.getToken(
    DefaultCredentialsProvider.create().resolveCredentials(),
    Region
);

// Use the token for API calls (valid for 12 hours)
System.out.println("Bearer Token: " + bearerToken);
참고

단기 키의 권한은 다음과 같은 교차점입니다.

  • 키를 생성하는 데 사용되는 세션에 연결된 권한입니다.

  • AmazonBedrockLimitedAccess에서 부여한 권한입니다.