Chaves de API para o Amazon Bedrock - AWS Identity and Access Management
Pré-requisitosGerar uma chave de API de longo prazo para o Amazon Bedrock (console)Gerar uma chave de API de longo prazo para o Amazon Bedrock (AWS CLI)Gerar uma chave de API de longo prazo para o Amazon Bedrock (API da AWS)

Chaves de API para o Amazon Bedrock

O Amazon Bedrock é um serviço totalmente gerenciado que oferece os modelos básicos de grandes empresas de IA e da Amazon. Você pode acessar o Amazon Bedrock usando o AWS Management Console e programaticamente usando a AWS CLI ou a API da AWS. Ao fazer solicitações programáticas ao Amazon Bedrock, você pode fazer a autenticação usando credenciais de segurança temporárias ou as chaves de API do Amazon Bedrock. O Amazon Bedrock é compatível com dois tipos de chaves de API:

  • Chaves de API de curto prazo: uma chave de API de curto prazo é uma URL pré-assinada que usa o AWS Signature versão 4. As chaves de API de curto prazo têm as mesmas permissões e validade que as credenciais da identidade que gera a chave de API e são válidas por até 12 horas ou pelo tempo restante da sua sessão do console, o que for menor. Você pode usar o console do Amazon Bedrock, o pacote do Python aws-bedrock-token-generator e pacotes de outras linguagens de programação para gerar chaves de API de curto prazo. Para obter mais informações, consulte Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API no Amazon Bedrock User Guide.

  • Chaves de API de longo prazo: as chaves de API de longo prazo são associadas a um usuário do IAM e são geradas usando as credenciais específicas do serviço do IAM. Essas credenciais se destinam a ser usadas apenas com o Amazon Bedrock, aumentando a segurança por limitar o escopo das credenciais. Você pode definir um prazo de validade para a API de longo prazo. Você pode usar o console do IAM ou do Amazon Bedrock, a CLI da AWS ou a API da AWS para gerar chaves de API de longo prazo.

Um usuário do IAM pode ter até duas chaves de API de longo prazo para o Amazon Bedrock, o que ajuda você a implementar práticas seguras de troca das chaves.

Quando você gera uma chave de API de longo prazo, a política gerenciada pela AWS AmazonBedrockLimitedAccess é automaticamente anexada ao usuário do IAM. Esta política concede acesso às principais operações de API do Amazon Bedrock. Se você precisar de acesso adicional ao Amazon Bedrock, poderá modificar as permissões do usuário do IAM. Para obter mais informações sobre modificação de permissões, consulte Adicionar e remover permissões de identidade do IAM. Para obter mais informações sobre como usar uma chave do Amazon Bedrock, consulte Use an Amazon Bedrock API key no Amazon Bedrock User Guide.

nota

As chaves de API de longo prazo têm um risco de segurança maior em comparação com as chaves de API de curto prazo. Recomendamos o uso de chaves de API de curto prazo ou de credenciais de segurança temporárias quando possível. Se você usar chaves de API de longo prazo, recomendamos que implemente práticas regulares de troca das chaves.

Pré-requisitos

Antes de gerar uma chave de API de longo prazo do Amazon Bedrock usando o console do IAM, você deve atender aos seguintes pré-requisitos:

  • Um usuário do IAM a ser associado à chave de API de longo prazo. Para obter instruções para criar um usuário do IAM, consulte Criar um usuário do IAM na Conta da AWS.

  • Certifique-se de ter as seguintes permissões da política do IAM para gerenciar as credenciais específicas do serviço de um usuário do IAM. O exemplo de política concede permissão para criar, listar, atualizar, excluir e redefinir credenciais específicas do serviço. Substitua o valor username no elemento Recurso pelo nome do usuário do IAM para o qual você vai gerar as chaves de API do Amazon Bedrock:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Gerar uma chave de API de longo prazo para o Amazon Bedrock (console)

Gerar uma chave de API de longo prazo para o Amazon Bedrock (console)

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Usuários.

  3. Selecione o usuário do IAM para o qual você deseja gerar as chaves de API de longo prazo do Amazon Bedrock.

  4. Escolha a guia Credenciais de segurança.

  5. Na seção Chaves de API para o Amazon Bedrock, escolha Gerar chave de API.

  6. Em Validade da chave de API, faça uma das seguintes opções:

    • Selecione um prazo de validade para a de chave de API de 1, 5, 30, 90 ou 365 dias.

    • Escolha Duração personalizada para especificar uma data de validade personalizada para a chave de API.

    • Selecione Nunca expira (não recomendado)

  7. Escolha Gerar chave de API.

  8. Copie ou baixe a chave de API. Esta é a única vez que você pode visualizar o valor da chave de API.

    Importante

    Armazene a chave de API em segurança. Após fechar a caixa de diálogo, não será mais possível recuperar a chave de API. Se você perder ou esquecer sua chave de acesso secreta, não poderá recuperá-la. Em vez disso, crie uma nova chave de acesso e desative a chave antiga.

Gerar uma chave de API de longo prazo para o Amazon Bedrock (AWS CLI)

Para gerar uma chave de API de longo prazo do Amazon Bedrock usando a AWS CLI, siga as seguintes etapas:

  1. Crie um usuário do IAM que será usado com o Amazon Bedrock usando o comando create-user:

    aws iam create-user \
    --user-name BedrockAPIKey_1

  2. Anexe a política gerenciada pela AWS AmazonBedrockLimitedAccess ao usuário do IAM do Amazon Bedrock usando o comando attach-user-policy:

    aws iam attach-user-policy --user-name BedrockAPIKey_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. Gere a chave de API de longo prazo do Amazon Bedrock usando o comando create-service-specific-credential. Para o prazo de validade da credencial, você pode especificar um valor entre 1 e 36.600 dias. Se você não especificar o prazo de validade de uma credencial, a chave da API não expirará.

    Para gerar uma chave de API de longo prazo com validade em 30 dias:

    aws iam create-service-specific-credential \
    --user-name BedrockAPIKey_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

O ServiceApiKeyValue retornado na resposta é sua chave de API de longo prazo do Amazon Bedrock. Armazene o valor ServiceApiKeyValue em segurança, pois não será possível recuperá-lo mais tarde.

Listar chaves de API de longo prazo (AWS CLI)

Para listar os metadados das chaves de API de longo prazo do Amazon Bedrock para um usuário específico, use o comando list-service-specific-credentials com o parâmetro --user-name:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1

Para listar todos os metadados das chaves de API de longo prazo do Amazon Bedrock da conta, use o comando list-service-specific-credentials com o parâmetro --all-users:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Atualizar o status de uma chave de API de longo prazo (AWS CLI)

Para atualizar o status de uma chave de API de longo prazo do Amazon Bedrock, use o comando update-service-specific-credential:

aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Gerar uma chave de API de longo prazo para o Amazon Bedrock (API da AWS)

Você pode usar as seguintes operações de API para gerar e gerenciar as chaves de API de longo prazo do Amazon Bedrock: