Gere uma chave de API usando o console Gere uma chave de API usando a API

Gere uma chave de API Amazon Bedrock

Você pode gerar uma chave de API do Amazon Bedrock usando a API AWS Management Console ou a AWS API. Recomendamos que você use o AWS Management Console para gerar facilmente uma chave de API do Amazon Bedrock com algumas etapas.

Tópicos

Gere uma chave de API do Amazon Bedrock usando o console
Gere uma chave de API do Amazon Bedrock usando a API

Gere uma chave de API do Amazon Bedrock usando o console

Para gerar uma chave de API do Amazon Bedrock usando o console, faça o seguinte:

Faça login no AWS Management Console com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock/.
No painel de navegação esquerdo, selecione Chaves de API.
Gere um dos seguintes tipos de chaves:
- Chave de API de curto prazo — Na guia Chaves de API de curto prazo, escolha Gerar chaves de API de curto prazo. A chave expira quando a sessão do console expira (e não mais do que 12 horas) e permite que você faça chamadas para Região da AWS aquela de onde você a gerou. Você pode modificar a região diretamente na chave gerada.
- Chave de API de longo prazo — Na guia Chaves de API de longo prazo, escolha Gerar chaves de API de longo prazo.
  1. Na seção Expiração da chave de API, escolha um horário após o qual a chave expirará.
  2. (Opcional) Por padrão, a política AmazonBedrockLimitedAccess AWS gerenciada, que concede acesso às principais operações da API Amazon Bedrock, é anexada ao usuário do IAM associado à chave. Para selecionar mais políticas para anexar ao usuário, expanda a seção Permissões avançadas e selecione as políticas que você deseja adicionar.
  3. Escolha Gerar.
  Atenção
  É altamente recomendável restringir o uso de chaves de longo prazo para a exploração do Amazon Bedrock. Quando estiver pronto para incorporar o Amazon Bedrock em aplicativos com maiores requisitos de segurança, consulte a seguinte documentação:
  Para saber mais sobre as alternativas preferíveis às chaves de longo prazo, consulte Alternativas às chaves de acesso de longo prazo no Guia do usuário do IAM.
  
  Para saber como monitorar chaves de longo prazo para evitar violações de segurança, consulte Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM.

Gere uma chave de API do Amazon Bedrock usando a API

Recomendamos que você use o AWS Management Console para gerar chaves de API do Amazon Bedrock para uma experiência fácil. No entanto, você também pode gerar chaves por meio da API. Expanda a seção que corresponde ao seu caso de uso.

As etapas gerais para criar uma chave de API Amazon Bedrock de longo prazo na API são as seguintes:

Crie um usuário do IAM enviando uma CreateUsersolicitação com um endpoint do IAM.
Anexe o AmazonBedrockLimitedAccessao usuário do IAM enviando uma AttachUserPolicysolicitação com um endpoint do IAM. Você pode repetir essa etapa para anexar outras políticas gerenciadas ou personalizadas, conforme necessário, ao usuário.

nota
Como melhor prática de segurança, é altamente recomendável que você anexe políticas do IAM ao usuário do IAM para restringir o uso das chaves de API do Amazon Bedrock. Para exemplos de políticas de limite de tempo e restrição dos endereços IP que podem usar a chave, consulte Controle o uso de chaves de acesso anexando uma política em linha a um usuário do IAM.
Gere a chave de API Amazon Bedrock de longo prazo enviando uma CreateServiceSpecificCredentialsolicitação com um endpoint do IAM e especificando bedrock.amazonaws.com como o. ServiceName
- O ServiceApiKeyValue retornado na resposta é sua chave de API Amazon Bedrock de longo prazo.
- O ServiceSpecificCredentialId retornado na resposta pode ser usado para realizar operações de API relacionadas à chave.

Para saber como gerar uma chave de API Amazon Bedrock de longo prazo, escolha a guia do seu método preferido e siga as etapas:

CLI

Para criar uma chave de API Amazon Bedrock de longo prazo, você usa operações de AWS Identity and Access Management API. Primeiro, verifique se você cumpriu o pré-requisito:

Pré-requisito

Certifique-se de que sua configuração permita que AWS CLI o reconheça automaticamente suas AWS credenciais. Para saber mais, consulte Definindo configurações para o. AWS CLI

Abra um terminal e execute os seguintes comandos:

Criar um usuário do IAM. Você pode substituir o nome por um de sua escolha:
```
aws iam create-user --user-name bedrock-api-user
```
Anexe AmazonBedrockLimitedAccesso ao usuário. Você pode repetir essa etapa com qualquer outra política AWS gerenciada ou personalizada que queira adicionar à chave de API: ARNs
```
aws iam attach-user-policy --user-name bedrock-api-user --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
```

Crie a chave de API Amazon Bedrock de longo prazo, ${NUMBER-OF-DAYS} substituindo-a pelo número de dias durante os quais você deseja que a chave dure:


aws iam create-service-specific-credential \
    --user-name bedrock-api-user \
    --service-name bedrock.amazonaws.com \
    --credential-age-days ${NUMBER-OF-DAYS}

Python

Para criar uma chave de API Amazon Bedrock de longo prazo, você usa operações de AWS Identity and Access Management API. Primeiro, verifique se você cumpriu o pré-requisito:

Pré-requisito

Certifique-se de que sua configuração permita que o Python reconheça automaticamente suas AWS credenciais. Para saber mais, consulte Definindo configurações para o. AWS CLI

Execute o script a seguir para criar um usuário do IAM, anexar permissões para realizar ações do Amazon Bedrock e gerar uma chave de API do Amazon Bedrock de longo prazo para associar ao usuário:


import boto3
from datetime import datetime, timedelta

# Replace with name for your IAM user
username = "bedrock-api-user"
# Add any AWS-managed or custom policies that you want to the user
bedrock_policies = [
    "arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess",        # Limited access
#    "arn:aws:iam::aws:policy/AmazonBedrockMarketplaceAccess",   # Optional: Access to Amazon Bedrock Marketplace actions
]
# Set the key expiration time to a number of your choice
expiration_time_in_days = 30

iam_client = boto3.client("iam")
    
# Create IAM user
user = iam_client.create_iam_user(username)

# Attach policies to user
for policy_arn in bedrock_policies:
    iam_client.attach_managed_policy(username, policy_arn)

# Create long-term Amazon Bedrock API key and return it
service_credentials = iam_client.create_service_specific_credential(
    user_name=username, 
    service_name="bedrock",
    credential_age_days=expiration_time_in_days
) 
api_key = service_credentials["ServiceApiKeyValue"]
print(api_key)

Você pode gerar uma chave de API Amazon Bedrock de curto prazo que dure tanto quanto a sessão usada para gerá-la (e não mais que 12 horas).

Pré-requisitos

Certifique-se de que sua configuração permita que o Python reconheça automaticamente suas AWS credenciais. Para saber mais, consulte Definindo configurações para o. AWS CLI
Abra um terminal e baixe o gerador de tokens Amazon Bedrock com o comando que corresponde ao SDK que você está usando:
- Python
```
python3 -m pip install aws-bedrock-token-generator
```
- Javascript
```
npm install @aws/bedrock-token-generator
```
Certifique-se de que a identidade do IAM que você está usando para fazer chamadas de API tenha permissões mínimas para assumir uma função e criar uma sessão de função:
- A identidade do IAM deve ter permissões para assumir a função. Se a identidade tiver permissões restritas, você poderá anexar a seguinte política baseada em identidade à identidade (${arn:aws:iam::111122223333:role/SessionRole}substituí-la pelo ARN real da função da sessão):
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "${arn:aws:iam::111122223333:role/SessionRole}"
        }
    ]
}
```
  Para obter mais informações sobre como conceder permissões de identidade para assumir uma função, consulte Conceder permissões a um usuário para trocar de função.
- A função do IAM deve ter uma política de confiança que permita que a identidade do IAM a assuma. Você pode anexar a seguinte política de confiança a uma função do IAM para permitir que o principal especificado no Principal campo assuma a função para criar a chave. Este exemplo especifica um usuário do IAM como principal. Substitua-o pelo ARN real do usuário.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "${arn:aws:iam::111122223333:user/UserId}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
  Para obter mais informações sobre diretores, consulte Elementos da política AWS JSON: Principal. Para saber como atualizar uma política de confiança para uma função, consulte Atualizar uma política de confiança de função.

Escolha a guia que corresponde ao SDK que você está usando e execute o script para gerar uma chave de API Amazon Bedrock de curto prazo a partir das credenciais da sua sessão:

Python


from aws_bedrock_token_generator import BedrockTokenGenerator
import boto3

# Replace with a region of your choice
region = "us-east-1"

# Fetch credentials
session = boto3.Session()
credentials = session.get_credentials()

# Initialize token generator
generator = BedrockTokenGenerator()

# Generate one-time token
token = generator.get_token(credentials, region)

Javascript


import { BedrockTokenGenerator } from '@aws/bedrock-token-generator';
import { fromNodeProviderChain } from '@aws-sdk/credential-providers';

async function example() {
    // Set region
    const region = 'us-east-1'
    
    // Create token generator
    const generator = new BedrockTokenGenerator();
    
    // Get credentials from default provider chain
    const credentials = fromNodeProviderChain();
    
    // Generate token
    const token = await generator.generateToken(credentials, region);
    
    // Use the token for API calls (valid for 12 hours)
    console.log(`Bearer Token: ${token}`);
}

Java

Importação do Maven


<dependency>
    <groupId>software.amazon.bedrock</groupId>
    <artifactId>aws-bedrock-token-generator</artifactId>
    <version>1.0.0</version>
</dependency>

Importação do Gradle


implementation 'software.amazon.bedrock:aws-bedrock-token-generator:1.0.0'

Uso


import software.amazon.bedrock.token.BedrockTokenGenerator;
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;

// Create token generator
BedrockTokenGenerator tokenGenerator = new BedrockTokenGenerator();

// Generate token using default credentials
String bearerToken = tokenGenerator.getToken(
    DefaultCredentialsProvider.create().resolveCredentials(),
    Region
);

// Use the token for API calls (valid for 12 hours)
System.out.println("Bearer Token: " + bearerToken);

nota

As permissões da chave de curto prazo serão a interseção do seguinte:

As permissões anexadas à sessão usadas para gerar a chave.
As permissões concedidas pelo AmazonBedrockLimitedAccess.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Regiões suportadas e SDKs

Use uma chave de API