本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon Bedrock API 密钥的工作方式 下图将默认的凭证获取过程与 Amazon Bedrock API 密钥的使用情况进行了对比: ![默认 API 设置过程与使用 Amazon Bedrock API 密钥的 API 设置过程的对比](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/images/setup/setup-api.png) 图中最左边的流程说明了在 AWS IAM Identity Center 或 IAM 中创建身份的默认过程。通过此过程,您可以将 IAM 策略附加到该身份,以提供执行 API 操作的权限,然后为该身份生成常规 AWS 凭证。接着,您可以使用凭证在 AWS 中发出 API 调用。 蓝色节点表示还有两个流需要专门向 Amazon Bedrock 进行身份验证。这两个流都涉及创建一个 Amazon Bedrock API 密钥,您可以使用该密钥进行身份验证,以便使用 Amazon Bedrock 操作。您可以生成以下类型的密钥: + **短期密钥** – 一种安全选项,允许授予临时访问权限以便使用 Amazon Bedrock。 短期密钥具有以下属性: + 以下值中时间较短者有效: + 12 小时 + 用于生成密钥的 IAM 主体所生成会话的持续时间。 + 继承用于生成密钥的主体所附加的权限。 + 只能在您生成它的 AWS 区域中使用。 + **长期密钥** – 仅推荐用于探索 Amazon Bedrock。您可以设置密钥到期的时间。当您生成长期密钥时,它会在底层创建适合您的 IAM 用户,附加您选择的 IAM 策略,并将密钥与用户关联。生成密钥后,您可以使用 IAM 服务[修改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **警告** 我们强烈建议限制使用 Amazon Bedrock API 密钥来探索 Amazon Bedrock。当您准备将 Amazon Bedrock 整合到具有更高安全要求的应用程序中时,应切换到短期凭证。有关更多信息,请参阅《IAM 用户指南》中的[长期访问密钥的替代方案](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds-programmatic-access.html#security-creds-alternatives-to-long-term-access-keys)。