開始使用 API - Amazon Bedrock
取得憑證以授予程式設計存取權將 Amazon Bedrock 許可連接至使用者或角色嘗試對 Amazon Bedrock 進行 API 呼叫

開始使用 API

本節說明如何設定您的環境,透過 AWS API 提出 Amazon Bedrock 請求。AWS 提供下列工具來簡化您的體驗:

  • AWS Command Line Interface (AWS CLI)

  • AWS SDK

  • 使用 Amazon SageMaker AI 筆記本

若要開始使用 API,您需要憑證才能授予程式設計存取權。如果下列各節與您相關,請展開它們並遵循指示。否則,請繼續完成其餘區段。

如果還沒有 AWS 帳戶,請依循下列步驟建立一個。

註冊 AWS 帳戶

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。

    註冊 AWS 帳戶 時,會同時建立 AWS 帳戶根使用者。根使用者有權存取該帳戶中的所有 AWS 服務和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 註冊程序完成後,會傳送一封確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/ 並選擇我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

保護您的 AWS 帳戶根使用者

  1. 選擇根使用者並輸入您的 AWS 帳戶電子郵件地址,以帳戶擁有者身分登入 AWS 管理主控台。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需指示,請參閱《IAM 使用者指南》中的 Enable a virtual MFA device for your AWS 帳戶 root user (console) 一節。

若要安裝 AWS CLI,請遵循安裝或更新最新版本的 AWS CLI 中的步驟。

若要安裝 AWS SDK,請在「在 AWS 上建立的工具」中選擇與您想使用的程式設計語言對應的索引標籤。AWS 軟體開發套件 (SDK) 適用於許多熱門的程式設計語言。每個 SDK 都提供 API、程式碼範例和說明文件,讓開發人員能夠更輕鬆地以偏好的語言建置應用程式。SDK 會自動為您執行有用的任務,例如:

  • 加密簽署服務請求

  • 重試請求

  • 處理錯誤回應

取得憑證以授予程式設計存取權

如果使用者想要在 AWS 管理主控台 外部與 AWS 互動,則需要程式設計存取。AWS 會根據您的安全性考量提供多個選項。

注意

如需逐步指南,以產生可用來快速存取 Amazon Bedrock API 的 API 金鑰,請參閱 開始使用 Amazon Bedrock API 金鑰:產生 30 天金鑰並發出您的第一次 API 呼叫

如需更高的安全需求,請繼續完成本節。

授予程式設計存取權的方式取決於存取 AWS 的使用者類型。

若要授予使用者程式設計存取權,請選擇下列其中一個選項。

哪個主體需要程式設計存取權? 根據
IAM 使用者 限制長期憑證簽署 AWS CLI、AWS SDK 或 AWS API 的程式設計要求期間。

請依照您要使用的介面所提供的指示操作。
IAM 角色 使用臨時憑證簽署對 AWS CLI、AWS SDK 或 AWS API 的程式設計請求。 請遵循《IAM 使用者指南》中使用臨時憑證搭配 AWS 資源中的指示。

人力資源身分

(IAM Identity Center 中管理的使用者)

 使用臨時憑證簽署對 AWS CLI、AWS SDK 或 AWS API 的程式設計請求。

請依照您要使用的介面所提供的指示操作。

如果您決定使用 IAM 使用者的存取金鑰,AWS 建議您透過包含限制性內嵌政策來設定 IAM 使用者的過期。

重要

請注意下列警告:

  • 請勿使用您帳戶的根憑證存取 AWS 資源。這些登入資料可讓未管制的帳戶存取和很難撤銷這些帳戶。

  • 請勿在應用程式檔案中放置常值存取金鑰或憑證資訊。如果您不小心這麼做了,則會有暴露您登入資料的風險,例如,當您上傳專案到公有儲存庫時。

  • 請勿在您的專案區域中放入包含憑證的檔案。

  • 安全地管理存取金鑰。請勿將您的存取金鑰提供給未經授權的當事方,即便是協助尋找您的帳戶識別符也不妥。執行此作業,可能會讓他人能夠永久存取您的帳戶。

  • 請注意,共享 AWS 憑證檔案中儲存的任何憑證均以純文字形式儲存。

如需詳細資訊,請參閱 AWS 一般參考 中的管理 AWS 存取金鑰的最佳實務

建立 IAM 使用者

  1. 在 AWS 管理主控台 首頁上,選取 IAM 服務或導覽至位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中選取使用者,然後選取建立使用者

  3. 遵循 IAM 主控台中的指引,設定程式設計使用者 (無法存取 AWS 管理主控台) 且沒有許可。

限制使用者對有限時段的存取

您建立的任何 IAM 使用者存取金鑰都是長期憑證。為了確保這些憑證在處理不當時過期,您可以建立內嵌政策,指定金鑰不再有效的日期,讓這些憑證有時間限制。

  1. 開啟您剛才建立的 IAM 使用者。在許可標籤中,選擇新增許可,然後選擇建立內嵌政策

  2. 在 JSON 編輯器中,指定下列許可。若要使用此政策,請將範例政策中 aws:CurrentTime 時間戳記值的值取代為您自己的結束日期。

    注意

    IAM 建議您將存取金鑰限制為 12 小時。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "2024-01-01T00:00:000"
        }
      }
    }
  ]
}
建立存取金鑰

  1. 使用者詳細資訊頁面上,選取安全憑證頁面。在 Access keys (存取金鑰) 區段中,選擇 Create access key (建立存取金鑰)

  2. 表示您計劃使用這些存取金鑰做為其他,然後選擇建立存取金鑰

  3. Retrieve access keys (擷取存取金鑰) 頁面上,選擇 Show (顯示) 以顯示您的使用者的私密存取金鑰的值。您可以複製憑證或下載 .csv 檔案。

重要

當您不再需要此 IAM 使用者時,建議您將其移除並符合 AWS 安全最佳實務,建議您要求人類使用者在存取 AWS 時,透過 AWSIAM Identity Center 使用臨時憑證。

將 Amazon Bedrock 許可連接至使用者或角色

設定程式設計存取的憑證後,您需要設定使用者或 IAM 角色的許可,才能存取一組 Amazon Bedrock 相關動作。若要設定這些許可,請執行下列動作:

  1. 在 AWS 管理主控台 首頁上,選取 IAM 服務或導覽至位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 選取使用者角色,然後選取您的使用者或角色。

  3. 許可索引標籤中,選擇新增許可,然後選擇新增 AWS 受管政策。選擇 AmazonBedrockFullAccess AWS 受管政策。

  4. 若要允許使用者或角色訂閱模型,請選擇建立內嵌政策,然後在 JSON 編輯器中指定下列許可:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Sid": "MarketplaceBedrock",
          "Effect": "Allow",
          "Action": [
              "aws-marketplace:ViewSubscriptions",
              "aws-marketplace:Unsubscribe",
              "aws-marketplace:Subscribe"
          ],
          "Resource": "*"
      }
  ]
}

嘗試對 Amazon Bedrock 進行 API 呼叫

在您滿足所有先決條件之後,請選取下列其中一個主題,以測試使用 Amazon Bedrock 模型提出模型調用請求:

主題