Claves de API para Amazon Bedrock
Amazon Bedrock es un servicio totalmente administrado que ofrece modelos fundacionales de empresas líderes en IA y de Amazon. Puede acceder a Amazon Bedrock a través de la AWS Management Console y mediante programación con la AWS CLI o la API de AWS. Al realizar solicitudes programáticas a Amazon Bedrock, puede autenticarse mediante credenciales de seguridad temporales o claves de API de Amazon Bedrock. Amazon Bedrock admite dos tipos de claves de API:
-
Claves de API a corto plazo: una clave de API a corto plazo es una URL prefirmada que utiliza la versión 4 de AWS Signature. Las claves de API a corto plazo comparten los mismos permisos y caducidad que las credenciales de la identidad que genera la clave de API y son válidas durante un máximo de 12 horas o el tiempo restante de la sesión de consola, lo que sea más corto. Puede usar la consola Amazon Bedrock, el paquete
aws-bedrock-token-generator
de Python y los paquetes de otros lenguajes de programación a fin de generar claves de API a corto plazo. Para obtener más información, consulte Generar claves de API de Amazon Bedrock para acceder fácilmente a la API de Amazon Bedrock en la Guía del usuario de Amazon Bedrock. -
Claves de API a largo plazo: las claves de API a largo plazo se asocian a un usuario de IAM y se generan con credenciales específicas del servicio de IAM. Estas credenciales están diseñadas para usarse únicamente con Amazon Bedrock, lo que mejora la seguridad al limitar el alcance de las credenciales. Puede establecer una fecha de caducidad para el momento en que caduque la clave de API a largo plazo. Puede usar la consola de IAM o Amazon Bedrock, la CLI de AWS o la API de AWS para generar claves de API a largo plazo.
Un usuario de IAM puede tener hasta dos claves de API a largo plazo para Amazon Bedrock, que ayudan a implementar prácticas de rotación de claves seguras.
Al generar una clave de API a largo plazo, la política administrada de AWS AmazonBedrockLimitedAccess se adjunta automáticamente al usuario de IAM. Esta política otorga acceso a las principales operaciones de la API de Amazon Bedrock. Si necesita acceso adicional a Amazon Bedrock, puede modificar los permisos del usuario de IAM. Para obtener más información acerca de la modificación de permisos, consulte Adición y eliminación de permisos de identidad de IAM. Para obtener más información sobre cómo usar una clave de Amazon Bedrock, consulte Use an Amazon Bedrock API key en la Guía del usuario de Amazon Bedrock.
nota
Las claves de API a largo plazo presentan un mayor riesgo de seguridad en comparación con las claves de API a corto plazo. Cuando sea posible, le recomendamos que utilice claves de API a corto plazo o credenciales de seguridad temporales. Si utiliza claves de API a largo plazo, recomendamos la implementación de prácticas de rotación regular de claves.
Requisitos previos
Antes de que pueda generar una clave de API a largo plazo de Amazon Bedrock desde la consola de IAM, debe cumplir estos requisitos previos:
-
Un usuario de IAM para asociar con la clave de API a largo plazo. Para obtener instrucciones sobre la creación de un usuario de IAM, consulte Creación de un usuario de IAM en su Cuenta de AWS.
-
Asegúrese de tener los siguientes permisos de política de IAM para administrar las credenciales específicas del servicio para un usuario de IAM. La política de ejemplo otorga permiso para crear, enumerar, actualizar, eliminar y restablecer las credenciales específicas del servicio. Reemplace el valor
del elemento Resource con el nombre del usuario de IAM para el que generará las claves de API de Amazon Bedrock:username
Generación de una clave de API a largo plazo para Amazon Bedrock (consola)
Para generar una clave de API a largo plazo para Amazon Bedrock (consola)
Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación de la consola de IAM, elija Usuarios.
-
Seleccione el usuario de IAM para el que desea generar las claves de API a largo plazo de Amazon Bedrock.
-
Seleccione la pestaña de credenciales de seguridad.
-
En la sección Claves de API para Amazon Bedrock, seleccione Generar clave de API.
-
Para Expiración de la clave de API, realice una de las siguientes acciones:
-
Seleccione una duración de la expiración de la clave de API de 1, 5 , 30, 90 o 365 días.
-
Elija Duración personalizada para especificar una fecha de expiración personalizada de la clave de API.
-
Seleccione Nunca caduca (no se recomienda)
-
-
Seleccione Generar clave de API.
-
Copie o descargue su clave de API. Esta es la única vez que puede ver el valor de la clave de API.
importante
Guarde su clave de API de forma segura. Después de cerrar el cuadro de diálogo, no podrá volver a recuperar esta clave de API. Si pierde u olvida la clave de acceso secreta, no podrá recuperarla. En su lugar, cree una nueva clave de acceso e inactive la antigua.
Generación de una clave de API a largo plazo para Amazon Bedrock (AWS CLI)
Para generar una clave de API a largo plazo para Amazon Bedrock mediante la AWS CLI, siga los pasos a continuación:
-
Cree un usuario de IAM que se utilizará con Amazon Bedrock mediante el comando create-user
: aws iam create-user \ --user-name
BedrockAPIKey_1
-
Adjunte la política
AmazonBedrockLimitedAccess
administrada de AWS al usuario de IAM de Amazon Bedrock mediante el comando attach-user-policy: aws iam attach-user-policy --user-name
BedrockAPIKey_1
\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess -
Genere la clave de API a largo plazo de Amazon Bedrock mediante el comando create-service-specific-credential
. Para la antigüedad de la credencial, puede especificar un valor entre 1 y 36 600 días. Si no especifica una antigüedad de la credencial, la clave de API no caducará. Para generar una clave de API a largo plazo con una expiración de 30 días:
aws iam create-service-specific-credential \ --user-name
BedrockAPIKey_1
\ --service-name bedrock.amazonaws.com \ --credential-age-days30
La ServiceApiKeyValue
devuelta en la respuesta es su clave de API de Amazon Bedrock a largo plazo. Guarde el valor ServiceApiKeyValue
de forma segura, ya que no podrá recuperarlo más tarde.
Enumeración de las claves de API a largo plazo (AWS CLI)
Para enumerar los metadatos de las claves de API a largo plazo de Amazon Bedrock para un usuario específico, utilice el comando list-service-specific-credentials--user-name
:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-name
BedrockAPIKey_1
Para enumerar todos los metadatos de las claves de API a largo plazo de Amazon Bedrock de la cuenta, utilice el comando list-service-specific-credentials--all-users
:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Actualización del estado de la clave de API a largo plazo (AWS CLI)
Para actualizar el estado de una clave de API a largo plazo para Amazon Bedrock, utilice el comando update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "
BedrockAPIKey_1
" \ --service-specific-credential-id "ACCA1234EXAMPLE1234
" \ --statusInactive|Active
Generación de una clave de API a largo plazo para Amazon Bedrock (API de AWS)
Puede utilizar las siguientes operaciones de API para generar y administrar claves de API a largo plazo para Amazon Bedrock: