Kunci API untuk Amazon Bedrock - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci API untuk Amazon Bedrock

Amazon Bedrock adalah layanan yang dikelola sepenuhnya yang menawarkan model dasar dari perusahaan AI terkemuka dan Amazon. Anda dapat mengakses Amazon Bedrock melalui AWS Management Console dan secara terprogram menggunakan AWS CLI, atau API. AWS Saat membuat permintaan terprogram ke Amazon Bedrock, Anda dapat mengautentikasi menggunakan kredensi keamanan sementara atau kunci Amazon Bedrock API. Amazon Bedrock mendukung dua jenis kunci API:

  • Kunci API jangka pendek — Kunci API jangka pendek adalah URL yang telah ditandatangani sebelumnya yang menggunakan AWS Signature Version 4. Kunci API jangka pendek memiliki izin dan kedaluwarsa yang sama dengan kredenal identitas yang menghasilkan kunci API dan berlaku hingga 12 jam atau sisa waktu sesi konsol Anda, mana yang lebih pendek. Anda dapat menggunakan konsol Amazon Bedrock, paket Python, dan aws-bedrock-token-generator paket untuk bahasa pemrograman lain untuk menghasilkan kunci API jangka pendek. Untuk informasi selengkapnya, lihat Menghasilkan kunci API Amazon Bedrock untuk akses mudah ke Amazon Bedrock API di Panduan Pengguna Amazon Bedrock.

  • Kunci API jangka panjang — Kunci API jangka panjang dikaitkan dengan pengguna IAM dan dihasilkan menggunakan kredenal khusus layanan IAM. Kredensi ini dirancang untuk digunakan hanya dengan Amazon Bedrock, meningkatkan keamanan dengan membatasi cakupan kredensi. Anda dapat menetapkan waktu kedaluwarsa saat kunci API jangka panjang kedaluwarsa. Anda dapat menggunakan konsol IAM atau Amazon Bedrock, AWS CLI, atau AWS API untuk menghasilkan kunci API jangka panjang.

Pengguna IAM dapat memiliki hingga dua kunci API jangka panjang untuk Amazon Bedrock, yang membantu Anda menerapkan praktik rotasi kunci yang aman.

Saat Anda membuat kunci API jangka panjang, kebijakan AWS terkelola secara otomatis AmazonBedrockLimitedAccessdilampirkan ke pengguna IAM. Kebijakan ini memberikan akses ke operasi inti Amazon Bedrock API. Jika Anda memerlukan akses Amazon Bedrock tambahan, Anda dapat mengubah izin untuk pengguna IAM. Untuk informasi tentang memodifikasi izin, lihat. Menambahkan dan menghapus izin identitas IAM Untuk informasi selengkapnya tentang cara menggunakan kunci Amazon Bedrock, lihat Menggunakan kunci Amazon Bedrock API di Panduan Pengguna Amazon Bedrock.

catatan

Kunci API jangka panjang memiliki risiko keamanan yang lebih tinggi dibandingkan dengan kunci API jangka pendek. Sebaiknya gunakan kunci API jangka pendek atau kredensi keamanan sementara jika memungkinkan. Jika Anda menggunakan kunci API jangka panjang, sebaiknya terapkan praktik rotasi kunci reguler.

Prasyarat

Sebelum Anda dapat membuat kunci API jangka panjang Amazon Bedrock dari konsol IAM, Anda harus memenuhi prasyarat ini:

  • Pengguna IAM untuk mengasosiasikan dengan kunci API jangka panjang. Untuk petunjuk tentang cara membuat pengguna IAM, lihatBuat IAM pengguna di Akun AWS.

  • Pastikan Anda memiliki izin kebijakan IAM berikut untuk mengelola kredenal khusus layanan bagi pengguna IAM. Kebijakan contoh memberikan izin untuk membuat, mencantumkan, memperbarui, menghapus, dan mengatur ulang kredenal khusus layanan. Ganti username nilai dalam elemen Resource dengan nama pengguna IAM Anda akan menghasilkan kunci Amazon Bedrock API untuk:

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Sid": "ManageBedrockServiceSpecificCredentials", "Effect": "Allow", "Action": [ "iam:CreateServiceSpecificCredential", "iam:ListServiceSpecificCredentials", "iam:UpdateServiceSpecificCredential", "iam:DeleteServiceSpecificCredential", "iam:ResetServiceSpecificCredential" ], "Resource": "arn:aws:iam::*:user/username" } ] }

Membuat Kunci API jangka panjang untuk Amazon Bedrock (konsol)

Untuk menghasilkan kunci API jangka panjang Amazon Bedrock (konsol)
  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Pengguna.

  3. Pilih pengguna IAM yang ingin Anda hasilkan kunci API jangka panjang Amazon Bedrock.

  4. Pilih tab Kredensi keamanan.

  5. Di bagian Kunci API untuk Amazon Bedrock, pilih Hasilkan Kunci API.

  6. Untuk kedaluwarsa kunci API, lakukan salah satu hal berikut:

    • Pilih durasi kedaluwarsa kunci API 1, 5, 30, 90, atau 365 hari.

    • Pilih Durasi kustom untuk menentukan tanggal kedaluwarsa kunci API kustom.

    • Pilih Jangan pernah kedaluwarsa (tidak disarankan)

  7. Pilih Hasilkan kunci API.

  8. Salin atau unduh kunci API Anda. Ini adalah satu-satunya saat Anda dapat melihat nilai kunci API.

    penting

    Simpan kunci API Anda dengan aman. Setelah Anda menutup kotak dialog, Anda tidak dapat mengambil kunci API lagi. Jika Anda kehilangan atau lupa kunci akses rahasia Anda, Anda tidak dapat mengambilnya. Sebagai gantinya, buat kunci akses baru dan buat kunci lama tidak aktif.

Menghasilkan Kunci API jangka panjang untuk Amazon Bedrock ()AWS CLI

Untuk membuat kunci API jangka panjang Amazon Bedrock menggunakan AWS CLI, gunakan langkah-langkah berikut:

  1. Buat pengguna IAM yang akan digunakan dengan Amazon Bedrock menggunakan perintah create-user:

    aws iam create-user \ --user-name BedrockAPIKey_1
  2. Lampirkan kebijakan AWS terkelola AmazonBedrockLimitedAccess ke pengguna Amazon Bedrock IAM menggunakan perintah: attach-user-policy

    aws iam attach-user-policy --user-name BedrockAPIKey_1 \ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
  3. Buat kunci API jangka panjang Amazon Bedrock menggunakan create-service-specific-credentialperintah. Untuk usia kredensi, Anda dapat menentukan nilai antara 1-36600 hari. Jika Anda tidak menentukan usia kredensi, kunci API tidak akan kedaluwarsa.

    Untuk menghasilkan kunci API jangka panjang dengan masa kedaluwarsa 30 hari:

    aws iam create-service-specific-credential \ --user-name BedrockAPIKey_1 \ --service-name bedrock.amazonaws.com \ --credential-age-days 30

Yang dikembalikan ServiceApiKeyValue dalam respons adalah kunci API Amazon Bedrock jangka panjang Anda. Simpan ServiceApiKeyValue nilai dengan aman, karena Anda tidak dapat mengambilnya nanti.

Daftar kunci API jangka panjang (AWS CLI)

Untuk mencantumkan metadata kunci API jangka panjang Amazon Bedrock untuk pengguna tertentu, gunakan list-service-specific-credentialsperintah dengan parameter: --user-name

aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-name BedrockAPIKey_1

Untuk mencantumkan semua metadata kunci API jangka panjang Amazon Bedrock di akun, gunakan list-service-specific-credentialsperintah dengan parameter: --all-users

aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users

Perbarui status kunci API jangka panjang (AWS CLI)

Untuk memperbarui status kunci API jangka panjang untuk Amazon Bedrock, gunakan update-service-specific-credentialperintah:

aws iam update-service-specific-credential \ --user-name "BedrockAPIKey_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --status Inactive|Active

Membuat Kunci API jangka panjang untuk Amazon Bedrock (AWS API)

Anda dapat menggunakan operasi API berikut untuk membuat dan mengelola kunci API jangka panjang untuk Amazon Bedrock: