Amazon Bedrock API キーの仕組み

次の図は、認証情報を取得するデフォルトのプロセスと Amazon Bedrock API キーの使用を比較しています。

図の左端のフローは、 AWS IAM Identity Center または IAM で ID を作成するデフォルトのプロセスを示しています。このプロセスでは、そのアイデンティティに IAM ポリシーをアタッチして、API オペレーションを実行し、そのアイデンティティの一般的な AWS 認証情報を生成するアクセス許可を付与します。その後、認証情報を使用して API コールを行うことができます AWS。

青いノードは、Amazon Bedrock に対して特に認証するフローがさらに 2 つあることを示します。どちらのフローにも、Amazon Bedrock アクションを使用して認証できる Amazon Bedrock API キーの作成が含まれます。次のタイプのキーを生成できます。

• 短期キー – Amazon Bedrock を使用した への一時的なアクセスを許可する安全なオプション。

  短期キーには次のプロパティがあります。

  • 次の値のうち短い方に有効です。

    • 12 時間ごと

    • キーの生成に使用される IAM プリンシパルによって生成されたセッションの期間。

  • キーの生成に使用されるプリンシパルにアタッチされたアクセス許可を継承します。

  • 生成元の AWS リージョンでのみ使用できます。

• 長期キー – Amazon Bedrock の探索にのみ推奨されます。キーの有効期限が切れるまでの時間を設定できます。長期キーを生成すると、基盤となる IAM ユーザーが作成され、選択した IAM ポリシーがアタッチされ、キーがユーザーに関連付けられます。キーを生成したら、IAM サービスを使用して IAM ユーザーのアクセス許可を変更できます。

  警告

  Amazon Bedrock の探索には、Amazon Bedrock API キーの使用を制限することを強くお勧めします。セキュリティ要件が高いアプリケーションに Amazon Bedrock を組み込む準備ができたら、短期認証情報に切り替える必要があります。詳細については、IAM ユーザーガイドの「長期アクセスキーの代替」を参照してください。