本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Bedrock API 密钥的工作原理
下图将获取证书的默认过程与使用 Amazon Bedrock API 密钥的过程进行了比较:
图中最左边的流程显示了在 IAM AWS IAM Identity Center 或 IAM 中创建身份的默认流程。通过此过程,您可以将 IAM 策略附加到该身份,以提供执行 API 操作的权限,然后为该身份生成通用 AWS 证书。然后,您可以使用凭据在中进行 API 调用 AWS。
蓝色节点表示还有两个流程需要专门向 Amazon Bedrock 进行身份验证。这两个流程都涉及创建一个 Amazon Bedrock API 密钥,您可以使用该密钥使用 Amazon Bedrock 操作进行身份验证。您可以生成以下类型的密钥:
-
短期密钥 — 一种安全选项,允许临时访问使用 Amazon Bedrock。
短期密钥具有以下属性:
-
对以下值中较小的值有效:
-
12 小时
-
用于生成密钥的 IAM 委托人生成的会话持续时间。
-
-
继承用于生成密钥的委托人的权限。
-
只能在您生成它的 AWS 区域中使用。
-
-
长期密钥 — 仅推荐用于探索 Amazon Bedrock。您可以设置密钥过期的时间。当您生成长期密钥时,它会在底层创建适合您的 IAM 用户,附加您选择的 IAM 策略,并将该密钥与该用户关联。生成密钥后,您可以使用 IAM 服务修改 IAM 用户的权限。
警告
我们强烈建议限制使用亚马逊 Bedrock API 密钥来探索亚马逊 Bedrock。当您准备将 Amazon Bedrock 整合到具有更高安全要求的应用程序中时,应切换到短期证书。有关更多信息,请参阅 IAM 用户指南中的长期访问密钥替代方案。
