本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Bedrock 的 API 金鑰
Amazon Bedrock 是一項全受管服務,提供來自領導 AI 公司和 Amazon 的基礎模型。您可以透過 AWS Management Console 和使用 AWS CLI或 AWS API 以程式設計方式存取 Amazon Bedrock。向 Amazon Bedrock 提出程式設計請求時,您可以使用臨時安全登入資料或 Amazon Bedrock API 金鑰進行身分驗證。Amazon Bedrock 支援兩種類型的 API 金鑰:
-
短期 API 金鑰 – 短期 API 金鑰是使用 AWS Signature 第 4 版的預先簽章 URL。短期 API 金鑰與產生 API 金鑰的身分憑證共用相同的許可和過期時間,有效期最長為 12 小時或主控台工作階段的剩餘時間,以較短者為準。您可以使用 Amazon Bedrock 主控台、Python 套件
aws-bedrock-token-generator和其他程式設計語言的套件來產生短期 API 金鑰。如需詳細資訊,請參閱《Amazon Bedrock 使用者指南》中的產生 Amazon Bedrock API 金鑰,以輕鬆存取 Amazon Bedrock API。 -
長期 API 金鑰 – 長期 API 金鑰與 IAM 使用者相關聯,並使用 IAM 服務特定的登入資料產生。這些登入資料僅用於 Amazon Bedrock,透過限制登入資料範圍來增強安全性。您可以設定長期 API 金鑰過期時的過期時間。您可以使用 IAM 或 Amazon Bedrock 主控台、CLI 或 AWS API 來產生長期 API AWS 金鑰。
IAM 使用者最多可以擁有兩個 Amazon Bedrock 的長期 API 金鑰,協助您實作安全金鑰輪換實務。
當您產生長期 API 金鑰時, AWS 受管政策 AmazonBedrockLimitedAccess 會自動連接到 IAM 使用者。此政策授予核心 Amazon Bedrock API 操作的存取權。如果您需要額外的 Amazon Bedrock 存取,您可以修改 IAM 使用者的許可。如需修改許可的詳細資訊,請參閱 新增和移除 IAM 身分許可。如需如何使用 Amazon Bedrock 金鑰的詳細資訊,請參閱《Amazon Bedrock 使用者指南》中的使用 Amazon Bedrock API 金鑰。
注意
與短期 API 金鑰相比,長期 API 金鑰具有更高的安全風險。我們建議您盡可能使用短期 API 金鑰或暫時安全登入資料。如果您使用長期 API 金鑰,我們建議您實作定期金鑰輪換實務。
先決條件
您必須先符合下列先決條件,才能從 IAM 主控台產生 Amazon Bedrock 長期 API 金鑰:
-
要與長期 API 金鑰建立關聯的 IAM 使用者。如需建立 IAM 使用者的指示,請參閱 在 AWS 帳戶中建立 IAM 使用者。
-
請確定您擁有下列 IAM 政策許可,以管理 IAM 使用者的服務特定憑證。此範例政策授予建立、列出、更新、刪除和重設服務特定登入資料的許可。將資源元素中的
username
產生 Amazon Bedrock 的長期 API 金鑰 (主控台)
產生 Amazon Bedrock 長期 API 金鑰 (主控台)
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在 IAM 主控台的導覽窗格中,選擇使用者。
-
選取您要為其產生 Amazon Bedrock 長期 API 金鑰的 IAM 使用者。
-
選擇標籤 安全登入資料。
-
在 Amazon Bedrock 的 API 金鑰區段中,選擇產生 API 金鑰。
-
針對 API 金鑰過期,請執行下列其中一項操作:
-
選取 1、5、30、90 或 365 天的 API 金鑰過期持續時間。
-
選擇自訂持續時間以指定自訂 API 金鑰過期日期。
-
選取永不過期 (不建議)
-
-
選擇產生 API 金鑰。
-
複製或下載您的 API 金鑰。這是您唯一可以檢視 API 金鑰值的時間。
重要
安全地存放您的 API 金鑰。關閉對話方塊後,就無法再次擷取 API 金鑰。如果您遺失或忘記私密存取金鑰,則無法擷取它。請改為建立新的存取金鑰,並將舊金鑰設為非作用中。
產生 Amazon Bedrock 的長期 API 金鑰 (AWS CLI)
若要使用 產生 Amazon Bedrock 長期 API 金鑰 AWS CLI,請使用下列步驟:
-
使用 create-user 命令建立將與 Amazon Bedrock 搭配使用的 IAM 使用者
: aws iam create-user \ --user-nameBedrockAPIKey_1 -
使用 attach-user-policy
命令將 AWS 受管政策 AmazonBedrockLimitedAccess連接至 Amazon Bedrock IAM 使用者:aws iam attach-user-policy --user-nameBedrockAPIKey_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess -
使用 create-service-specific-credential
命令產生 Amazon Bedrock 長期 API 金鑰。對於憑證存留期,您可以指定介於 1 到 36600 天之間的值。如果您未指定登入資料存留期,API 金鑰不會過期。 若要產生過期 30 天的長期 API 金鑰:
aws iam create-service-specific-credential \ --user-nameBedrockAPIKey_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30
回應ServiceApiKeyValue中傳回的 是您的長期 Amazon Bedrock API 金鑰。安全地存放該值,因為您稍後無法擷取該ServiceApiKeyValue值。
列出長期 API 金鑰 (AWS CLI)
若要列出特定使用者的 Amazon Bedrock 長期 API 金鑰中繼資料,請使用 list-service-specific-credentials--user-name 參數:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameBedrockAPIKey_1
若要列出帳戶中的所有 Amazon Bedrock 長期 API 金鑰中繼資料,請使用 list-service-specific-credentials--all-users 參數:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
更新長期 API 金鑰狀態 (AWS CLI)
若要更新 Amazon Bedrock 長期 API 金鑰的狀態,請使用 update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "BedrockAPIKey_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
產生 Amazon Bedrock 的長期 API 金鑰 (AWS API)
您可以使用下列 API 操作來產生和管理 Amazon Bedrock 的長期 API 金鑰:
