View a markdown version of this page

API-Schlüssel für AWS service - AWS Identitäts- und Zugriffsverwaltung
Dienste, die API-Schlüssel unterstützenVoraussetzungen für langfristige API-SchlüsselGenerieren eines langfristigen API-Schlüssels (Konsole)Generierung eines langfristigen API-Schlüssels (AWS CLI)Generieren eines langfristigen API-Schlüssels (AWS API)Short-term API-Schlüssel (Dienste auswählen)Service-specific Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

API-Schlüssel für AWS service

Einige AWS Dienste unterstützen zusätzlich zu Standard-IAM-Anmeldeinformationen wie temporären Sicherheitsanmeldedaten und langfristigen Zugriffsschlüsseln API-Schlüssel für die Authentifizierung programmatischer Anfragen. AWS bietet zwei Arten von API-Schlüsseln:

  • Long-term API-Schlüssel — Long-term API-Schlüssel werden einem IAM-Benutzer zugeordnet und mithilfe von IAM-dienstspezifischen Anmeldeinformationen generiert. Diese Anmeldeinformationen sind für die Verwendung mit nur einem einzigen AWS Dienst konzipiert und erhöhen die Sicherheit, indem der Gültigkeitsbereich der Anmeldeinformationen begrenzt wird. Sie können eine Ablaufzeit für den langfristigen API-Schlüssel festlegen. Um langfristige API-Schlüssel zu generieren, können Sie das IAM oder die dienstspezifische Konsole, die AWS CLI oder API, verwenden. AWS

  • Short-term API-Schlüssel — Ein kurzfristiger API-Schlüssel ist eine vorsignierte URL, die AWS Signature Version 4 verwendet. Short-term API-Schlüssel haben dieselben Berechtigungen und denselben Ablauf wie die Anmeldeinformationen der Identität, die den API-Schlüssel generiert, und sind bis zu 12 Stunden oder für die verbleibende Zeit Ihrer Konsolensitzung gültig, je nachdem, welcher Zeitraum kürzer ist. Sie können die Amazon Bedrock/Claude Platform in AWS Console, Python und Pakete für andere Programmiersprachen verwenden, um kurzfristige API-Schlüssel zu generieren. Weitere Informationen finden Sie unter Generieren von Amazon Bedrock-API-Schlüsseln für den einfachen Zugriff auf die Amazon Bedrock-API im Amazon Bedrock-Benutzerhandbuch und Authentifizierung im Claude Platform in AWS Benutzerhandbuch.

Anmerkung

Long-term API-Schlüssel bergen im Vergleich zu kurzfristigen API-Schlüsseln ein höheres Sicherheitsrisiko. Wir empfehlen, nach Möglichkeit kurzfristige API-Schlüssel oder temporäre Sicherheitsanmeldeinformationen zu verwenden. Wenn Sie langfristige API-Schlüssel verwenden, empfehlen wir die regelmäßige Schlüsselrotation.

Dienste, die API-Schlüssel unterstützen

In der folgenden Tabelle sind die AWS Dienste aufgeführt, die API-Schlüssel unterstützen, sowie die Art des API-Schlüssels, den jeder Dienst unterstützt.

# Service Long-term API-Schlüssel Short-term API-Schlüssel Automatisch angefügte verwaltete Richtlinien Service-specific Dokumentation
1 Amazon Bedrock Ja Ja AmazonBedrockLimitedAccess Verwenden Sie einen Amazon Bedrock API-Schlüssel
2 Claude Platform in AWS Ja Ja AnthropicInferenceAccess Authentifizierung
3 Amazon CloudWatch Ja N/A CloudWatchAPIKeyAccess Einrichtung der Bearer-Token-Authentifizierung für Metrics
4 CloudWatch Amazon-Protokolle Ja N/A CloudWatchLogsAPIKeyAccess Einrichtung der Bearer-Token-Authentifizierung

Wenn Sie einen langfristigen API-Schlüssel für einen Dienst generieren, wird die entsprechende AWS verwaltete Richtlinie automatisch an den IAM-Benutzer angehängt, wodurch Zugriff auf die Kernoperationen für diesen Dienst gewährt wird. Wenn Sie zusätzlichen Zugriff benötigen, können Sie die Berechtigungen für den IAM-Benutzer ändern. Weitere Informationen zum Ändern von Berechtigungen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Weitere Informationen zu API-Schlüsseln für bestimmte Dienste finden Sie unter den Service-specific Dokumentationslinks in der obigen Tabelle.

Voraussetzungen für langfristige API-Schlüssel

Bevor Sie einen langfristigen API-Schlüssel in der IAM-Konsole generieren können, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Ein IAM-Benutzer, der dem langfristigen API-Schlüssel zugeordnet werden soll. Weitere Anweisungen zum Erstellen eines IAM-Benutzers finden Sie unter Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto.

  • Sie benötigen die folgenden IAM-Richtlinienberechtigungen, um dienstspezifische Anmeldeinformationen für einen IAM-Benutzer zu verwalten. Die Beispielrichtlinie gewährt die Berechtigung zum Erstellen, Auflisten, Aktualisieren, Löschen und Zurücksetzen servicespezifischer Anmeldeinformationen. Ersetzen Sie den username Wert im Resource-Element durch den Namen des IAM-Benutzers, für den Sie langfristige API-Schlüssel generieren möchten:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Generieren eines langfristigen API-Schlüssels (Konsole)

Um einen langfristigen API-Schlüssel für einen bestimmten Dienst in der IAM-Konsole zu generieren

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM-Konsole Benutzer aus.

  3. Wählen Sie den IAM-Benutzer aus, für den Sie einen langfristigen API-Schlüssel generieren möchten.

  4. Wechseln Sie zur Registerkarte Sicherheitsanmeldeinformationen.

  5. Wählen Sie im Abschnitt API-Schlüssel die Option API-Schlüssel generieren aus.

  6. Wählen Sie aus der AWS Dropdownliste für den Dienst den Dienst aus, für den Sie sich mit dem API-Schlüssel authentifizieren möchten.

  7. Für den Ablauf des API-Schlüssels haben Sie folgende Möglichkeiten:

    • Wählen Sie eine Ablaufdauer für den API-Schlüssel von 1, 5, 30, 90 oder 365 Tagen aus.

    • Wählen Sie Benutzerdefinierte Dauer aus, um ein benutzerdefiniertes Ablaufdatum für den API-Schlüssel festzulegen.

    • Wählen Sie Nie läuft ab (nicht empfohlen).

  8. Wählen Sie API-Schlüssel generieren aus.

  9. Kopieren Sie Ihren API-Schlüssel oder laden Sie ihn herunter. Dies ist das einzige Mal, dass Sie den API-Schlüsselwert anzeigen können.

    Wichtig

    Bewahren Sie Ihren API-Schlüssel sicher auf. Nach dem Schließen des Dialogfelds kann der API-Schlüssel nicht erneut abgerufen werden. Wenn Sie Ihren API-Schlüssel verlieren oder vergessen, können Sie ihn nicht abrufen. Generieren Sie stattdessen einen neuen API-Schlüssel und machen Sie den alten Schlüssel inaktiv.

Generierung eines langfristigen API-Schlüssels (AWS CLI)

Gehen Sie wie folgt vor AWS CLI, um mit dem einen langfristigen API-Schlüssel zu generieren:

  1. Erstellen Sie mit dem Befehl create-user einen IAM-Benutzer, der mit dem Service verwendet wird:

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Hängen Sie die AWS verwaltete Richtlinie mit dem Befehl attach-user-policy an den IAM-Benutzer an.

    Für Amazon Bedrock:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Für Claude Platform in AWS:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AnthropicInferenceAccess

    Für Amazon CloudWatch:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAPIKeyAccess

    Für Amazon CloudWatch Logs:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Generieren Sie den langfristigen API-Schlüssel mit dem Befehl create-service-specific-credential.

    Für Amazon Bedrock:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Für Claude Platform in AWS:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name aws-external-anthropic.amazonaws.com \
    --credential-age-days 30

    Für Amazon CloudWatch:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name cloudwatch.amazonaws.com \
    --credential-age-days 30

    Für Amazon CloudWatch Logs:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    Anmerkung

    Der Parameter --credential-age-days ist optional. Sie können einen Wert zwischen 1—36600 Tagen angeben. Wenn Sie diesen Parameter weglassen, läuft der API-Schlüssel nicht ab.

Der ServiceApiKeyValue in der Antwort zurückgegebene ist Ihr langfristiger API-Schlüssel für den jeweiligen Dienst. Speichern Sie den Wert „ServiceApiKeyValue“ sicher, da Sie ihn später nicht mehr abrufen können.

Listet langfristige API-Schlüssel auf (AWS CLI)

Verwenden Sie den Befehl list-service-specific-credentials mit dem folgenden Parameter, um Metadaten für langfristige API-Schlüssel für einen bestimmten Benutzer aufzulisten: --user-name

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
Anmerkung

bedrock.amazonaws.comErsetzen Sie es durch den entsprechenden Servicenamen (z. B. logs.amazonaws.com für Amazon CloudWatch Logs oder aws-external-anthropic.amazonaws.com für Claude Platform in AWS).

Um alle Metadaten für langfristige API-Schlüssel im Konto aufzulisten, verwenden Sie den Befehl list-service-specific-credentials mit dem folgenden Parameter: --all-users

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Aktualisieren Sie den Status des langfristigen API-Schlüssels (AWS CLI)

Verwenden Sie den Befehl update-service-specific-credential, um den Status eines langfristigen API-Schlüssels zu aktualisieren:

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Generieren eines langfristigen API-Schlüssels (AWS API)

Sie können die folgenden IAM-API-Operationen verwenden, um langfristige API-Schlüssel für jeden unterstützten Dienst zu verwalten:

Short-term API-Schlüssel (Dienste auswählen)

Short-term API-Schlüssel werden derzeit von ausgewählten Diensten unterstützt.

Informationen zur Generierung und Verwendung von kurzfristigen API-Schlüsseln mit Amazon Bedrock finden Sie unter Generieren eines API-Schlüssels im Amazon Bedrock-Benutzerhandbuch.

Informationen zur Generierung und Verwendung von kurzfristigen API-Schlüsseln für Claude Platform in AWS finden Sie unter Authentifizierung im Claude Platform in AWS Benutzerhandbuch.

Service-specific Informationen