API-Schlüssel für Amazon Bedrock - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenGenerieren eines langfristigen API-Schlüssels für Amazon Bedrock (Konsole)Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS CLI)Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS -API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

API-Schlüssel für Amazon Bedrock

Amazon Bedrock ist ein vollständig verwalteter Service, der Grundlagenmodelle führender KI-Unternehmen und von Amazon bietet. Sie können über die AWS-Managementkonsole und programmgesteuert mithilfe der oder API auf Amazon Bedrock zugreifen. AWS CLI AWS Bei programmgesteuerten Anfragen an Amazon Bedrock können Sie sich entweder mit temporären Sicherheitsanmeldeinformationen oder API-Schlüsseln von Amazon Bedrock authentifizieren. Amazon Bedrock unterstützt zwei Arten von API-Schlüsseln:

  • Kurzfristige API-Schlüssel — Ein kurzfristiger API-Schlüssel ist eine vorsignierte URL, die Signature Version 4 verwendet AWS . Kurzfristige API-Schlüssel haben dieselben Berechtigungen und dieselbe Gültigkeitsdauer wie die Anmeldeinformationen der Identität, die den API-Schlüssel generiert, und sind bis zu 12 Stunden oder bis zum Ende Ihrer Konsolensitzung gültig, je nachdem, welcher Zeitraum kürzer ist. Sie können die Amazon-Bedrock-Konsole, das Python-Paket aws-bedrock-token-generator und Pakete für andere Programmiersprachen verwenden, um kurzfristige API-Schlüssel zu generieren. Weitere Informationen finden Sie im Amazon-Bedrock-Benutzerhandbuch unter Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API.

  • Langfristige API-Schlüssel – Langfristige API-Schlüssel sind einem IAM-Benutzer zugeordnet und werden mithilfe von IAM-servicespezifischen Anmeldeinformationen generiert. Diese Anmeldeinformationen sind ausschließlich für die Verwendung mit Amazon Bedrock vorgesehen und erhöhen die Sicherheit durch die Einschränkung des Umfangs der Anmeldeinformationen. Sie können eine Ablaufzeit für den langfristigen API-Schlüssel festlegen. Sie können die IAM- oder Amazon Bedrock-Konsole, die AWS CLI oder die AWS API verwenden, um langfristige API-Schlüssel zu generieren.

Ein IAM-Benutzer kann über bis zu zwei langfristige API-Schlüssel für Amazon Bedrock verfügen, was Ihnen die Implementierung sicherer Schlüsselrotationsverfahren erleichtert.

Wenn Sie einen langfristigen API-Schlüssel generieren, AmazonBedrockLimitedAccesswird die AWS verwaltete Richtlinie automatisch an den IAM-Benutzer angehängt. Diese Richtlinie gewährt Zugriff auf die wichtigsten API-Operationen von Amazon Bedrock. Wenn Sie zusätzlichen Zugriff auf Amazon Bedrock benötigen, können Sie die Berechtigungen für den IAM-Benutzer anpassen. Weitere Informationen zum Ändern von Berechtigungen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen. Weitere Informationen zur Verwendung eines Amazon-Bedrock-Schlüssels finden Sie im Amazon-Bedrock-Benutzerhandbuch unter Verwenden eines API-Schlüssels von Amazon Bedrock.

Anmerkung

Langfristige API-Schlüssel bergen ein höheres Sicherheitsrisiko als kurzfristige API-Schlüssel. Wir empfehlen, nach Möglichkeit kurzfristige API-Schlüssel oder temporäre Sicherheitsanmeldeinformationen zu verwenden. Wenn Sie langfristige API-Schlüssel verwenden, empfehlen wir die regelmäßige Schlüsselrotation.

Voraussetzungen

Bevor Sie einen langfristigen API-Schlüssel für Amazon Bedrock über die IAM-Konsole generieren können, müssen folgende Voraussetzungen erfüllt sein:

  • Ein IAM-Benutzer, der dem langfristigen API-Schlüssel zugeordnet werden soll. Weitere Anweisungen zum Erstellen eines IAM-Benutzers finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto.

  • Stellen Sie sicher, dass Sie über die folgenden IAM-Richtlinienberechtigungen verfügen, um servicespezifische Anmeldeinformationen für einen IAM-Benutzer zu verwalten. Die Beispielrichtlinie gewährt die Berechtigung zum Erstellen, Auflisten, Aktualisieren, Löschen und Zurücksetzen servicespezifischer Anmeldeinformationen. Ersetzen Sie den Wert „username“ im Element „Ressource“ durch den Namen des IAM-Benutzers, für den Sie API-Schlüssel für Amazon Bedrock generieren werden:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (Konsole)

So generieren Sie einen langfristigen API-Schlüssel für Amazon Bedrock (Konsole)

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM-Konsole Benutzer aus.

  3. Wählen Sie den IAM-Benutzer aus, für den Sie langfristige API-Schlüssel für Amazon Bedrock generieren möchten.

  4. Wechseln Sie zur Registerkarte Sicherheitsanmeldeinformationen.

  5. Wählen Sie im Abschnitt API-Schlüssel für Amazon Bedrock die Option API-Schlüssel generieren aus.

  6. Für den Ablauf des API-Schlüssels haben Sie folgende Möglichkeiten:

    • Wählen Sie eine Ablaufdauer für den API-Schlüssel von 1, 5, 30, 90 oder 365 Tagen aus.

    • Wählen Sie Benutzerdefinierte Dauer aus, um ein benutzerdefiniertes Ablaufdatum für den API-Schlüssel festzulegen.

    • Wählen Sie Nie läuft ab aus (nicht empfohlen).

  7. Wählen Sie API-Schlüssel generieren aus.

  8. Kopieren Sie Ihren API-Schlüssel oder laden Sie ihn herunter. Dies ist das einzige Mal, dass Sie den API-Schlüsselwert anzeigen können.

    Wichtig

    Bewahren Sie Ihren API-Schlüssel sicher auf. Nach dem Schließen des Dialogfelds kann der API-Schlüssel nicht erneut abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren oder vergessen, können Sie ihn nicht wiederherstellen. Erstellen Sie stattdessen einen neuen Zugriffsschlüssel und deaktivieren Sie den alten.

Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS CLI)

Gehen Sie wie folgt vor, um mit dem AWS CLI einen langfristigen Amazon Bedrock-API-Schlüssel zu generieren:

  1. Erstellen Sie mit dem Befehl create-user einen IAM-Benutzer, der mit Amazon Bedrock verwendet werden soll.

    aws iam create-user \
    --user-name BedrockAPIKey_1

  2. Hängen Sie die AWS verwaltete Richtlinie AmazonBedrockLimitedAccess mit dem folgenden Befehl an den Amazon Bedrock IAM-Benutzer an attach-user-policy:

    aws iam attach-user-policy --user-name BedrockAPIKey_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

  3. Generieren Sie den langfristigen API-Schlüssel von Amazon Bedrock mithilfe des create-service-specific-credentialBefehls. Für die Gültigkeitsdauer der Anmeldeinformationen können Sie einen Wert zwischen 1 und 36 600 Tagen angeben. Wenn Sie keine Gültigkeitsdauer für die Anmeldeinformationen angeben, läuft der API-Schlüssel nicht ab.

    So generieren Sie einen langfristigen API-Schlüssel mit einer Gültigkeitsdauer von 30 Tagen:

    aws iam create-service-specific-credential \
    --user-name BedrockAPIKey_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

Der in der Antwort zurückgegebene Wert „ServiceApiKeyValue“ ist Ihr langfristiger API-Schlüssel für Amazon Bedrock. Speichern Sie den Wert „ServiceApiKeyValue“ sicher, da Sie ihn später nicht mehr abrufen können.

Auflisten langfristiger API-Schlüssel (AWS CLI)

Um Metadaten für langfristige API-Schlüssel von Amazon Bedrock für einen bestimmten Benutzer aufzulisten, verwenden Sie den list-service-specific-credentialsBefehl mit dem folgenden --user-name Parameter:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1

Um alle Metadaten der langfristigen API-Schlüssel von Amazon Bedrock im Konto aufzulisten, verwenden Sie den list-service-specific-credentialsBefehl mit dem folgenden --all-users Parameter:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Aktualisieren des Status des langfristigen API-Schlüssels (AWS CLI)

Verwenden Sie den update-service-specific-credentialfolgenden Befehl, um den Status eines langfristigen API-Schlüssels für Amazon Bedrock zu aktualisieren:

aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS -API)

Sie können die folgenden API-Operationen verwenden, um langfristige API-Schlüssel für Amazon Bedrock zu generieren und zu verwalten: