View a markdown version of this page

Clés d'API pour AWS services - AWS Gestion de l’identité et des accès
Services prenant en charge les clés d'APIConditions préalables pour les clés d'API à long termeGénération d'une clé d'API à long terme (console)Génération d'une clé d'API à long terme (AWS CLI)Génération d'une clé d'API à long terme (AWS API)Short-term Clés d'API (certains services)Service-specific informations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés d'API pour AWS services

Certains AWS services prennent en charge les clés d'API pour authentifier les demandes programmatiques en plus des informations d'identification IAM standard telles que les informations d'identification de sécurité temporaires et les clés d'accès à long terme. AWS propose deux types de clés d'API :

  • Long-term Clés d'API : les clés Long-term d'API sont associées à un utilisateur IAM et générées à l'aide d'informations d'identification spécifiques au service IAM. Ces informations d'identification sont conçues pour être utilisées avec un seul AWS service, ce qui renforce la sécurité en limitant la portée des informations d'identification. Vous pouvez définir une date d’expiration pour la clé d’API à long terme. Pour générer des clés d'API à long terme, vous pouvez utiliser la console IAM ou spécifique au service AWS CLI, l'API ou l'API. AWS

  • Short-term Clés d'API — Une clé d'API à court terme est une URL pré-signée qui utilise AWS la version 4 de Signature. Short-term Les clés d'API partagent les mêmes autorisations et expirent que les informations d'identification de l'identité qui génère la clé d'API et sont valides jusqu'à 12 heures ou jusqu'à la fin de votre session de console, la période la plus courte étant retenue. Vous pouvez utiliser la Claude Platform sur AWS console Amazon Bedrock/, Python et les packages d'autres langages de programmation pour générer des clés d'API à court terme. Pour plus d'informations, consultez Générer des clés d'API Amazon Bedrock pour accéder facilement à l'API Amazon Bedrock dans le guide de l'utilisateur Amazon Bedrock et Authentification dans le guide de l'Claude Platform sur AWS utilisateur.

Note

Long-term Les clés d'API présentent un risque de sécurité plus élevé que les clés d'API à court terme. Nous vous recommandons d’utiliser des clés d’API à court terme ou des informations d’identification de sécurité temporaires si possible. Si vous utilisez des clés API à long terme, nous vous recommandons de mettre en place des pratiques régulières de rotation des clés.

Services prenant en charge les clés d'API

Le tableau suivant répertorie les AWS services qui prennent en charge les clés d'API et le type de clé d'API pris en charge par chaque service.

# Service Long-term Clés d'API Short-term Clés d'API Politique gérée attachée automatiquement Service-specific documentation
1 Amazon Bedrock Oui Oui AmazonBedrockLimitedAccess Utiliser une clé d'API Amazon Bedrock
2 Claude Platform sur AWS Oui Oui AnthropicInferenceAccess Authentification
3 Amazon CloudWatch Oui N/A CloudWatchAPIKeyAccess Configuration de l'authentification par jeton porteur pour Metrics
4 Amazon CloudWatch Logs Oui N/A CloudWatchLogsAPIKeyAccess Configuration de l'authentification par jeton porteur

Lorsque vous générez une clé d'API à long terme pour un service, la politique AWS gérée correspondante est automatiquement attachée à l'utilisateur IAM, lui donnant accès aux opérations principales de ce service. Si vous avez besoin d'un accès supplémentaire, vous pouvez modifier les autorisations de l'utilisateur IAM. Pour plus d’informations sur la modification des autorisations, consultez Ajout et suppression d'autorisations basées sur l'identité IAM.

Pour en savoir plus sur les clés d'API pour des services spécifiques, consultez les liens de Service-specific documentation dans le tableau ci-dessus.

Conditions préalables pour les clés d'API à long terme

Avant de pouvoir générer une clé d'API à long terme dans la console IAM, vous devez remplir les conditions suivantes :

  • Un utilisateur IAM à associer à la clé d’API à long terme. Pour plus d’informations sur la création d’un utilisateur IAM, consultez Créez un utilisateur IAM dans votre Compte AWS.

  • Vous devez disposer des autorisations de politique IAM suivantes pour gérer les informations d'identification spécifiques au service pour un utilisateur IAM. L’exemple de politique accorde l’autorisation de créer, répertorier, mettre à jour, supprimer et réinitialiser les informations d’identification spécifiques au service. Remplacez la username valeur de l'élément Resource par le nom de l'utilisateur IAM pour lequel vous allez générer des clés d'API à long terme :

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Génération d'une clé d'API à long terme (console)

Pour générer une clé d'API à long terme pour un service spécifique dans la console IAM

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation de la console IAM, sélectionnez Utilisateurs.

  3. Choisissez l'utilisateur IAM pour lequel vous souhaitez générer une clé d'API à long terme.

  4. Choisissez l’onglet Informations d’identification de sécurité.

  5. Dans la section Clés d'API, choisissez Générer une clé d'API.

  6. Dans la liste déroulante des AWS services, choisissez le service auprès duquel vous souhaitez que la clé d'API s'authentifie.

  7. Pour Epiration de la clé d’API, effectuez l’une des actions suivantes :

    • Choisissez une durée d'expiration de la clé d'API de 1, 5, 30, 90 ou 365 jours.

    • Choisissez Durée personnalisée pour spécifier une date d’expiration personnalisée pour la clé d’API.

    • Choisissez Ne jamais expirer (non recommandé).

  8. Choisissez Générer une clé d’API.

  9. Copiez ou téléchargez votre clé d’API. C’est le seul moment où vous pouvez voir la valeur de la clé API.

    Important

    Stockez votre clé d’API en toute sécurité. Une fois la boîte de dialogue fermée, vous ne pouvez plus récupérer la clé d’API. Si vous perdez ou oubliez votre clé d'API, vous ne pouvez pas la récupérer. Générez plutôt une nouvelle clé d'API et rendez l'ancienne clé inactive.

Génération d'une clé d'API à long terme (AWS CLI)

Pour générer une clé d'API à long terme à l'aide de AWS CLI, procédez comme suit :

  1. Créez un utilisateur IAM qui sera utilisé avec le service à l'aide de la commande create-user :

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Attachez la politique AWS gérée à l'utilisateur IAM à l'aide de la commande attach-user-policy.

    Pour Amazon Bedrock :

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Pour Claude Platform sur AWS :

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AnthropicInferenceAccess

    Pour Amazon CloudWatch :

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAPIKeyAccess

    Pour Amazon CloudWatch Logs :

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Générez la clé d'API à long terme à l'aide de la commande create-service-specific-credential.

    Pour Amazon Bedrock :

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Pour Claude Platform sur AWS :

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name aws-external-anthropic.amazonaws.com \
    --credential-age-days 30

    Pour Amazon CloudWatch :

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name cloudwatch.amazonaws.com \
    --credential-age-days 30

    Pour Amazon CloudWatch Logs :

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    Note

    Le paramètre --credential-age-days est facultatif. Vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous omettez ce paramètre, la clé d'API n'expire pas.

La valeur renvoyée ServiceApiKeyValue dans la réponse est votre clé d'API à long terme pour le service concerné. Stockez la valeur ServiceApiKeyValue en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.

Répertorier les clés API à long terme (AWS CLI)

Pour répertorier les métadonnées des clés d'API à long terme pour un utilisateur spécifique, utilisez la commande list-service-specific-credentials avec le paramètre : --user-name

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
Note

bedrock.amazonaws.comRemplacez-le par le nom de service approprié (par exemple, logs.amazonaws.com pour Amazon CloudWatch Logs ou aws-external-anthropic.amazonaws.com pour Claude Platform sur AWS).

Pour répertorier toutes les métadonnées des clés d'API à long terme du compte, utilisez la commande list-service-specific-credentials avec le paramètre : --all-users

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Mettre à jour le statut des clés d'API à long terme (AWS CLI)

Pour mettre à jour le statut d'une clé d'API à long terme, utilisez la commande update-service-specific-credential :

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Génération d'une clé d'API à long terme (AWS API)

Vous pouvez utiliser les opérations d'API IAM suivantes pour gérer les clés d'API à long terme pour tous les services pris en charge :

Short-term Clés d'API (certains services)

Short-term Les clés d'API sont actuellement prises en charge par certains services.

Pour plus d'informations sur la génération et l'utilisation de clés d'API à court terme avec Amazon Bedrock, consultez la section Générer une clé d'API dans le guide de l'utilisateur d'Amazon Bedrock.

Pour plus d'informations sur la génération et l'utilisation de clés d'API à court terme pour Claude Platform sur AWS, consultez la section Authentification dans le guide de Claude Platform sur AWS l'utilisateur.

Service-specific informations