Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Chiavi API per AWS services
Alcuni AWS servizi supportano le chiavi API per l'autenticazione delle richieste programmatiche oltre alle credenziali IAM standard, come credenziali di sicurezza temporanee e chiavi di accesso a lungo termine. AWS offre due tipi di chiavi API:
-
Long-term Chiavi API: le chiavi Long-term API sono associate a un utente IAM e generate utilizzando credenziali specifiche del servizio IAM. Queste credenziali sono progettate per essere utilizzate con un solo AWS servizio, migliorando la sicurezza limitando l'ambito delle credenziali. Per le chiavi API a lungo termine puoi impostare una scadenza. Per generare chiavi API a lungo termine, puoi utilizzare IAM o la console specifica del servizio, l'o l'API. AWS CLI AWS
-
Short-term Chiavi API: una chiave API a breve termine è un URL prefirmato che utilizza la versione 4 di AWS Signature. Short-term Le chiavi API condividono le stesse autorizzazioni e la stessa scadenza delle credenziali dell'identità che genera la chiave API e sono valide per un massimo di 12 ore o per il tempo rimanente della sessione della console, a seconda di quale tra i due sia più breve. Puoi utilizzare Amazon Bedrock/Claude Platform su AWS console, Python e pacchetti per altri linguaggi di programmazione per generare chiavi API a breve termine. Per ulteriori informazioni, consulta Generare chiavi API Amazon Bedrock per accedere facilmente all'API Amazon Bedrock nella Amazon Bedrock User Guide e Authentication in the Claude Platform su AWS User Guide.
Nota
Long-term Le chiavi API presentano un rischio di sicurezza più elevato rispetto alle chiavi API a breve termine. Quando possibile, consigliamo di utilizzare chiavi API a breve termine o credenziali di sicurezza temporanee. Se utilizzi chiavi API a lungo termine, ti consigliamo di implementare pratiche di rotazione delle chiavi a intervalli regolari.
Servizi che supportano le chiavi API
La tabella seguente elenca i AWS servizi che supportano le chiavi API e il tipo di chiave API supportata da ciascun servizio.
| # | Servizio | Long-term Chiavi API | Short-term chiavi API | Policy gestita allegata automaticamente | Service-specific documentazione |
|---|---|---|---|---|---|
| 1 | Amazon Bedrock | Sì | Sì | AmazonBedrockLimitedAccess | Usa una chiave API Amazon Bedrock |
| 2 | Claude Platform su AWS | Sì | Sì | AnthropicInferenceAccess | Autenticazione |
| 3 | Amazon CloudWatch | Sì | N/A | CloudWatchAPIKeyAccess | Configurazione dell'autenticazione con token al portatore per Metrics |
| 4 | CloudWatch Registri Amazon | Sì | N/A | CloudWatchLogsAPIKeyAccess | Configurazione dell'autenticazione con token al portatore |
Quando si genera una chiave API a lungo termine per un servizio, la policy AWS gestita corrispondente viene automaticamente allegata all'utente IAM, garantendo l'accesso alle operazioni principali di quel servizio. Se hai bisogno di un accesso aggiuntivo, puoi modificare le autorizzazioni per l'utente IAM. Per informazioni sulla modifica delle autorizzazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM.
Per ulteriori informazioni sulle chiavi API per servizi specifici, consulta i link alla Service-specific documentazione nella tabella precedente.
Prerequisiti per le chiavi API a lungo termine
Prima di poter generare una chiave API a lungo termine nella console IAM, devi soddisfare questi prerequisiti:
-
Un utente IAM da associare alla chiave API a lungo termine. Per istruzioni su come creare un utente IAM, consulta Crea un utente IAM nel tuo Account AWS.
-
È necessario disporre delle seguenti autorizzazioni relative alle policy IAM per gestire le credenziali specifiche del servizio per un utente IAM. La policy di esempio concede l’autorizzazione a creare, elencare, aggiornare, eliminare e reimpostare le credenziali specifiche del servizio. Sostituisci il
username
Generazione di una chiave API a lungo termine (console)
Per generare una chiave API a lungo termine per un servizio specifico nella console IAM
Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione della console IAM, scegli Utenti.
-
Scegli l'utente IAM per cui desideri generare una chiave API a lungo termine.
-
Selezionare la scheda Security Credentials (Credenziali di sicurezza).
-
Nella sezione Chiavi API, scegli Genera chiave API.
-
Dall'elenco a discesa dei AWS servizi, scegli il servizio su cui desideri autenticare la chiave API.
-
Per Scadenza della chiave API, esegui una delle seguenti operazioni:
-
Scegli una durata di scadenza della chiave API di 1, 5, 30, 90 o 365 giorni.
-
Scegli Durata personalizzata per specificare una data di scadenza della chiave API personalizzata.
-
Scegli Non scade mai (scelta non consigliata).
-
-
Scegli Genera chiave API.
-
Copia o scarica la tua chiave API. Questo è l’unico momento in cui è possibile visualizzare il valore della chiave API.
Importante
Archivia la chiave API in modo sicuro. Dopo aver chiuso la finestra di dialogo, non sarà possibile recuperare di nuovo la chiave API. Se perdi o dimentichi la tua chiave API, non puoi recuperarla. Invece, genera una nuova chiave API e rendi inattiva la vecchia chiave.
Generazione di una chiave API a lungo termine (AWS CLI)
Per generare una chiave API a lungo termine utilizzando il AWS CLI, utilizza i seguenti passaggi:
-
Crea un utente IAM che verrà utilizzato con il servizio utilizzando il comando create-user
: aws iam create-user \ --user-nameAPIKeyUser_1 -
Allega la policy AWS gestita all'utente IAM utilizzando il comando attach-user-policy
. Per Amazon Bedrock:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccessPer Claude Platform su AWS:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/AnthropicInferenceAccessPer Amazon CloudWatch:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/CloudWatchAPIKeyAccessPer Amazon CloudWatch Logs:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess -
Genera la chiave API a lungo termine utilizzando il comando create-service-specific-credential
. Per Amazon Bedrock:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30Per Claude Platform su AWS:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name aws-external-anthropic.amazonaws.com \ --credential-age-days30Per Amazon CloudWatch:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name cloudwatch.amazonaws.com \ --credential-age-days30Per Amazon CloudWatch Logs:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name logs.amazonaws.com \ --credential-age-days30Nota
Il parametro
--credential-age-daysè facoltativo. Puoi specificare un valore compreso tra 1 e 36600 giorni. Se si omette questo parametro, la chiave API non scade.
La risposta ServiceApiKeyValue restituita è la chiave API a lungo termine per il rispettivo servizio. Archivia il valore ServiceApiKeyValue in modo sicuro, poiché non potrai recuperarlo in un secondo momento.
Elenca le chiavi API a lungo termine (AWS CLI)
Per elencare i metadati delle chiavi API a lungo termine per un utente specifico, utilizzate il comando list-service-specific-credentials con--user-name
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameAPIKeyUser_1
Nota
Sostituisci bedrock.amazonaws.com con il nome di servizio appropriato (ad esempio, logs.amazonaws.com per Amazon CloudWatch Logs o aws-external-anthropic.amazonaws.com per Claude Platform su AWS).
Per elencare tutti i metadati delle chiavi API a lungo termine presenti nell'account, usa il comando list-service-specific-credentials con--all-users
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Aggiorna lo stato della chiave API a lungo termine (AWS CLI)
Per aggiornare lo stato di una chiave API a lungo termine, utilizzate il comando update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "APIKeyUser_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
Generazione di una chiave API a lungo termine (AWS API)
Puoi utilizzare le seguenti operazioni API IAM per gestire le chiavi API a lungo termine per qualsiasi servizio supportato:
Short-term Chiavi API (servizi selezionati)
Short-term Le chiavi API sono attualmente supportate da servizi selezionati.
Per informazioni sulla generazione e l'utilizzo di chiavi API a breve termine con Amazon Bedrock, consulta Generare una chiave API nella Amazon Bedrock User Guide.
Per informazioni sulla generazione e l'utilizzo di chiavi API a breve termine per Claude Platform su AWS, consulta Authentication nella Guida per l'Claude Platform su AWS utente.
Service-specific informazioni
-
Per ulteriori informazioni sull'uso delle chiavi API con Amazon Bedrock, consulta Use an Amazon Bedrock API key nella Amazon Bedrock User Guide.
-
Per ulteriori informazioni sull'utilizzo delle chiavi API con Claude Platform su AWS, consulta Authentication nella User Guide.Claude Platform su AWS
-
Per ulteriori informazioni sull'utilizzo delle chiavi API con Amazon CloudWatch, consulta Configurazione dell'autenticazione con token al portatore per Metrics nella Amazon CloudWatch User Guide.
-
Per ulteriori informazioni sull'utilizzo delle chiavi API con Amazon CloudWatch Logs, consulta Configurazione dell'autenticazione con token al portatore nella Amazon CloudWatch Logs User Guide.
