# Claves de API para servicios de AWS
<a name="id_credentials_api_keys_for_aws_services"></a>

Puede acceder a los servicios de AWS a través de la Consola de administración de AWS y mediante programación con la AWS CLI o la API de AWS. Cuando realice solicitudes programáticas a servicios como Amazon Bedrock y Registros de Amazon CloudWatch, puede autenticarse con credenciales de IAM (por ejemplo, credenciales de seguridad temporales o claves de acceso a largo plazo) o claves de API. Existen dos tipos de claves de API:
+ **Claves de API a largo plazo**: las claves de API a largo plazo se asocian a un usuario de IAM y se generan con [credenciales específicas del servicio](id_credentials_service-specific-creds.md) de IAM. Estas credenciales están diseñadas para usarse con un único servicio de AWS, lo que mejora la seguridad porque limita el alcance de las credenciales. Puede establecer una fecha de caducidad para la clave de API a largo plazo. Puede utilizar la consola de IAM o de un servicio específico (por ejemplo, la consola de Amazon Bedrock o Registros de CloudWatch), la AWS CLI o la API de AWS para generar claves de API a largo plazo.
+ **Claves de API a corto plazo** (solo compatibles con Amazon Bedrock): una clave de API a corto plazo es una URL prefirmada que utiliza AWS Signature Version 4. Las claves de API a corto plazo comparten los mismos permisos y caducidad que las credenciales de la identidad que genera la clave de API y son válidas durante un máximo de 12 horas o el tiempo restante de la sesión de consola, lo que sea más corto. Puede usar la consola Amazon Bedrock, el paquete `aws-bedrock-token-generator` de Python y los paquetes de otros lenguajes de programación a fin de generar claves de API a corto plazo. Para obtener más información, consulte [Generar claves de API de Amazon Bedrock para acceder fácilmente a la API de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) en la *Guía del usuario de Amazon Bedrock*.

**nota**  
Las claves de API a largo plazo presentan un mayor riesgo de seguridad en comparación con las claves de API a corto plazo. Cuando sea posible, le recomendamos que utilice claves de API a corto plazo o credenciales de seguridad temporales. Si utiliza claves de API a largo plazo, recomendamos la implementación de prácticas de rotación regular de claves.

## Servicios admitidos
<a name="id_credentials_api_keys_supported_services"></a>

En la siguiente tabla se enumeran los servicios de AWS que admiten las claves de API y el tipo de clave de API que admite cada servicio.


| \$1 | Servicio | Claves de API a largo plazo | Claves de API a corto plazo | Política administrada adjuntada automáticamente | 
| --- | --- | --- | --- | --- | 
| 1 | Amazon Bedrock | Sí | Sí | [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockLimitedAccess.html) | 
| 2 | Registros de Amazon CloudWatch | Sí | N/A | [CloudWatchLogsAPIKeyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) | 

Cuando se genera una clave de API a largo plazo para un servicio, la política administrada de AWS correspondiente se adjunta automáticamente al usuario de IAM, lo que le permite acceder a las operaciones principales de ese servicio. Si necesita acceso adicional, puede modificar los permisos del usuario de IAM. Para obtener más información acerca de la modificación de permisos, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md). Para obtener más información sobre cómo usar una clave de Amazon Bedrock, consulte [Uso de claves de API de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) en la *Guía del usuario de Amazon Bedrock*. Para obtener más información sobre cómo usar el token de portador para Registros de Amazon CloudWatch, consulte [Autenticación por token de portador](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints_BearerTokenAuth.html) en la *Guía del usuario de Registros de CloudWatch*.

## Requisitos previos para las claves de API a largo plazo
<a name="id_credentials_api_keys_prerequisites"></a>

Antes de que pueda generar una clave de API a largo plazo en la consola de IAM, debe cumplir estos requisitos previos:
+ Un usuario de IAM para asociar con la clave de API a largo plazo. Para obtener instrucciones sobre la creación de un usuario de IAM, consulte [Creación de un usuario de IAM en su Cuenta de AWS](id_users_create.md).
+ Debe tener los siguientes permisos de política de IAM para administrar las credenciales específicas del servicio para un usuario de IAM. La política de ejemplo otorga permiso para crear, enumerar, actualizar, eliminar y restablecer las credenciales específicas del servicio. Reemplace el valor `username` del elemento Recurso con el nombre del usuario de IAM para el que generará las claves de API a largo plazo:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "ManageBedrockServiceSpecificCredentials",
              "Effect": "Allow",
              "Action": [
                  "iam:CreateServiceSpecificCredential",
                  "iam:ListServiceSpecificCredentials",
                  "iam:UpdateServiceSpecificCredential",
                  "iam:DeleteServiceSpecificCredential",
                  "iam:ResetServiceSpecificCredential"
              ],
              "Resource": "arn:aws:iam::*:user/username"
          }
      ]
  }
  ```

------

## Generación de una clave de API a largo plazo (consola)
<a name="id_credentials_api_keys_console_create"></a>

**Cómo generar una clave de API a largo plazo para un servicio específico en la consola de IAM**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, elija **Usuarios**.

1. Seleccione el usuario de IAM para el que desea generar la clave de API a largo plazo.

1. Seleccione la **pestaña de credenciales de** seguridad.

1. En la sección **Claves de API**, seleccione **Generar clave de API**.

1. En la lista desplegable de **Servicios de AWS**, seleccione el servicio en el que quiera que se autentique la clave de API.

1. Para **Expiración de la clave de API**, realice una de las siguientes acciones:
   + Seleccione un plazo de caducidad de la clave de API de **1**, **5**, **30**, **90** o **365** días.
   + Elija **Duración personalizada** para especificar una fecha de expiración personalizada de la clave de API.
   + Seleccione **No caduca nunca** (no se recomienda).

1. Seleccione **Generar clave de API**.

1. Copie o descargue su clave de API. Esta es la única vez que puede ver el valor de la clave de API.
**importante**  
Guarde su clave de API de forma segura. Después de cerrar el cuadro de diálogo, no podrá volver a recuperar esta clave de API. Si pierde u olvida la clave de API, no podrá recuperarla. En su lugar, genere una nueva clave de API e inactive la antigua.

## Generación de una clave de API a largo plazo (AWS CLI)
<a name="id_credentials_api_keys_cli_create"></a>

Para generar una clave de API a largo plazo mediante la AWS CLI, siga los pasos a continuación:

1. Cree el usuario de IAM que se utilizará con Amazon Bedrock o con Registros de Amazon CloudWatch mediante el comando [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html):

   ```
   aws iam create-user \
       --user-name APIKeyUser_1
   ```

1. Adjunte la política administrada de AWS al usuario de IAM mediante el comando [attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html).

   Para Amazon Bedrock:

   ```
   aws iam attach-user-policy --user-name APIKeyUser_1 \
       --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
   ```

   Para Registros de Amazon CloudWatch:

   ```
   aws iam attach-user-policy --user-name APIKeyUser_1 \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess
   ```

1. Genere la clave de API a largo plazo mediante el comando [create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html).

   Para Amazon Bedrock:

   ```
   aws iam create-service-specific-credential \
       --user-name APIKeyUser_1 \
       --service-name bedrock.amazonaws.com \
       --credential-age-days 30
   ```

   Para Registros de Amazon CloudWatch:

   ```
   aws iam create-service-specific-credential \
       --user-name APIKeyUser_1 \
       --service-name logs.amazonaws.com \
       --credential-age-days 30
   ```
**nota**  
El parámetro `--credential-age-days` es opcional. Puede especificar un valor comprendido entre 1 y 36 600 días. Si omite este parámetro, la clave de API no vencerá.

El valor `ServiceApiKeyValue` que se devuelve en la respuesta es su clave de API a largo plazo para el servicio respectivo. Guarde el valor `ServiceApiKeyValue` de forma segura, ya que no podrá recuperarlo más tarde.

### Enumeración de las claves de API a largo plazo (AWS CLI)
<a name="id_credentials_api_keys_cli_list"></a>

Para enumerar los metadatos de las claves de API a largo plazo para un usuario específico, utilice el comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html) con el parámetro `--user-name`:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
```

**nota**  
Sustituya `bedrock.amazonaws.com` por el nombre de servicio adecuado (por ejemplo, `logs.amazonaws.com` para Registros de Amazon CloudWatch).

Para enumerar todos los metadatos de las claves de API a largo plazo de la cuenta, utilice el comando [list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html) con el parámetro `--all-users`:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users
```

### Actualización del estado de la clave de API a largo plazo (AWS CLI)
<a name="id_credentials_api_keys_cli_update"></a>

Para actualizar el estado de una clave de API a largo plazo, utilice el comando [update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html):

```
aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active
```

## Generación de una clave de API a largo plazo (API de AWS)
<a name="id_credentials_api_keys_api"></a>

Puede utilizar las siguientes operaciones de API de IAM para administrar claves de API a largo plazo para cualquier servicio compatible:
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html) 

## Claves de API a corto plazo (Amazon Bedrock)
<a name="id_credentials_api_keys_short_term"></a>

Actualmente, las claves de API a corto plazo solo son compatibles con Amazon Bedrock. Para obtener información sobre la generación y el uso de claves de API a corto plazo, consulte [Generación de una clave de API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-generate.html) en la *Guía del usuario de Amazon Bedrock*.

## Información específica de los servicios
<a name="id_credentials_api_keys_service_info"></a>
+ Para obtener más información sobre cómo usar claves de API en Amazon Bedrock, consulte [Uso de una clave de API de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) en la *Guía del usuario de Amazon Bedrock*.
+ Para obtener más información sobre el uso de claves de API con Registros de Amazon CloudWatch, consulte [Ingesta de registros a través de puntos de conexión HTTP](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HTTP_Endpoints.html) en la *Guía del usuario de Registros de Amazon CloudWatch*.