View a markdown version of this page

Kunci API untuk AWS layanan - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci API untuk AWS layanan

Beberapa AWS layanan mendukung kunci API untuk mengautentikasi permintaan terprogram selain kredensi IAM standar seperti kredensi keamanan sementara dan kunci akses jangka panjang. AWS menawarkan dua jenis kunci API:

  • Long-term Kunci API — Kunci Long-term API dikaitkan dengan pengguna IAM dan dihasilkan menggunakan kredenal khusus layanan IAM. Kredensi ini dirancang untuk digunakan hanya dengan satu AWS layanan, meningkatkan keamanan dengan membatasi cakupan kredensi. Anda dapat menetapkan waktu kedaluwarsa saat kunci API jangka panjang kedaluwarsa. Untuk menghasilkan kunci API jangka panjang, Anda dapat menggunakan IAM atau konsol khusus layanan, atau API. AWS CLI AWS

  • Short-term Kunci API — Kunci API jangka pendek adalah URL yang telah ditandatangani sebelumnya yang menggunakan AWS Signature Version 4. Short-term Kunci API berbagi izin dan kedaluwarsa yang sama dengan kredensional identitas yang menghasilkan kunci API dan berlaku hingga 12 jam atau sisa waktu sesi konsol Anda, mana yang lebih pendek. Anda dapat menggunakan Amazon Bedrock/Claude Platform di AWS console, Python, dan paket untuk bahasa pemrograman lain untuk menghasilkan kunci API jangka pendek. Untuk informasi selengkapnya, lihat Menghasilkan kunci Amazon Bedrock API untuk akses mudah ke Amazon Bedrock API di Panduan Pengguna Amazon Bedrock dan Otentikasi di Panduan Pengguna.Claude Platform di AWS

catatan

Long-term Kunci API memiliki risiko keamanan yang lebih tinggi dibandingkan dengan kunci API jangka pendek. Sebaiknya gunakan kunci API jangka pendek atau kredensi keamanan sementara jika memungkinkan. Jika Anda menggunakan kunci API jangka panjang, sebaiknya terapkan praktik rotasi kunci reguler.

Layanan yang mendukung kunci API

Tabel berikut mencantumkan AWS layanan yang mendukung kunci API dan jenis kunci API yang didukung setiap layanan.

# Layanan Long-term Kunci API Short-term Kunci API Kebijakan terkelola terlampir otomatis Service-specific dokumentasi
1 Amazon Bedrock Ya Ya AmazonBedrockLimitedAccess Menggunakan kunci Amazon Bedrock API
2 Claude Platform di AWS Ya Ya AnthropicInferenceAccess Autentikasi
3 Amazon CloudWatch Ya N/A CloudWatchAPIKeyAccess Menyiapkan otentikasi token pembawa untuk Metrik
4 CloudWatch Log Amazon Ya N/A CloudWatchLogsAPIKeyAccess Menyiapkan otentikasi token pembawa

Saat Anda membuat kunci API jangka panjang untuk layanan, kebijakan AWS terkelola terkait secara otomatis dilampirkan ke pengguna IAM, memberikan akses ke operasi inti untuk layanan tersebut. Jika Anda memerlukan akses tambahan, Anda dapat mengubah izin untuk pengguna IAM. Untuk informasi tentang mengubah izin, lihat. Menambahkan dan menghapus izin identitas IAM

Untuk mempelajari selengkapnya tentang kunci API untuk layanan tertentu, lihat tautan Service-specific dokumentasi pada tabel di atas.

Prasyarat untuk kunci API jangka panjang

Sebelum Anda dapat membuat kunci API jangka panjang di konsol IAM, Anda harus memenuhi prasyarat berikut:

  • Pengguna IAM untuk mengasosiasikan dengan kunci API jangka panjang. Untuk petunjuk cara membuat pengguna IAM, lihatBuat pengguna IAM di Akun AWS.

  • Anda harus memiliki izin kebijakan IAM berikut untuk mengelola kredenal khusus layanan bagi pengguna IAM. Kebijakan contoh memberikan izin untuk membuat, mencantumkan, memperbarui, menghapus, dan mengatur ulang kredenal khusus layanan. Ganti username nilai dalam elemen Resource dengan nama pengguna IAM yang akan Anda hasilkan kunci API jangka panjang untuk:

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Sid": "ManageBedrockServiceSpecificCredentials", "Effect": "Allow", "Action": [ "iam:CreateServiceSpecificCredential", "iam:ListServiceSpecificCredentials", "iam:UpdateServiceSpecificCredential", "iam:DeleteServiceSpecificCredential", "iam:ResetServiceSpecificCredential" ], "Resource": "arn:aws:iam::*:user/username" } ] }

Membuat kunci API jangka panjang (konsol)

Untuk menghasilkan kunci API jangka panjang untuk layanan tertentu di konsol IAM
  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Pengguna.

  3. Pilih pengguna IAM yang ingin Anda buat kunci API jangka panjang.

  4. Pilih tab Kredensial keamanan.

  5. Di bagian API keys, pilih Generate API key.

  6. Dari daftar tarik-turun AWS layanan, pilih layanan yang Anda inginkan untuk mengautentikasi kunci API.

  7. Untuk kedaluwarsa kunci API, lakukan salah satu hal berikut:

    • Pilih durasi kedaluwarsa kunci API 1, 5, 30, 90, atau 365 hari.

    • Pilih Durasi kustom untuk menentukan tanggal kedaluwarsa kunci API kustom.

    • Pilih Jangan pernah kedaluwarsa (tidak disarankan).

  8. Pilih Hasilkan kunci API.

  9. Salin atau unduh kunci API Anda. Ini adalah satu-satunya saat Anda dapat melihat nilai kunci API.

    penting

    Simpan kunci API Anda dengan aman. Setelah Anda menutup kotak dialog, Anda tidak dapat mengambil kunci API lagi. Jika Anda kehilangan atau lupa kunci API Anda, Anda tidak dapat mengambilnya. Sebagai gantinya, buat kunci API baru dan buat kunci lama tidak aktif.

Menghasilkan kunci API jangka panjang (AWS CLI)

Untuk membuat kunci API jangka panjang menggunakan AWS CLI, gunakan langkah-langkah berikut:

  1. Buat pengguna IAM yang akan digunakan dengan layanan menggunakan perintah create-user:

    aws iam create-user \ --user-name APIKeyUser_1
  2. Lampirkan kebijakan AWS terkelola ke pengguna IAM menggunakan perintah attach-user-policy.

    Untuk Amazon Bedrock:

    aws iam attach-user-policy --user-name APIKeyUser_1 \ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Untuk Claude Platform di AWS:

    aws iam attach-user-policy --user-name APIKeyUser_1 \ --policy-arn arn:aws:iam::aws:policy/AnthropicInferenceAccess

    Untuk Amazon CloudWatch:

    aws iam attach-user-policy --user-name APIKeyUser_1 \ --policy-arn arn:aws:iam::aws:policy/CloudWatchAPIKeyAccess

    Untuk CloudWatch Log Amazon:

    aws iam attach-user-policy --user-name APIKeyUser_1 \ --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess
  3. Buat kunci API jangka panjang menggunakan perintah create-service-specific-credential.

    Untuk Amazon Bedrock:

    aws iam create-service-specific-credential \ --user-name APIKeyUser_1 \ --service-name bedrock.amazonaws.com \ --credential-age-days 30

    Untuk Claude Platform di AWS:

    aws iam create-service-specific-credential \ --user-name APIKeyUser_1 \ --service-name aws-external-anthropic.amazonaws.com \ --credential-age-days 30

    Untuk Amazon CloudWatch:

    aws iam create-service-specific-credential \ --user-name APIKeyUser_1 \ --service-name cloudwatch.amazonaws.com \ --credential-age-days 30

    Untuk CloudWatch Log Amazon:

    aws iam create-service-specific-credential \ --user-name APIKeyUser_1 \ --service-name logs.amazonaws.com \ --credential-age-days 30
    catatan

    Parameter --credential-age-days bersifat opsional. Anda dapat menentukan nilai antara 1-36600 hari. Jika Anda menghilangkan parameter ini, kunci API tidak kedaluwarsa.

Yang dikembalikan ServiceApiKeyValue dalam respons adalah kunci API jangka panjang Anda untuk masing-masing layanan. Simpan ServiceApiKeyValue nilai dengan aman, karena Anda tidak dapat mengambilnya nanti.

Daftar kunci API jangka panjang (AWS CLI)

Untuk membuat daftar metadata kunci API jangka panjang bagi pengguna tertentu, gunakan perintah list-service-specific-credentials dengan parameter: --user-name

aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-name APIKeyUser_1
catatan

Ganti bedrock.amazonaws.com dengan nama layanan yang sesuai (misalnya, logs.amazonaws.com untuk Amazon CloudWatch Log atau aws-external-anthropic.amazonaws.com untuk Claude Platform di AWS).

Untuk mencantumkan semua metadata kunci API jangka panjang di akun, gunakan perintah list-service-specific-credentials dengan parameter: --all-users

aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users

Memperbarui status kunci API jangka panjang (AWS CLI)

Untuk memperbarui status kunci API jangka panjang, gunakan perintah update-service-specific-credential:

aws iam update-service-specific-credential \ --user-name "APIKeyUser_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --status Inactive|Active

Menghasilkan kunci API jangka panjang (AWS API)

Anda dapat menggunakan operasi IAM API berikut untuk mengelola kunci API jangka panjang untuk layanan apa pun yang didukung:

Short-term Kunci API (pilih layanan)

Short-term Kunci API saat ini didukung oleh layanan tertentu.

Untuk informasi tentang membuat dan menggunakan kunci API jangka pendek dengan Amazon Bedrock, lihat Membuat kunci API di Panduan Pengguna Amazon Bedrock.

Untuk informasi tentang membuat dan menggunakan kunci API jangka pendek Claude Platform di AWS, lihat Autentikasi di Panduan Claude Platform di AWS Pengguna.

Service-specific informasi

  • Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon Bedrock, lihat Menggunakan kunci Amazon Bedrock API di Panduan Pengguna Amazon Bedrock.

  • Untuk informasi selengkapnya tentang menggunakan kunci API dengan Claude Platform di AWS, lihat Autentikasi di Panduan Claude Platform di AWS Pengguna.

  • Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon CloudWatch, lihat Menyiapkan otentikasi token pembawa untuk Metrik di Panduan Pengguna Amazon CloudWatch.

  • Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon CloudWatch Logs, lihat Menyiapkan otentikasi token pembawa di Panduan Pengguna Amazon CloudWatch Logs.