Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kunci API untuk AWS layanan
Beberapa AWS layanan mendukung kunci API untuk mengautentikasi permintaan terprogram selain kredensi IAM standar seperti kredensi keamanan sementara dan kunci akses jangka panjang. AWS menawarkan dua jenis kunci API:
-
Long-term Kunci API — Kunci Long-term API dikaitkan dengan pengguna IAM dan dihasilkan menggunakan kredenal khusus layanan IAM. Kredensi ini dirancang untuk digunakan hanya dengan satu AWS layanan, meningkatkan keamanan dengan membatasi cakupan kredensi. Anda dapat menetapkan waktu kedaluwarsa saat kunci API jangka panjang kedaluwarsa. Untuk menghasilkan kunci API jangka panjang, Anda dapat menggunakan IAM atau konsol khusus layanan, atau API. AWS CLI AWS
-
Short-term Kunci API — Kunci API jangka pendek adalah URL yang telah ditandatangani sebelumnya yang menggunakan AWS Signature Version 4. Short-term Kunci API berbagi izin dan kedaluwarsa yang sama dengan kredensional identitas yang menghasilkan kunci API dan berlaku hingga 12 jam atau sisa waktu sesi konsol Anda, mana yang lebih pendek. Anda dapat menggunakan Amazon Bedrock/Claude Platform di AWS console, Python, dan paket untuk bahasa pemrograman lain untuk menghasilkan kunci API jangka pendek. Untuk informasi selengkapnya, lihat Menghasilkan kunci Amazon Bedrock API untuk akses mudah ke Amazon Bedrock API di Panduan Pengguna Amazon Bedrock dan Otentikasi di Panduan Pengguna.Claude Platform di AWS
catatan
Long-term Kunci API memiliki risiko keamanan yang lebih tinggi dibandingkan dengan kunci API jangka pendek. Sebaiknya gunakan kunci API jangka pendek atau kredensi keamanan sementara jika memungkinkan. Jika Anda menggunakan kunci API jangka panjang, sebaiknya terapkan praktik rotasi kunci reguler.
Layanan yang mendukung kunci API
Tabel berikut mencantumkan AWS layanan yang mendukung kunci API dan jenis kunci API yang didukung setiap layanan.
| # | Layanan | Long-term Kunci API | Short-term Kunci API | Kebijakan terkelola terlampir otomatis | Service-specific dokumentasi |
|---|---|---|---|---|---|
| 1 | Amazon Bedrock | Ya | Ya | AmazonBedrockLimitedAccess | Menggunakan kunci Amazon Bedrock API |
| 2 | Claude Platform di AWS | Ya | Ya | AnthropicInferenceAccess | Autentikasi |
| 3 | Amazon CloudWatch | Ya | N/A | CloudWatchAPIKeyAccess | Menyiapkan otentikasi token pembawa untuk Metrik |
| 4 | CloudWatch Log Amazon | Ya | N/A | CloudWatchLogsAPIKeyAccess | Menyiapkan otentikasi token pembawa |
Saat Anda membuat kunci API jangka panjang untuk layanan, kebijakan AWS terkelola terkait secara otomatis dilampirkan ke pengguna IAM, memberikan akses ke operasi inti untuk layanan tersebut. Jika Anda memerlukan akses tambahan, Anda dapat mengubah izin untuk pengguna IAM. Untuk informasi tentang mengubah izin, lihat. Menambahkan dan menghapus izin identitas IAM
Untuk mempelajari selengkapnya tentang kunci API untuk layanan tertentu, lihat tautan Service-specific dokumentasi pada tabel di atas.
Prasyarat untuk kunci API jangka panjang
Sebelum Anda dapat membuat kunci API jangka panjang di konsol IAM, Anda harus memenuhi prasyarat berikut:
-
Pengguna IAM untuk mengasosiasikan dengan kunci API jangka panjang. Untuk petunjuk cara membuat pengguna IAM, lihatBuat pengguna IAM di Akun AWS.
-
Anda harus memiliki izin kebijakan IAM berikut untuk mengelola kredenal khusus layanan bagi pengguna IAM. Kebijakan contoh memberikan izin untuk membuat, mencantumkan, memperbarui, menghapus, dan mengatur ulang kredenal khusus layanan. Ganti
nilai dalam elemen Resource dengan nama pengguna IAM yang akan Anda hasilkan kunci API jangka panjang untuk:username
Membuat kunci API jangka panjang (konsol)
Untuk menghasilkan kunci API jangka panjang untuk layanan tertentu di konsol IAM
Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi konsol IAM, pilih Pengguna.
-
Pilih pengguna IAM yang ingin Anda buat kunci API jangka panjang.
-
Pilih tab Kredensial keamanan.
-
Di bagian API keys, pilih Generate API key.
-
Dari daftar tarik-turun AWS layanan, pilih layanan yang Anda inginkan untuk mengautentikasi kunci API.
-
Untuk kedaluwarsa kunci API, lakukan salah satu hal berikut:
-
Pilih durasi kedaluwarsa kunci API 1, 5, 30, 90, atau 365 hari.
-
Pilih Durasi kustom untuk menentukan tanggal kedaluwarsa kunci API kustom.
-
Pilih Jangan pernah kedaluwarsa (tidak disarankan).
-
-
Pilih Hasilkan kunci API.
-
Salin atau unduh kunci API Anda. Ini adalah satu-satunya saat Anda dapat melihat nilai kunci API.
penting
Simpan kunci API Anda dengan aman. Setelah Anda menutup kotak dialog, Anda tidak dapat mengambil kunci API lagi. Jika Anda kehilangan atau lupa kunci API Anda, Anda tidak dapat mengambilnya. Sebagai gantinya, buat kunci API baru dan buat kunci lama tidak aktif.
Menghasilkan kunci API jangka panjang (AWS CLI)
Untuk membuat kunci API jangka panjang menggunakan AWS CLI, gunakan langkah-langkah berikut:
-
Buat pengguna IAM yang akan digunakan dengan layanan menggunakan perintah create-user
: aws iam create-user \ --user-nameAPIKeyUser_1 -
Lampirkan kebijakan AWS terkelola ke pengguna IAM menggunakan perintah attach-user-policy
. Untuk Amazon Bedrock:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccessUntuk Claude Platform di AWS:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/AnthropicInferenceAccessUntuk Amazon CloudWatch:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/CloudWatchAPIKeyAccessUntuk CloudWatch Log Amazon:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess -
Buat kunci API jangka panjang menggunakan perintah create-service-specific-credential
. Untuk Amazon Bedrock:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30Untuk Claude Platform di AWS:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name aws-external-anthropic.amazonaws.com \ --credential-age-days30Untuk Amazon CloudWatch:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name cloudwatch.amazonaws.com \ --credential-age-days30Untuk CloudWatch Log Amazon:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name logs.amazonaws.com \ --credential-age-days30catatan
Parameter
--credential-age-daysbersifat opsional. Anda dapat menentukan nilai antara 1-36600 hari. Jika Anda menghilangkan parameter ini, kunci API tidak kedaluwarsa.
Yang dikembalikan ServiceApiKeyValue dalam respons adalah kunci API jangka panjang Anda untuk masing-masing layanan. Simpan ServiceApiKeyValue nilai dengan aman, karena Anda tidak dapat mengambilnya nanti.
Daftar kunci API jangka panjang (AWS CLI)
Untuk membuat daftar metadata kunci API jangka panjang bagi pengguna tertentu, gunakan perintah list-service-specific-credentials--user-name
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameAPIKeyUser_1
catatan
Ganti bedrock.amazonaws.com dengan nama layanan yang sesuai (misalnya, logs.amazonaws.com untuk Amazon CloudWatch Log atau aws-external-anthropic.amazonaws.com untuk Claude Platform di AWS).
Untuk mencantumkan semua metadata kunci API jangka panjang di akun, gunakan perintah list-service-specific-credentials--all-users
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Memperbarui status kunci API jangka panjang (AWS CLI)
Untuk memperbarui status kunci API jangka panjang, gunakan perintah update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "APIKeyUser_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
Menghasilkan kunci API jangka panjang (AWS API)
Anda dapat menggunakan operasi IAM API berikut untuk mengelola kunci API jangka panjang untuk layanan apa pun yang didukung:
Short-term Kunci API (pilih layanan)
Short-term Kunci API saat ini didukung oleh layanan tertentu.
Untuk informasi tentang membuat dan menggunakan kunci API jangka pendek dengan Amazon Bedrock, lihat Membuat kunci API di Panduan Pengguna Amazon Bedrock.
Untuk informasi tentang membuat dan menggunakan kunci API jangka pendek Claude Platform di AWS, lihat Autentikasi di Panduan Claude Platform di AWS Pengguna.
Service-specific informasi
-
Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon Bedrock, lihat Menggunakan kunci Amazon Bedrock API di Panduan Pengguna Amazon Bedrock.
-
Untuk informasi selengkapnya tentang menggunakan kunci API dengan Claude Platform di AWS, lihat Autentikasi di Panduan Claude Platform di AWS Pengguna.
-
Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon CloudWatch, lihat Menyiapkan otentikasi token pembawa untuk Metrik di Panduan Pengguna Amazon CloudWatch.
-
Untuk informasi selengkapnya tentang menggunakan kunci API dengan Amazon CloudWatch Logs, lihat Menyiapkan otentikasi token pembawa di Panduan Pengguna Amazon CloudWatch Logs.