Chaves de API para os serviços da AWS
Alguns serviços da AWS oferecem suporte a chaves de API para autenticar solicitações programáticas, além das credenciais padrão do IAM, como credenciais de segurança temporárias e chaves de acesso de longo prazo. A AWS oferece dois tipos de chaves de API:
-
Chaves de API de longo prazo: as chaves de API de longo prazo são associadas a um usuário do IAM e são geradas usando as credenciais específicas do serviço do IAM. Essas credenciais são projetadas para uso com apenas um único serviço da AWS, aumentando a segurança ao limitar o escopo das credenciais. Você pode definir um prazo de validade para a API de longo prazo. Para gerar chaves de API de longo prazo, você pode usar o console do IAM ou o console específico do serviço, a AWS CLI ou AWS API.
-
Chaves de API de curto prazo: uma chave de API de curto prazo é uma URL pré-assinada que usa o AWS Signature versão 4. As chaves de API de curto prazo têm as mesmas permissões e validade que as credenciais da identidade que gera a chave de API e são válidas por até 12 horas ou pelo tempo restante da sua sessão do console, o que for menor. Você pode usar o console do Amazon Bedrock/Claude Platform na AWS, Python e pacotes de outras linguagens de programação para gerar chaves de API de curto prazo. Para obter mais informações, consulte Gerar chaves de API do Amazon Bedrock para facilitar o acesso à API do Amazon Bedrock no Guia do usuário do Amazon Bedrock e Autenticação no Guia do usuário do Claude Platform na AWS.
nota
As chaves de API de longo prazo têm um risco de segurança maior em comparação com as chaves de API de curto prazo. Recomendamos o uso de chaves de API de curto prazo ou de credenciais de segurança temporárias quando possível. Se você usar chaves de API de longo prazo, recomendamos que implemente práticas regulares de troca das chaves.
Serviços que oferecem suporte a chaves de API
A tabela a seguir lista os serviços da AWS que oferecem suporte às chaves de API e o tipo de chave de API compatível com cada serviço.
| # | Serviço | Chaves de API de longo prazo | Chaves de API de curto prazo | Política gerenciada anexada automaticamente | Documentação específica do serviço |
|---|---|---|---|---|---|
| 1 | Amazon Bedrock | Sim | Sim | AmazonBedrockLimitedAccess | Usar uma chave de API do Amazon Bedrock |
| 2 | Claude Platform na AWS | Sim | Sim | AnthropicInferenceAccess | autenticação do |
| 3 | Amazon CloudWatch | Sim | N/D | CloudWatchAPIKeyAccess | Configurar autenticação do token do portador para Metrics |
| 4 | Amazon CloudWatch Logs | Sim | N/D | CloudWatchLogsAPIKeyAccess | Configurar autenticação do token do portador |
Quando você gera uma chave de API de longo prazo para um serviço, a política gerenciada da AWS correspondente é automaticamente anexada ao usuário do IAM, concedendo acesso às principais operações do serviço. Se você precisar de acesso adicional, poderá modificar as permissões do usuário do IAM. Para obter mais informações sobre modificação de permissões, consulte Adicionar e remover permissões de identidade do IAM.
Para saber mais sobre as chaves de API para serviços específicos, consulte os links da documentação específica do serviço na tabela acima.
Pré-requisitos para chaves de API de longo prazo
Antes de gerar uma chave de API de longo prazo no console do IAM, você deve atender aos seguintes pré-requisitos:
-
Um usuário do IAM a ser associado à chave de API de longo prazo. Para obter instruções para criar um usuário do IAM, consulte Criar um usuário do IAM na Conta da AWS.
-
Você deve ter as seguintes permissões da política do IAM para gerenciar as credenciais específicas do serviço de um usuário do IAM. O exemplo de política concede permissão para criar, listar, atualizar, excluir e redefinir credenciais específicas do serviço. Substitua o valor
no elemento Recurso pelo nome do usuário do IAM para o qual você vai gerar as chaves de API de longo prazo:username
Como gerar uma chave de API de longo prazo (console)
Para gerar uma chave de API de longo prazo para um serviço específico no console do IAM
Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação do console do IAM, escolha Usuários.
-
Selecione o usuário do IAM para o qual você deseja gerar as chaves de API de longo prazo.
-
Selecione a guia Credenciais de segurança.
-
Na seção Chaves de API , escolha Gerar chave de API.
-
Na lista suspensa de serviços da AWS, escolha o serviço no qual você deseja que a chave de API seja autenticada.
-
Em Validade da chave de API, faça uma das seguintes opções:
-
Escolha a duração da validade da chave de API de 1, 5, 30, 90 ou 365 dias.
-
Escolha Duração personalizada para especificar uma data de validade personalizada para a chave de API.
-
Escolha Nunca expira (não recomendado).
-
-
Escolha Gerar chave de API.
-
Copie ou baixe a chave de API. Esta é a única vez que você pode visualizar o valor da chave de API.
Importante
Armazene a chave de API em segurança. Após fechar a caixa de diálogo, não será mais possível recuperar a chave de API. Se você perder ou esquecer sua chave de API, não poderá recuperá-la. Em vez disso, gere uma nova chave de API e desative a chave antiga.
Como gerar uma chave de API de longo prazo (AWS CLI)
Para gerar uma chave de API de longo prazo usando a AWS CLI, siga as seguintes etapas:
-
Crie um usuário do IAM que será usado com o servido via comando create-user
: aws iam create-user \ --user-nameAPIKeyUser_1 -
Anexe a política gerenciada pela AWS ao usuário do IAM usando o comando attach-user-policy
. Para Amazon Bedrock:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccessPara Claude Platform na AWS:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/AnthropicInferenceAccessPara Amazon CloudWatch:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/CloudWatchAPIKeyAccessPara Amazon CloudWatch Logs:
aws iam attach-user-policy --user-nameAPIKeyUser_1\ --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess -
Gere a chave de API de longo prazo usando o comando create-service-specific-credential
. Para Amazon Bedrock:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name bedrock.amazonaws.com \ --credential-age-days30Para Claude Platform na AWS:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name aws-external-anthropic.amazonaws.com \ --credential-age-days30Para Amazon CloudWatch:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name cloudwatch.amazonaws.com \ --credential-age-days30Para Amazon CloudWatch Logs:
aws iam create-service-specific-credential \ --user-nameAPIKeyUser_1\ --service-name logs.amazonaws.com \ --credential-age-days30nota
O parâmetro
--credential-age-daysé opcional. Você pode especificar um valor entre 1 e 36.600 dias. Se você omitir esse parâmetro, a chave de API não expirará.
O valor ServiceApiKeyValue exibido na resposta é a chave de API de longo prazo do respectivo serviço. Armazene o valor ServiceApiKeyValue em segurança, pois não será possível recuperá-lo mais tarde.
Listar chaves de API de longo prazo (AWS CLI)
Para listar os metadados das chaves de API de longo prazo para um usuário específico, use o comando list-service-specific-credentials--user-name:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --user-nameAPIKeyUser_1
nota
Substitua bedrock.amazonaws.com pelo nome do serviço apropriado (por exemplo, logs.amazonaws.com para Amazon CloudWatch Logs ou aws-external-anthropic.amazonaws.com para Claude Platform na AWS).
Para listar todos os metadados das chaves de API de longo prazo na conta, use o comando list-service-specific-credentials--all-users:
aws iam list-service-specific-credentials \ --service-name bedrock.amazonaws.com \ --all-users
Atualizar o status de uma chave de API de longo prazo (AWS CLI)
Para atualizar o status de uma chave de API de longo prazo, use o comando update-service-specific-credential
aws iam update-service-specific-credential \ --user-name "APIKeyUser_1" \ --service-specific-credential-id "ACCA1234EXAMPLE1234" \ --statusInactive|Active
Como gerar uma chave de API de longo prazo (API da AWS)
Você pode usar as seguintes operações de API do IAM para gerenciar as chaves de API de longo prazo de qualquer serviço compatível:
Chaves de API de curto prazo (serviços específicos)
No momento, as chaves de API de curto prazo são aceitas somente por serviços específicos.
Para obter informações sobre como gerar e usar chaves de API de curto prazo com o Amazon Bedrock, consulte Gerar uma chave de API no Guia do usuário do Amazon Bedrock.
Para obter informações sobre como gerar e usar chaves de API de curto prazo para Claude Platform na AWS, consulte Autenticação no Guia do usuário do Claude Platform na AWS.
Informações específicas do serviço
-
Para obter mais informações sobre como usar uma chave do Amazon Bedrock, consulte Usar uma chave de API do Amazon Bedrock no Guia do usuário do Amazon Bedrock.
-
Para obter mais informações sobre o uso de chaves de API com o Claude Platform na AWS, consulte Autenticação no Guia do usuário do Claude Platform na AWS.
-
Para obter mais informações sobre o uso de chaves de API com o Amazon CloudWatch, consulte Configurar a autenticação do token do portador para Metrics no Guia do usuário do Amazon CloudWatch.
-
Para obter mais informações sobre o uso de chaves de API com o Amazon CloudWatch Logs, consulte Configurar a autenticação do token do portador no Guia do usuário do Amazon CloudWatch Logs.