View a markdown version of this page

Chaves de API para os serviços da AWS - AWS Identity and Access Management
Serviços com suportePré-requisitos para chaves de API de longo prazoComo gerar uma chave de API de longo prazo (console)Como gerar uma chave de API de longo prazo (AWS CLI)Como gerar uma chave de API de longo prazo (API da AWS)Chaves de API de curto prazo (Amazon Bedrock)Informações específicas do serviço

Chaves de API para os serviços da AWS

É possível acessar os serviços da AWS através do Console de gerenciamento da AWS de forma programática usando a API AWS CLI ou AWS. Ao fazer solicitações programáticas para serviços como Amazon Bedrock e Amazon CloudWatch Logs, você pode se autenticar usando credenciais do IAM (por exemplo, credenciais de segurança temporárias ou chaves de acesso de longo prazo) ou chaves de API. Há dois tipos de chaves de API:

  • Chaves de API de longo prazo: as chaves de API de longo prazo são associadas a um usuário do IAM e são geradas usando as credenciais específicas do serviço do IAM. Essas credenciais são projetadas para uso com apenas um único serviço da AWS, aumentando a segurança ao limitar o escopo das credenciais. Você pode definir um prazo de validade para a chave de API de longo prazo. Você pode usar o console do IAM ou o console específico do serviço (por exemplo, o console do Amazon Bedrock ou do CloudWatch Logs), a AWS CLI ou a API AWS para gerar chaves de API de longo prazo.

  • Chaves de API de curto prazo (compatível apenas com Amazon Bedrock): uma chave de API de curto prazo é um URL pré-assinado que usa o AWS Signature versão 4. As chaves de API de curto prazo têm as mesmas permissões e validade que as credenciais da identidade que gera a chave de API e são válidas por até 12 horas ou pelo tempo restante da sua sessão do console, o que for menor. Você pode usar o console do Amazon Bedrock, o pacote do Python aws-bedrock-token-generator e pacotes de outras linguagens de programação para gerar chaves de API de curto prazo. Para obter mais informações, consulte Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API no Amazon Bedrock User Guide.

nota

As chaves de API de longo prazo têm um risco de segurança maior em comparação com as chaves de API de curto prazo. Recomendamos o uso de chaves de API de curto prazo ou de credenciais de segurança temporárias quando possível. Se você usar chaves de API de longo prazo, recomendamos que implemente práticas regulares de troca das chaves.

Serviços com suporte

A tabela a seguir lista os serviços da AWS que oferecem suporte às chaves de API e o tipo de chave de API compatível com cada serviço.

# Serviço Chaves de API de longo prazo Chaves de API de curto prazo Política gerenciada anexada automaticamente
1 Amazon Bedrock Sim Sim AmazonBedrockLimitedAccess
2 Amazon CloudWatch Logs Sim N/D CloudWatchLogsAPIKeyAccess

Quando você gera uma chave de API de longo prazo para um serviço, a política gerenciada da AWS correspondente é automaticamente anexada ao usuário do IAM, concedendo acesso às principais operações do serviço. Se você precisar de acesso adicional, poderá modificar as permissões do usuário do IAM. Para obter mais informações sobre modificação de permissões, consulte Adicionar e remover permissões de identidade do IAM. Para obter mais informações sobre como usar uma chave do Amazon Bedrock, consulte Usar uma chave de API do Amazon Bedrock no Guia do usuário do Amazon Bedrock. Para obter mais informações sobre como usar o token de portador para o Amazon CloudWatch Logs, consulte Bearer token authentication no Guia do usuário do CloudWatch Logs.

Pré-requisitos para chaves de API de longo prazo

Antes de gerar uma chave de API de longo prazo no console do IAM, você deve atender aos seguintes pré-requisitos:

  • Um usuário do IAM a ser associado à chave de API de longo prazo. Para obter instruções para criar um usuário do IAM, consulte Criar um usuário do IAM na Conta da AWS.

  • Você deve ter as seguintes permissões da política do IAM para gerenciar as credenciais específicas do serviço de um usuário do IAM. O exemplo de política concede permissão para criar, listar, atualizar, excluir e redefinir credenciais específicas do serviço. Substitua o valor username no elemento Recurso pelo nome do usuário do IAM para o qual você vai gerar as chaves de API de longo prazo:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ManageBedrockServiceSpecificCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:UpdateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ResetServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/username"
        }
    ]
}

Como gerar uma chave de API de longo prazo (console)

Para gerar uma chave de API de longo prazo para um serviço específico no console do IAM

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Usuários.

  3. Selecione o usuário do IAM para o qual você deseja gerar as chaves de API de longo prazo.

  4. Selecione a guia Credenciais de segurança.

  5. Na seção Chaves de API , escolha Gerar chave de API.

  6. Na lista suspensa de serviços da AWS, escolha o serviço no qual você deseja que a chave de API seja autenticada.

  7. Em Validade da chave de API, faça uma das seguintes opções:

    • Escolha a duração da validade da chave de API de 1, 5, 30, 90 ou 365 dias.

    • Escolha Duração personalizada para especificar uma data de validade personalizada para a chave de API.

    • Escolha Nunca expira (não recomendado).

  8. Escolha Gerar chave de API.

  9. Copie ou baixe a chave de API. Esta é a única vez que você pode visualizar o valor da chave de API.

    Importante

    Armazene a chave de API em segurança. Após fechar a caixa de diálogo, não será mais possível recuperar a chave de API. Se você perder ou esquecer sua chave de API, não poderá recuperá-la. Em vez disso, gere uma nova chave de API e desative a chave antiga.

Como gerar uma chave de API de longo prazo (AWS CLI)

Para gerar uma chave de API de longo prazo usando a AWS CLI, siga as seguintes etapas:

  1. Crie um usuário do IAM que será usado no Amazon Bedrock ou no Amazon CloudWatch Logs usando o comando create-user:

    aws iam create-user \
    --user-name APIKeyUser_1

  2. Anexe a política gerenciada pela AWS ao usuário do IAM usando o comando attach-user-policy.

    Para Amazon Bedrock:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess

    Para Amazon CloudWatch Logs:

    aws iam attach-user-policy --user-name APIKeyUser_1 \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchLogsAPIKeyAccess

  3. Gere a chave de API de longo prazo usando o comando create-service-specific-credential.

    Para Amazon Bedrock:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name bedrock.amazonaws.com \
    --credential-age-days 30

    Para Amazon CloudWatch Logs:

    aws iam create-service-specific-credential \
    --user-name APIKeyUser_1 \
    --service-name logs.amazonaws.com \
    --credential-age-days 30
    nota

    O parâmetro --credential-age-days é opcional. Você pode especificar um valor entre 1 e 36.600 dias. Se você omitir esse parâmetro, a chave de API não expirará.

O valor ServiceApiKeyValue exibido na resposta é a chave de API de longo prazo do respectivo serviço. Armazene o valor ServiceApiKeyValue em segurança, pois não será possível recuperá-lo mais tarde.

Listar chaves de API de longo prazo (AWS CLI)

Para listar os metadados das chaves de API de longo prazo para um usuário específico, use o comando list-service-specific-credentials com o parâmetro --user-name:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name APIKeyUser_1
nota

Substitua bedrock.amazonaws.com pelo nome do serviço apropriado (por exemplo, logs.amazonaws.com para Amazon CloudWatch Logs).

Para listar todos os metadados das chaves de API de longo prazo na conta, use o comando list-service-specific-credentials com o parâmetro --all-users:

aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users

Atualizar o status de uma chave de API de longo prazo (AWS CLI)

Para atualizar o status de uma chave de API de longo prazo, use o comando update-service-specific-credential:

aws iam update-service-specific-credential \
    --user-name "APIKeyUser_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active

Como gerar uma chave de API de longo prazo (API da AWS)

Você pode usar as seguintes operações de API do IAM para gerenciar as chaves de API de longo prazo de qualquer serviço compatível:

Chaves de API de curto prazo (Amazon Bedrock)

No momento, as chaves de API de curto prazo são suportadas apenas pelo Amazon Bedrock. Para obter informações sobre como gerar e usar chaves de API de curto prazo, consulte Gerar uma chave de API no Guia do usuário do Amazon Bedrock.

Informações específicas do serviço