API 入门 - Amazon Bedrock
获取授予编程访问权限的凭证将 Amazon Bedrock 权限附加到用户或角色申请访问亚马逊 Bedrock 型号尝试对 Amazon Bedrock 进行 API 调用

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

API 入门

本节介绍如何设置您的环境以通过 AWS API 发出 Amazon Bedrock 请求。 AWS 提供以下工具来简化您的体验:

  • AWS Command Line Interface (AWS CLI)

  • AWS SDKs

  • 亚马逊 SageMaker AI 笔记本电脑

要开始使用 API,您需要凭据才能授予编程访问权限。如果以下部分与您有关,请将其展开并按照说明进行操作。否则,请继续阅读其余部分。

如果您没有 AWS 账户,请完成以下步骤来创建一个。

要注册 AWS 账户

  1. 打开https://portal.aws.amazon.com/billing/注册。

  2. 按照屏幕上的说明操作。

    在注册时,将接到电话,要求使用电话键盘输入一个验证码。

    当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/并选择 “我的账户”,查看您当前的账户活动并管理您的账户

保护你的 AWS 账户根用户

  1. 选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console在下一页上,输入您的密码。

    要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in as the root user

  2. 为您的根用户启用多重身份验证(MFA)。

    有关说明,请参阅 I A M 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)

要安装 AWS CLI,请按照安装或更新到最新版本中的步骤进行操作 AWS CLI。

要安装 S AWS DK,请在 “构建工具” 中选择与您要使用的编程语言相对应的选项卡 AWS。 AWS 软件开发套件 (SDKs) 可用于许多流行的编程语言。每个 SDK 都提供一个 API、代码示例和文档,便于开发人员使用自己的首选语言构建应用程序。 SDKs 自动为您执行有用的任务,例如:

  • 对服务请求进行加密签名

  • 重试请求

  • 处理错误响应

获取授予编程访问权限的凭证

如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS Management Console。授予编程访问权限的方式取决于正在访问的用户类型 AWS。

要向用户授予编程式访问权限,请选择以下选项之一。

哪位委托人需要程序访问权限? 目的 方式
IAM 用户 限制签署 AWS CLI、 AWS SDKs或编程请求的长期证书的持续时间 AWS APIs。

按照您希望使用的界面的说明进行操作。
IAM 角色 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 按照 IAM 用户指南中的将临时证书与 AWS 资源配合使用中的说明进行操作。

人力身份

(在 IAM Identity Center 中管理的用户)

 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。

按照您希望使用的界面的说明进行操作。

如果您决定对 IAM 用户使用访问密钥, AWS 建议您通过包含限制性内联策略来为 IAM 用户设置过期时间。

重要

请注意以下警告:

  • 请勿使用您账户的根凭证访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。

  • 请勿在应用程序文件中按字面输入访问密钥或凭证信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。

  • 不得在项目区域中放入包含凭证的文件。

  • 安全管理您的访问密钥。请不要向未经授权方提供访问密钥,即便是为了帮助找到您的账户标识符也不行。如果您这样做,可能会向某人提供对您的账户的永久访问权限。

  • 请注意,存储在共享凭证文件中的所有 AWS 凭据都以纯文本形式存储。

有关更多详细信息,请参阅中的管理 AWS 访问密钥的最佳实践 AWS 一般参考。

创建 IAM 用户

  1. 在 AWS Management Console 主页上,选择 IAM 服务或导航到 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户,然后选择创建用户

  3. 按照 IAM 控制台中的指导设置无权限的编程用户(无权访问 AWS Management Console)。

将用户访问权限限制在有限的时间范围内

您创建的任何 IAM 用户访问密钥都是长期证书。为了确保这些凭证在处理不当时过期,您可以创建一个内联策略,指定密钥将不再有效的日期,从而使这些证书具有时间限制。

  1. 打开您刚刚创建的 IAM 用户。在 “权限” 选项卡中,选择 “添加权限”,然后选择 “创建内联策略”。

  2. 在 JSON 编辑器中,指定以下权限。要使用此政策,请将示例策略中的aws:CurrentTime时间戳值替换为您自己的结束日期。

    注意

    IAM 建议您将访问密钥限制在 12 小时以内。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "2024-01-01T00:00:000"
        }
      }
    }
  ]
}
创建访问密钥

  1. 用户详细信息页面上,选择安全证书选项卡。在访问密钥部分,选择创建访问密钥

  2. 表明您计划将这些访问密钥用作 “其他”,然后选择 “创建访问密钥”。

  3. Retrieve access keys(检索访问密钥)页面上,选择 Show(显示)来显示用户的秘密访问密钥的值。您可以复制凭据或下载.csv 文件。

重要

当您不再需要此 IAM 用户时,我们建议您将其移除并遵循AWS 安全最佳实践,我们建议您要求您的人类用户在访问时通过 AWS IAM Identity Center 使用临时证书 AWS。

将 Amazon Bedrock 权限附加到用户或角色

设置编程访问凭证后,您需要为用户或 IAM 角色配置权限,才能访问一组 Amazon Bedrock 相关操作。要设置这些权限,请执行以下操作:

  1. 在 AWS Management Console 主页上,选择 IAM 服务或导航到 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 选择 “用户” 或 “角色”,然后选择您的用户或角色。

  3. 在 “权限” 选项卡中,选择 “添加权限”,然后选择 “添加 AWS 托管策略”。选择名为 AmazonBedrockFullAccess AWS 的托管式策略。

  4. 要允许用户或角色订阅模型,请选择创建内联策略,然后在 JSON 编辑器中指定以下权限:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "MarketplaceBedrock",
          "Effect": "Allow",
          "Action": [
              "aws-marketplace:ViewSubscriptions",
              "aws-marketplace:Unsubscribe",
              "aws-marketplace:Subscribe"
          ],
          "Resource": "*"
      }
  ]
}

申请访问亚马逊 Bedrock 型号

按照请求访问亚马逊 Bedrock 基础模型中的步骤,通过亚马逊 Bedrock 控制台请求访问亚马逊 Bedrock 模型。

尝试对 Amazon Bedrock 进行 API 调用

满足所有先决条件后,请选择以下主题之一来测试如何使用 Amazon Bedrock 模型发出模型调用请求:

主题