本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
API 入门
本节介绍如何设置您的环境以通过 AWS API 发出 Amazon Bedrock 请求。 AWS 提供以下工具来简化您的体验:
-
AWS Command Line Interface (AWS CLI)
-
AWS SDKs
-
亚马逊 SageMaker AI 笔记本电脑
要开始使用 API,您需要凭据才能授予编程访问权限。如果以下部分与您有关,请将其展开并按照说明进行操作。否则,请继续阅读其余部分。
如果您没有 AWS 账户,请完成以下步骤来创建一个。
要注册 AWS 账户
打开https://portal.aws.amazon.com/billing/注册。
按照屏幕上的说明操作。
在注册时,将接到电话,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/
保护你的 AWS 账户根用户
-
选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console
在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in as the root user。
-
为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I A M 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
要安装 AWS CLI,请按照安装或更新到最新版本中的步骤进行操作 AWS CLI。
要安装 S AWS DK,请在 “构建工具” 中选择与您要使用的编程语言相对应的
-
对服务请求进行加密签名
-
重试请求
-
处理错误响应
获取授予编程访问权限的凭证
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS Management Console。授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
哪位委托人需要程序访问权限? | 目的 | 方式 |
---|---|---|
IAM 用户 | 限制签署 AWS CLI、 AWS SDKs或编程请求的长期证书的持续时间 AWS APIs。 |
按照您希望使用的界面的说明进行操作。
|
IAM 角色 | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将临时证书与 AWS 资源配合使用中的说明进行操作。 |
人力身份 (在 IAM Identity Center 中管理的用户) |
使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 |
按照您希望使用的界面的说明进行操作。
|
如果您决定对 IAM 用户使用访问密钥, AWS 建议您通过包含限制性内联策略来为 IAM 用户设置过期时间。
重要
请注意以下警告:
-
请勿使用您账户的根凭证访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。
-
请勿在应用程序文件中按字面输入访问密钥或凭证信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。
-
不得在项目区域中放入包含凭证的文件。
-
安全管理您的访问密钥。请不要向未经授权方提供访问密钥,即便是为了帮助找到您的账户标识符也不行。如果您这样做,可能会向某人提供对您的账户的永久访问权限。
-
请注意,存储在共享凭证文件中的所有 AWS 凭据都以纯文本形式存储。
有关更多详细信息,请参阅中的管理 AWS 访问密钥的最佳实践 AWS 一般参考。
创建 IAM 用户
-
在 AWS Management Console 主页上,选择 IAM 服务或导航到 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户,然后选择创建用户。
-
按照 IAM 控制台中的指导设置无权限的编程用户(无权访问 AWS Management Console)。
将用户访问权限限制在有限的时间范围内
您创建的任何 IAM 用户访问密钥都是长期证书。为了确保这些凭证在处理不当时过期,您可以创建一个内联策略,指定密钥将不再有效的日期,从而使这些证书具有时间限制。
-
打开您刚刚创建的 IAM 用户。在 “权限” 选项卡中,选择 “添加权限”,然后选择 “创建内联策略”。
-
在 JSON 编辑器中,指定以下权限。要使用此政策,请将示例策略中的
aws:CurrentTime
时间戳值替换为您自己的结束日期。注意
IAM 建议您将访问密钥限制在 12 小时以内。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "
2024-01-01T00:00:000
" } } } ] }
创建访问密钥
-
在用户详细信息页面上,选择安全证书选项卡。在访问密钥部分,选择创建访问密钥。
-
表明您计划将这些访问密钥用作 “其他”,然后选择 “创建访问密钥”。
-
在 Retrieve access keys(检索访问密钥)页面上,选择 Show(显示)来显示用户的秘密访问密钥的值。您可以复制凭据或下载.csv 文件。
重要
当您不再需要此 IAM 用户时,我们建议您将其移除并遵循AWS 安全最佳实践,我们建议您要求您的人类用户在访问时通过 AWS IAM Identity Center 使用临时证书 AWS。
将 Amazon Bedrock 权限附加到用户或角色
设置编程访问凭证后,您需要为用户或 IAM 角色配置权限,才能访问一组 Amazon Bedrock 相关操作。要设置这些权限,请执行以下操作:
-
在 AWS Management Console 主页上,选择 IAM 服务或导航到 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
选择 “用户” 或 “角色”,然后选择您的用户或角色。
-
在 “权限” 选项卡中,选择 “添加权限”,然后选择 “添加 AWS 托管策略”。选择名为 AmazonBedrockFullAccess AWS 的托管式策略。
-
要允许用户或角色订阅模型,请选择创建内联策略,然后在 JSON 编辑器中指定以下权限:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "MarketplaceBedrock", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions", "aws-marketplace:Unsubscribe", "aws-marketplace:Subscribe" ], "Resource": "*" } ] }
申请访问亚马逊 Bedrock 型号
按照请求访问亚马逊 Bedrock 基础模型中的步骤,通过亚马逊 Bedrock 控制台请求访问亚马逊 Bedrock 模型。
尝试对 Amazon Bedrock 进行 API 调用
满足所有先决条件后,请选择以下主题之一来测试如何使用 Amazon Bedrock 模型发出模型调用请求: