本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开始使用 API
本节介绍如何设置您的环境以通过 AWS API 发出 Amazon Bedrock 请求。 AWS 提供以下工具来简化您的体验:
+ AWS Command Line Interface (AWS CLI)
+ AWS SDKs
+ 亚马逊 SageMaker AI 笔记本电脑
要开始使用 API,您需要获取凭证来授予编程访问权限。如果以下部分与您有关,请展开并按照说明操作。否则,请继续完成剩余部分。
## 我是新手 AWS
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
## 我需要安装 AWS CLI 或 S AWS DK
要安装 AWS CLI,请按照[安装或更新到最新版本中的步骤进行](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)操作 AWS CLI。
要安装 S AWS DK,请在 “[构建工具” 中选择与您要使用的编程语言相对应的](https://aws.amazon.com/developer/tools/)选项卡 AWS。 AWS 软件开发套件 (SDKs) 可用于许多流行的编程语言。每个 SDK 都提供一个 API、代码示例和文档,便于开发人员使用自己的首选语言构建应用程序。 SDKs 自动为您执行有用的任务,例如:
+ 对服务请求进行加密签名
+ 重试请求
+ 处理错误响应
## 获取凭证来授予编程访问权限
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS 管理控制台。 AWS 根据您的安全考虑,提供了多种选项。
**注意**
有关生成可用于快速访问 Amazon Bedrock API 的 API 密钥的 step-by-step指南,请参阅[开始使用 Amazon Bedrock API 密钥:生成 30 天密钥并发出第一个 API 调用](getting-started-api-keys.md)。
如有更高的安全性要求,请继续阅读本部分。
授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
****
| 哪个主体需要编程访问权限? | 目标 | 方式 |
| --- | --- | --- |
| IAM 用户 | 限制签署 AWS CLI、 AWS SDKs或编程请求的长期证书的持续时间 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/getting-started-api.html) |
| IAM 角色 | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将[临时证书与 AWS 资源配合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 |
| 人力身份 (在 IAM Identity Center 中管理的用户) | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/bedrock/latest/userguide/getting-started-api.html) |
## 如何为 IAM 用户创建访问密钥
如果您决定对 IAM 用户使用访问密钥, AWS 建议您通过包含限制性内联策略来为 IAM 用户设置过期时间。
**重要**
请注意以下警告:
**请勿**使用您账户的根凭证访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。
**不得**在应用程序文件中按字面输入访问密钥或凭证信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。
**不得**在项目区域中放入包含凭证的文件。
安全管理您的访问密钥。请不要向未经授权方提供访问密钥,即便是为了帮助[找到您的账户标识符](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)也不行。通过这样做,您可以授予他人永久访问您的帐户的权限。
请注意,存储在共享凭证文件中的所有 AWS 凭据都以纯文本形式存储。
有关更多详细信息,请参阅中的[管理 AWS 访问密钥的最佳实践](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) AWS 一般参考。
**创建 IAM 用户**
1. 在 AWS 管理控制台 主页上,选择 IAM 服务或导航到 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**用户**,然后选择**创建用户**。
1. 按照 IAM 控制台中的指导设置无权限的编程用户(无权访问 AWS 管理控制台)。
**将用户访问权限限制在有限的时间段内**
您创建的任何 IAM 用户访问密钥都属于长期凭证。为了确保这些凭证在处理不当的情况下会过期,您可以创建内联策略来指定密钥失效的日期,从而限制这些凭证的使用时间。
1. 打开刚创建的 IAM 用户。在**权限**选项卡中,选择**添加权限**,然后选择**创建内联策略**。
1. 在 JSON 编辑器中,指定以下权限。要使用此策略,请将示例策略中的 `aws:CurrentTime` 时间戳值替换为自己的结束日期。
**注意**
IAM 建议将访问密钥限制在 12 小时以内。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2024-01-01T00:00:000"
}
}
}
]
}
```
------
**创建访问密钥**
1. 在**用户详细信息**页面上,选择**安全凭证**选项卡。在**访问密钥**部分,选择**创建访问密钥**。
1. 表明您计划将这些访问密钥用作**其他**,然后选择**创建访问密钥**。
1. 在 **Retrieve access keys**(检索访问密钥)页面上,选择 **Show**(显示)来显示用户的秘密访问密钥的值。您可以复制凭证或下载 .csv 文件。
**重要**
当您不再需要此 IAM 用户时,我们建议您将其移除并遵循[AWS 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials),我们建议您要求您的人类用户在访问时通过 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) 使用临时证书 AWS。
## 将 Amazon Bedrock 权限附加到用户或角色
在设置好编程访问凭证后,您需要为用户或 IAM 角色配置权限,以便其访问一组与 Amazon Bedrock 相关的操作。要设置这些权限,请执行以下操作:
1. 在 AWS 管理控制台 主页上,选择 IAM 服务或导航到 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 选择**用户**或**角色**,然后选择您的用户或角色。
1. 在 “**权限**” 选项卡中,选择 “**添加权限**”,然后选择 “**添加 AWS 托管策略**”。选择名为 [AmazonBedrockFullAccess]() AWS 的托管式策略。
1. 要允许用户或角色订阅模型,请选择**创建内联策略**,然后在 JSON 编辑器中指定以下权限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MarketplaceBedrock",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Unsubscribe",
"aws-marketplace:Subscribe"
],
"Resource": "*"
}
]
}
```
------
## 尝试对 Amazon Bedrock 进行 API 调用
在完成所有前提条件后,选择以下主题之一来测试使用 Amazon Bedrock 模型发出模型调用请求:
**Topics**
+ [获取凭证来授予编程访问权限](#gs-grant-program-access)
+ [将 Amazon Bedrock 权限附加到用户或角色](#gs-api-br-permissions)
+ [尝试对 Amazon Bedrock 进行 API 调用](#gs-try-bedrock)
+ [开始使用 Amazon Bedrock API 密钥:生成 30 天密钥并发出第一个 API 调用](getting-started-api-keys.md)
+ [使用以下命令运行 Amazon Bedrock API 请求示例 AWS Command Line Interface](getting-started-api-ex-cli.md)
+ [通过适用于 Python 的 AWS 软件开发工具包 (Boto3) 运行示例 Amazon Bedrock API 请求](getting-started-api-ex-python.md)
+ [使用亚马逊 AI 笔记本运行 Ama SageMaker zon Bedrock API 请求示例](getting-started-api-ex-sm.md)