Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Hauptzuweisung
Amazon Bedrock erfasst automatisch die IAM-Prinzidentität (IAM-Benutzer und IAM-Rollen) für jede Inferenzanfrage. Sie können Ihren Principals optional Tags für zusätzliche Kostendimensionen wie Team, Abteilung oder Kostenstelle hinzufügen. Auf diese Weise erhalten Sie einen Überblick über die Kosten pro Benutzer und pro Rolle, ohne dass Codeänderungen oder zusätzliche Ressourcen erforderlich sind.
Die IAM-Hauptzuweisung funktioniert derzeit mit Amazon bedrock-runtime Bedrock-APIs (InvokeModel API/ Converse API/ Chat Completions API). Support für bedrock-mantle APIs ist in Kürze verfügbar.
Funktionsweise
Wenn ein IAM-Benutzer oder eine IAM-Rolle eine Inferenzanfrage stellt, zeichnet Amazon Bedrock die Identität des Anrufers auf. Diese Informationen fließen in AWS Cost Explorer und AWS Cost and Usage Reports (CUR 2.0) ein, wo Sie die Kosten nach Identität filtern und gruppieren können. Es sind keine Änderungen an Ihren Amazon Bedrock API-Aufrufen erforderlich. Die Zuordnung basiert darauf, wer den Aufruf getätigt hat, nicht auf API-Parametern.
Optional können Sie Ihren IAM-Prinzipalen Tags hinzufügen, um Ihren Abrechnungsdaten organisatorische Dimensionen (Team, Abteilung, Kostenstelle) hinzuzufügen. Für die Zuordnung auf Identitätsebene sind keine Tags erforderlich. Die Identität des Anrufers wird immer erfasst.
Anmerkung
Die IAM-Prinzipalzuweisung liefert aggregierte Kosten für Cost Explorer und AWS CUR 2.0. Die beste Verteilung erfolgt pro Nutzungstyp und Tag, die Zuordnung erfolgt nach Identität oder Tag — es fallen keine Kosten pro Anfrage an. Einzelheiten zu den einzelnen Eingabeaufforderungen finden Sie unter Per-request Tagging von Metadaten und. Überwachen Sie den Modellaufruf mithilfe von CloudWatch Logs und Amazon S3
Haupttypen
Amazon Bedrock erfasst Identität von jedem IAM-Prinzipaltyp. Die beiden häufigsten sind IAM-Benutzer und IAM-Rollen.
IAM-Benutzer rufen Amazon Bedrock direkt mit langlebigen Zugriffsschlüsseln auf. Der IAM-Benutzername und alle dem Benutzer zugewiesenen Tags werden in der Abrechnung aufgezeichnet. AWS
IAM-Rollen werden von Benutzern, Anwendungen oder föderierten Identitäten über übernommen. AWS STS Wenn ein Principal anruftsts:AssumeRole, enthalten die daraus resultierenden temporären Anmeldeinformationen die Identität der Rolle. Tags können aus zwei Quellen stammen:
-
Haupt-Tags — Tags, die direkt an die IAM-Rolle angehängt sind. Diese sind statisch und gelten für jede Sitzung.
-
Sitzungs-Tags — Tags, die zum Zeitpunkt der Rollenübernahme über übergeben wurden AWS STS. Diese sind dynamisch und können je nach Sitzung variieren, was sie nützlich macht, um benutzerspezifische Attribute wie E-Mail, Team oder Kostenstelle an eine gemeinsame Rolle weiterzugeben.
Wichtig
Wenn ein Sitzungs-Tag und ein Haupt-Tag denselben Schlüssel verwenden, hat der Sitzungs-Tag-Wert Vorrang vor dem Haupt-Tag-Wert für diese Sitzung. Weitere Informationen finden Sie unter Sitzungs-Tags übergeben. AWS STS
Die meisten Organisationen verwenden Rollen anstelle von IAM-Benutzern für den Zugriff auf Amazon Bedrock. Wenn sich mehrere Benutzer dieselbe Rolle teilen, unterscheiden Sie sie anhand von Sitzungs-Tags bei der Abrechnung.
Einrichtung der IAM-Prinzipalzuweisung
Identity-level Die Zuordnung (der IAM-Benutzer- oder Rollen-ARN des Anrufers) wird automatisch für jede Amazon Bedrock-Anfrage erfasst. Um Ihren Abrechnungsdaten organisatorische Dimensionen wie Team oder Kostenstelle hinzuzufügen, gehen Sie wie folgt vor, um Ihre Principals zu taggen und die Tags in Billing zu aktivieren. AWS
Schritt 1: Wenden Sie Tags auf Ihre IAM-Prinzipale an (optional)
Tags fließen auf zwei Arten in Ihre Rechnungsdaten ein:
Prinzipal-Tags werden direkt an IAM-Benutzer oder -Rollen angehängt. Wenn Sie sie einmal festlegen, gelten sie für jede Anfrage dieses Prinzipals. Dies ist ideal, um einzelne Entwickler (IAM-Benutzer) oder Anwendungen (IAM-Rollen) zu taggen. Sie können Prinzipal-Tags mithilfe der IAM-Konsole, der AWS CLI (aws iam tag-role,aws iam tag-user) oder der IAM-API (TagRole,TagUser) anwenden.
Weitere Informationen über IAM-Tagging und bewährte Methoden finden Sie unter Tags für IAM-Ressourcen.
Sitzungs-Tags werden dynamisch übergeben, wenn Sie eine IAM-Rolle über übernehmen. AWS STS Sie eignen sich ideal für Verbundbenutzer (Authentifizierung über einen Identitätsanbieter wie Okta, Auth0 oder Entra) und LLM-Gateways, die Anfragen im Namen mehrerer Benutzer oder Mandanten weiterleiten. Sitzungs-Tags können auf drei Arten übergeben werden:
-
AssumeRole—
--tagsBeim Anrufen übergebensts:AssumeRole(z. B. ein LLM-Gateway, das pro Benutzer oder Mandant eine Amazon Bedrock-Rolle übernimmt). -
AssumeRoleWithWebIdentity (OIDC) — Betten Sie Tags in den
https://aws.amazon.com/tagsAntrag in das von Ihrem Identitätsanbieter ausgestellte ID-Token ein. -
AssumeRoleWithSAML— Ordnen Sie
PrincipalTag:*Attribute der SAML-Assertion Ihres IdP zu.
Die Vertrauensrichtlinie der IAM-Rolle muss den Durchfluss von Sitzungs-Tags ermöglichensts:TagSession. Weitere Informationen finden Sie unter Sitzungs-Tags weitergeben in AWS STS.
Sowohl Principal- als auch Sitzungs-Tags werden in CUR 2.0 mit dem iamPrincipal/ Präfix angezeigt.
Schritt 2: Aktivieren der Kostenzuordnungs-Tags
Damit Ihre IAM-Prinzipal-Tags in AWS Cost Explorer und CUR 2.0 angezeigt werden, müssen Sie sie als Kostenzuordnungs-Tags aktivieren:
-
Öffnen Sie die AWS Billing and Cost Management-Konsole.
-
Wählen Sie im Navigationsbereich die Option Cost Allocation Tags (Kostenzuordnungs-Tags) aus.
-
Filtern Sie nach dem Typ IAM-Principal, um die Tags zu finden, die Sie Ihren Principals zugewiesen haben.
-
Wählen Sie die Tags aus und klicken Sie auf Aktivieren.
Anmerkung
Tags werden in AWS Billing erst angezeigt, nachdem der IAM-Principal mindestens einen Amazon Bedrock-API-Aufruf getätigt hat. Tags zur Kostenzuweisung gelten nicht rückwirkend — nur Kosten, die nach der Aktivierung entstanden sind, werden gekennzeichnet. Es kann bis zu 24 Stunden dauern, bis Tags nach der Aktivierung angezeigt werden.
Schritt 3: Erstellen Sie einen CUR 2.0-Datenexport mit IAM-level Daten
Um Kostenaufschlüsselungen auf Identitätsebene zu sehen, erstellen Sie einen CUR 2.0-Datenexport, der die Identität des Anrufers enthält:
-
Öffnen Sie die AWS Billing and Cost Management-Konsole.
-
Wählen Sie im Navigationsbereich Datenexporte aus.
-
Wählen Sie Erstellen, um einen neuen CUR 2.0-Export zu erstellen.
-
Konfigurieren Sie den Export und stellen Sie sicher, dass Sie die Option zum Einschließen der Anruferidentität (ARN) auswählen.
Wichtig
Wenn Sie vor der Aktivierung der IAM-Prinzipalzuweisung einen CUR 2.0-Datenexport erstellt haben, müssen Sie einen neuen Export erstellen und die Option Anruferidentität auswählen. Bestehende Exporte enthalten keine Identitätsdaten rückwirkend. Sie müssen außerdem sicherstellen, dass Ihre Kostenzuordnungs-Tags aktiviert sind (Schritt 2), damit Tags im Export angezeigt werden.
Weitere Informationen finden Sie unter Berichte erstellen im Benutzerhandbuch AWS für Kosten- und Nutzungsberichte.
Dimensionen kennzeichnen
Sie können jeden Tag-Schlüssel verwenden, der Ihre Organisationsstruktur repräsentiert. Zu den gängigen Dimensionen gehören:
| Tag-Schlüssel | Zweck | Beispielwerte |
|---|---|---|
User |
Individuelle Identität | jane@example.com, bob@example.com |
Team |
Ownership | PlatformEngineering, DataScience |
Department |
Organisatorische Einheit | Technik, Forschung, Marketing |
CostCenter |
Kartierung der Finanzen | CC-1001, CC-2002 |
Environment |
Phase des Lebenszyklus | Produktion, Entwicklung |
Sie können bis zu 50 Principal- oder Session-Tags pro IAM-Benutzer oder Rolle anwenden.
Verbundzugriffs- und Sitzungs-Tags
Für Organisationen, die Federated Identity Provider (AWS IAM Identity Center, Okta, Entra, Ping) verwenden, können Sie mit Sitzungs-Tags Benutzerattribute von Ihrem IdP an diese weitergeben. AWS Wenn ein Verbundbenutzer eine Rolle übernimmt AWS STS, kann der IdP Attribute wie Benutzer-E-Mail, Team und Kostenstelle als Sitzungs-Tags übergeben. Diese Tags werden zusammen mit der Amazon Bedrock-Anfrage erfasst und an AWS CUR 2.0 und AWS Cost Explorer weitergeleitet.
So funktioniert die Einrichtung:
-
Konfigurieren Sie Ihren IdP so, dass er Benutzerattribute (E-Mail, Team, Kostenstelle) als SAML-Attribute oder OIDC-Ansprüche enthält.
-
Ordnen Sie diese Attribute den AWS Sitzungs-Tags in der Vertrauensrichtlinie Ihrer IAM-Rolle zu, indem Sie
sts:TagSession -
Die Sitzungs-Tags sind dann nach der Aktivierung als Kostenzuweisungs-Tags in der AWS Abrechnung verfügbar.
Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.
Das folgende Python-Beispiel zeigt ein Gateway, das seine Amazon Bedrock-Rolle für einen bestimmten Benutzer annimmt und den Benutzer sowohl als a RoleSessionName (das identity.arn in Ihren Aufrufprotokollen erscheint) als auch als Sitzungs-Tags (die als Kostenzuordnungsdaten in Cost Explorer und CUR AWS 2.0 auftauchen) übergibt. Die Vertrauensrichtlinie der Rolle muss dies zulassen. sts:TagSession Zwischenspeichern Sie die zurückgegebenen Anmeldeinformationen für die Dauer der Sitzung, anstatt sie AssumeRole bei jeder Anfrage aufzurufen.
import boto3 sts = boto3.client("sts") creds = sts.assume_role( RoleArn="arn:aws:iam::123456789012:role/BedrockGatewayRole", RoleSessionName="alice", # appears in identity.arn Tags=[ {"Key": "user", "Value": "alice@example.com"}, {"Key": "team", "Value": "growth"}, ], # session tags, surface as cost allocation data )["Credentials"] bedrock = boto3.client( "bedrock-runtime", aws_access_key_id=creds["AccessKeyId"], aws_secret_access_key=creds["SecretAccessKey"], aws_session_token=creds["SessionToken"], ) # Every call made with this client is attributed to alice in billing # and carries her identity ARN in invocation logs.
Wichtig
Identitäts- und Sitzungs-Tags sind AWS STS AssumeRole jeweils gebunden und werden für die Sitzung aufgezeichnet, nicht für die einzelne Anfrage. Ihre Werte sind bei jedem Anruf, der mit den Anmeldeinformationen dieser Sitzung getätigt wird, konstant und sie werden nur als aggregierte Abrechnungsdaten angezeigt. Sitzungs-Tags werden nicht in die Aufruf-Logs Ihres Modells geschrieben, sondern die Logs erfassen stattdessen die des Anrufers. identity.arn Um Benutzer in einer gemeinsamen Sitzung auf Anforderungsebene zu unterscheiden, verwenden Sie einen pro Benutzer, RoleSessionName sodass der Identitäts-RN von Benutzer zu Benutzer unterschiedlich ist, oder legen Sie den Benutzer bei jedem Anruf in den Anforderungsmetadaten fest.
Aufrufmuster
Die IAM-Prinzipalzuweisung funktioniert unabhängig davon, wie Ihre Anwendung Amazon Bedrock aufruft:
| Muster | Wie Identität fließt |
|---|---|
| Direkter API-Aufruf | Automatisch erfasste IAM-Benutzer- oder Rollenidentität |
| API Gateway | Die Identität der Rolle, die Amazon Bedrock aufruft, wird erfasst |
| LLM-Gateway (liteLLM, benutzerdefiniert) | Die Identität der Ausführungsrolle des Gateways wird erfasst. Übergeben Sie Sitzungs-Tags vom Gateway, um die Zuordnung auf Benutzerebene beizubehalten. |
| Föderierte Identität (Okta, Entra) | Sitzungs-Tags vom IdP werden bei der Rollenübernahme erfasst |
Wenn Sie ein LLM-Gateway oder API-Gateway verwenden und in der AWS Abrechnung keine Identität auf Benutzerebene angezeigt wird, vergewissern Sie sich, dass das Gateway bei jeder Anfrage Sitzungs-Tags weitergibt.
Anmerkung
Wenn Ihr Gateway die Rolle pro Benutzer erneut übernimmt, um Identitäts- oder Sitzungs-Tags zu variieren, nehmen Sie die Rolle einmal pro Benutzer an und speichern Sie die Anmeldeinformationen für die Dauer der Sitzung im Cache. Das Aufrufen jeder sts:AssumeRole Anfrage kann die Kontingente für die AWS STS Anforderungsrate überschreiten.
Kosten einsehen
Nachdem Sie Ihre Kostenzuweisungs-Tags aktiviert haben, können Sie die Amazon Bedrock-Kosten mit den folgenden Tools nach Auftraggeber analysieren:
-
AWS Cost Explorer — Filtern Sie nach den wichtigsten Stichwörtern, um Kostentrends nach Benutzer, Team oder Abteilung anzuzeigen. Gruppieren Sie nach Tag, um die Kosten verschiedener Dimensionen zu vergleichen.
-
AWS Kosten- und Nutzungsberichte (CUR 2.0) — Abfragen von CUR-Daten zur Aufschlüsselung der Einzelkosten nach Haupttag.
Es kann bis zu 24 Stunden dauern, bis AWS Kostendaten in Cost Explorer und CUR 2.0 angezeigt werden, nachdem eine Anfrage gestellt wurde.
Verwendung der IAM-Prinzipalzuweisung mit anderen Methoden
Die IAM-Prinzipalzuweisung kann zusammen mit Projekten und Anwendungs-Inferenzprofilen verwendet werden. Auf diese Weise erhalten Sie eine mehrdimensionale Kostentransparenz.
Wir empfehlen die Verwendung von Projekten für die Zuordnung auf Anwendungsebene und die IAM-Hauptzuweisung für die Zuordnung auf Benutzerebene innerhalb desselben Kontos.
| Methode | Attribute von | Unterstützte APIs | bedrock-runtime |
bedrock-mantle |
|---|---|---|---|---|
| IAM-Hauptzuweisung | Identität (Benutzer, Rolle, Team) | InvokeModel API//Converse API//API zum Abschließen von Chats | ||
| Projekte (empfohlen) | Bewerbung oder Arbeitsaufwand | API für Antworten/API für Chat-Abschlüsse | ||
| Anwendungsinferenzprofile | Anwendung oder Arbeitslast | InvokeModel API//Converse API//API für Chat-Abschlüsse |