View a markdown version of this page

IAM-Hauptzuweisung - Amazon Bedrock
FunktionsweiseDie wichtigsten TypenEinrichtung der IAM-PrinzipalzuweisungDimensionen kennzeichnenVerbundzugriffs- und Sitzungs-TagsAufrufmusterKosten anzeigenVerwendung der IAM-Prinzipalzuweisung mit anderen Methoden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Hauptzuweisung

Amazon Bedrock erfasst automatisch die IAM-Prinzidentität (IAM-Benutzer und IAM-Rollen) für jede Inferenzanfrage. Sie können Ihren Principals optional Tags für zusätzliche Kostendimensionen wie Team, Abteilung oder Kostenstelle hinzufügen. Auf diese Weise erhalten Sie einen Überblick über die Kosten pro Benutzer und pro Rolle, ohne dass Codeänderungen oder zusätzliche Ressourcen erforderlich sind.

Die IAM-Hauptzuweisung funktioniert derzeit mit Amazon bedrock-runtime Bedrock-APIs (InvokeModel API/ Converse API/ Chat Completions API). Support für bedrock-mantle APIs ist in Kürze verfügbar.

Funktionsweise

Wenn ein IAM-Benutzer oder eine IAM-Rolle eine Inferenzanfrage stellt, zeichnet Amazon Bedrock die Identität des Anrufers auf. Diese Informationen fließen in AWS Cost Explorer und AWS Cost and Usage Reports (CUR 2.0) ein, wo Sie die Kosten nach Identität filtern und gruppieren können. Es sind keine Änderungen an Ihren Amazon Bedrock API-Aufrufen erforderlich. Die Zuordnung basiert darauf, wer den Aufruf getätigt hat, nicht auf API-Parametern.

Optional können Sie Ihren IAM-Prinzipalen Tags hinzufügen, um Ihren Abrechnungsdaten organisatorische Dimensionen (Team, Abteilung, Kostenstelle) hinzuzufügen. Für die Zuordnung auf Identitätsebene sind keine Tags erforderlich. Die Identität des Anrufers wird immer erfasst.

Die wichtigsten Typen

Amazon Bedrock erfasst Identität von jedem IAM-Prinzipaltyp. Die beiden häufigsten sind IAM-Benutzer und IAM-Rollen.

IAM-Benutzer rufen Amazon Bedrock direkt mit langlebigen Zugriffsschlüsseln auf. Der IAM-Benutzername und alle dem Benutzer zugewiesenen Tags werden in der Abrechnung aufgezeichnet. AWS

IAM-Rollen werden von Benutzern, Anwendungen oder föderierten Identitäten über übernommen. AWS STS Wenn ein Principal anruftsts:AssumeRole, enthalten die daraus resultierenden temporären Anmeldeinformationen die Identität der Rolle. Tags können aus zwei Quellen stammen:

  • Haupt-Tags — Tags, die direkt an die IAM-Rolle angehängt sind. Diese sind statisch und gelten für jede Sitzung.

  • Sitzungs-Tags — Tags, die zum Zeitpunkt der Rollenübernahme über übergeben wurden AWS STS. Diese sind dynamisch und können je nach Sitzung variieren. Sie sind daher nützlich, um benutzerspezifische Attribute wie E-Mail, Team oder Kostenstelle an eine gemeinsame Rolle weiterzugeben.

Wichtig

Wenn ein Sitzungs-Tag und ein Haupt-Tag denselben Schlüssel verwenden, hat der Sitzungs-Tag-Wert Vorrang vor dem Haupt-Tag-Wert für diese Sitzung. Weitere Informationen finden Sie unter Sitzungs-Tags übergeben. AWS STS

Die meisten Organisationen verwenden Rollen anstelle von IAM-Benutzern für den Zugriff auf Amazon Bedrock. Wenn sich mehrere Benutzer dieselbe Rolle teilen, unterscheiden Sie sie anhand von Sitzungs-Tags bei der Abrechnung.

Einrichtung der IAM-Prinzipalzuweisung

Identity-level Die Zuordnung (der IAM-Benutzer- oder Rollen-ARN des Anrufers) wird automatisch für jede Amazon Bedrock-Anfrage erfasst. Um Ihren Abrechnungsdaten organisatorische Dimensionen wie Team oder Kostenstelle hinzuzufügen, gehen Sie wie folgt vor, um Ihre Principals zu taggen und die Tags in Billing zu aktivieren. AWS

Schritt 1: Wenden Sie Tags auf Ihre IAM-Prinzipale an (optional)

Tags fließen auf zwei Arten in Ihre Rechnungsdaten ein:

Prinzipal-Tags werden direkt an IAM-Benutzer oder -Rollen angehängt. Wenn Sie sie einmal festlegen, gelten sie für jede Anfrage dieses Prinzipals. Dies ist ideal, um einzelne Entwickler (IAM-Benutzer) oder Anwendungen (IAM-Rollen) zu taggen. Sie können Prinzipal-Tags mithilfe der IAM-Konsole, der AWS CLI (aws iam tag-role,aws iam tag-user) oder der IAM-API (TagRole,TagUser) anwenden.

Weitere Informationen über IAM-Tagging und bewährte Methoden finden Sie unter Tags für IAM-Ressourcen.

Sitzungs-Tags werden dynamisch übergeben, wenn Sie eine IAM-Rolle über übernehmen. AWS STS Sie eignen sich ideal für Verbundbenutzer (Authentifizierung über einen Identitätsanbieter wie Okta, Auth0 oder Entra) und LLM-Gateways, die Anfragen im Namen mehrerer Benutzer oder Mandanten weiterleiten. Sitzungs-Tags können auf drei Arten übergeben werden:

  • AssumeRole--tags Beim Anrufen übergeben sts:AssumeRole (z. B. ein LLM-Gateway, das pro Benutzer oder Mandant eine Amazon Bedrock-Rolle übernimmt).

  • AssumeRoleWithWebIdentity (OIDC) — Betten Sie Tags in den https://aws.amazon.com/tags Antrag in das von Ihrem Identitätsanbieter ausgestellte ID-Token ein.

  • AssumeRoleWithSAML— Ordnen Sie PrincipalTag:* Attribute der SAML-Assertion Ihres IdP zu.

Die Vertrauensrichtlinie der IAM-Rolle muss den Durchfluss von Sitzungs-Tags ermöglichensts:TagSession. Weitere Informationen finden Sie unter Sitzungs-Tags weitergeben in AWS STS.

Sowohl Principal- als auch Sitzungs-Tags werden in CUR 2.0 mit dem iamPrincipal/ Präfix angezeigt.

Schritt 2: Aktivieren der Kostenzuordnungs-Tags

Damit Ihre IAM-Prinzipal-Tags in AWS Cost Explorer und CUR 2.0 angezeigt werden, müssen Sie sie als Kostenzuordnungs-Tags aktivieren:

  1. Öffnen Sie die AWS Billing and Cost Management-Konsole.

  2. Wählen Sie im Navigationsbereich die Option Cost Allocation Tags (Kostenzuordnungs-Tags) aus.

  3. Filtern Sie nach dem Typ IAM-Principal, um die Tags zu finden, die Sie Ihren Principals zugewiesen haben.

  4. Wählen Sie die Tags aus und klicken Sie auf Aktivieren.

Anmerkung

Tags werden in AWS Billing erst angezeigt, nachdem der IAM-Principal mindestens einen Amazon Bedrock-API-Aufruf getätigt hat. Tags zur Kostenzuweisung gelten nicht rückwirkend — nur Kosten, die nach der Aktivierung entstanden sind, werden gekennzeichnet. Es kann bis zu 24 Stunden dauern, bis Tags nach der Aktivierung angezeigt werden.

Schritt 3: Erstellen Sie einen CUR 2.0-Datenexport mit IAM-level Daten

Um Kostenaufschlüsselungen auf Identitätsebene zu sehen, erstellen Sie einen CUR 2.0-Datenexport, der die Identität des Anrufers enthält:

  1. Öffnen Sie die AWS Billing and Cost Management-Konsole.

  2. Wählen Sie im Navigationsbereich Datenexporte aus.

  3. Wählen Sie Erstellen, um einen neuen CUR 2.0-Export zu erstellen.

  4. Konfigurieren Sie den Export und stellen Sie sicher, dass Sie die Option zum Einschließen des ARN für die Anruferidentität auswählen.

Wichtig

Wenn Sie vor der Aktivierung der IAM-Prinzipalzuweisung einen CUR 2.0-Datenexport erstellt haben, müssen Sie einen neuen Export erstellen und die Option Anruferidentität auswählen. Bestehende Exporte enthalten keine Identitätsdaten rückwirkend. Sie müssen außerdem sicherstellen, dass Ihre Kostenzuordnungs-Tags aktiviert sind (Schritt 2), damit Tags im Export angezeigt werden.

Weitere Informationen finden Sie unter Berichte erstellen im Benutzerhandbuch AWS für Kosten- und Nutzungsberichte.

Dimensionen kennzeichnen

Sie können jeden Tag-Schlüssel verwenden, der Ihre Organisationsstruktur repräsentiert. Zu den gängigen Dimensionen gehören:

Tag-Schlüssel Zweck Beispielwerte
User Individuelle Identität jane@example.com, bob@example.com
Team Ownership PlatformEngineering, DataScience
Department Organisatorische Einheit Technik, Forschung, Marketing
CostCenter Kartierung der Finanzen CC-1001, CC-2002
Environment Phase des Lebenszyklus Produktion, Entwicklung

Sie können bis zu 50 Principal- oder Session-Tags pro IAM-Benutzer oder Rolle anwenden.

Verbundzugriffs- und Sitzungs-Tags

Für Organisationen, die Federated Identity Provider (AWS IAM Identity Center, Okta, Entra, Ping) verwenden, können Sie mit Sitzungs-Tags Benutzerattribute von Ihrem IdP an diese weitergeben. AWS Wenn ein Verbundbenutzer eine Rolle übernimmt AWS STS, kann der IdP Attribute wie Benutzer-E-Mail, Team und Kostenstelle als Sitzungs-Tags übergeben. Diese Tags werden zusammen mit der Amazon Bedrock-Anfrage erfasst und an AWS CUR 2.0 und AWS Cost Explorer weitergeleitet.

So funktioniert die Einrichtung:

  1. Konfigurieren Sie Ihren IdP so, dass er Benutzerattribute (E-Mail, Team, Kostenstelle) als SAML-Attribute oder OIDC-Ansprüche enthält.

  2. Ordnen Sie diese Attribute den AWS Sitzungs-Tags in der Vertrauensrichtlinie Ihrer IAM-Rolle zu, indem Sie sts:TagSession

  3. Die Sitzungs-Tags sind dann nach der Aktivierung als Kostenzuweisungs-Tags in der AWS Abrechnung verfügbar.

Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Aufrufmuster

Die IAM-Prinzipalzuweisung funktioniert unabhängig davon, wie Ihre Anwendung Amazon Bedrock aufruft:

Muster Wie Identität fließt
Direkter API-Aufruf Automatisch erfasste IAM-Benutzer- oder Rollenidentität
API Gateway Die Identität der Rolle, die Amazon Bedrock aufruft, wird erfasst
LLM-Gateway (liteLLM, benutzerdefiniert) Die Identität der Ausführungsrolle des Gateways wird erfasst. Übergeben Sie Sitzungs-Tags vom Gateway, um die Zuordnung auf Benutzerebene beizubehalten.
Föderierte Identität (Okta, Entra) Sitzungs-Tags vom IdP werden bei der Rollenübernahme erfasst

Wenn Sie ein LLM-Gateway oder API-Gateway verwenden und in der AWS Abrechnung keine Identität auf Benutzerebene angezeigt wird, vergewissern Sie sich, dass das Gateway bei jeder Anfrage Sitzungs-Tags weitergibt.

Kosten anzeigen

Nachdem Sie Ihre Kostenzuweisungs-Tags aktiviert haben, können Sie die Amazon Bedrock-Kosten mit den folgenden Tools nach Auftraggeber analysieren:

  • AWS Cost Explorer — Filtern Sie nach den wichtigsten Stichwörtern, um Kostentrends nach Benutzer, Team oder Abteilung anzuzeigen. Gruppieren Sie nach Tag, um die Kosten verschiedener Dimensionen zu vergleichen.

  • AWS Kosten- und Nutzungsberichte (CUR 2.0) — Abfragen von CUR-Daten zur Aufschlüsselung der Einzelkosten nach Haupttag.

Es kann bis zu 24 Stunden dauern, bis AWS Kostendaten in Cost Explorer und CUR 2.0 angezeigt werden, nachdem eine Anfrage gestellt wurde.

Verwendung der IAM-Prinzipalzuweisung mit anderen Methoden

Die IAM-Prinzipalzuweisung kann zusammen mit Projekten und Anwendungs-Inferenzprofilen verwendet werden. Auf diese Weise erhalten Sie eine mehrdimensionale Kostentransparenz.

Wir empfehlen die Verwendung von Projekten für die Zuordnung auf Anwendungsebene und die IAM-Hauptzuweisung für die Zuordnung auf Benutzerebene innerhalb desselben Kontos.

Methode Attribute von Unterstützte APIs bedrock-runtime bedrock-mantle
IAM-Hauptzuweisung Identität (Benutzer, Rolle, Team) InvokeModel API//Converse API//API zum Abschließen von Chats Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial.
Projekte (empfohlen) Bewerbung oder Arbeitsaufwand API für Antworten/API für Chat-Abschlüsse
Anwendungsinferenzprofile Anwendung oder Arbeitslast InvokeModel API//Converse API//API für Chat-Abschlüsse