Zugriff auf Amazon-Bedrock-Basismodelle - Amazon Bedrock
Berechtigungen erteilen, um Zugriff auf Basismodelle mit einer Produkt-ID anzufordern.Zugriff auf Modelle in AWS GovCloud

Zugriff auf Amazon-Bedrock-Basismodelle

Der Zugriff auf alle Amazon-Bedrock-Basismodelle ist jetzt standardmäßig mit den richtigen AWS-Marketplace-Berechtigungen aktiviert. Wählen Sie zunächst einfach ein Modell aus dem Modellkatalog in der Amazon-Bedrock-Konsole aus und öffnen Sie es im Playground. Sie können das Modell auch mit der API-Operation InvokeModel oder Converse aufrufen. Informationen zu den verschiedenen Modellen, die in Amazon Bedrock unterstützt werden, finden Sie unter Amazon-Bedrock-Basismodellinformationen. Informationen zu Modellpreisen finden Sie unter Amazon Bedrock – Preise.

Der Zugriff auf alle Amazon-Bedrock-Basismodelle ist jetzt standardmäßig in allen kommerziellen AWS-Regionen mit den richtigen AWS-Marketplace-Berechtigungen aktiviert. Informationen zum Zugriff auf Modelle in nicht kommerziellen Regionen finden Sie unter Zugriff auf Amazon-Bedrock-Basismodelle in AWS GovCloud (USA).

Anmerkung

Anthropic erfordert, dass Erstkunden Details zum Anwendungsfall übermitteln, bevor sie ein Modell einmal pro Konto oder einmal pro Verwaltungskonto der Organisation aufrufen. Sie können Details zum Anwendungsfall übermitteln, indem Sie ein Anthropic-Modell aus dem Modellkatalog in der Amazon-Bedrock-Konsole auswählen oder den API-Befehl PutUseCaseForModelAccess aufrufen. Der Zugriff auf das Modell wird unmittelbar nach der erfolgreichen Übermittlung der Anwendungsfalldetails gewährt. Das im Root-Konto übermittelte Formular wird von anderen Konten in derselben AWS Organizations übernommen.

Anmerkung

Bei 3P-Modellen stimmen Sie der geltenden Endbenutzer-Lizenzvereinbarung zu, wenn Sie das Modell zum ersten Mal aufrufen/verwenden. Weitere Informationen finden Sie unter AWS-Servicebedingungen und Serverless-Modelllizenzvereinbarungen für Drittanbieter.

Organisationen, die die EULA überprüfen und ihr zustimmen müssen, bevor sie die Nutzung des Modells zulassen, sollten:

  1. zunächst den Modellzugriff mithilfe von Service-Kontrollrichtlinien (SCP) oder IAM-Richtlinien blockieren.

  2. die EULA-Bedingungen durchlesen.

  3. den Modellzugriff über SCP/IAM-Richtlinien nur aktivieren, wenn Sie den EULA-Bedingungen zustimmen.

Themen

IAM-Berechtigungen erteilen, um Zugriff auf Amazon-Bedrock-Basismodelle mit einer Produkt-ID anzufordern.

Sie können Modellzugriffsberechtigungen verwalten, indem Sie benutzerdefinierte IAM-Richtlinien erstellen. Wenn Sie den Zugriff auf Amazon-Bedrock-Basismodelle ändern möchten, müssen Sie zunächst eine identitätsbasierte IAM-Richtlinie mit den folgenden AWS Marketplace-Aktionen an die IAM-Rolle anhängen, die den Zugriff auf Amazon Bedrock erlaubt:

Der Zugriff auf Serverless-Basismodelle von Amazon Bedrock mit einer Produkt-ID wird durch die folgenden IAM-Aktionen gesteuert:

IAM-Aktion Beschreibung Geltungsbereich der Modelle
aws-marketplace:Subscribe

Ermöglicht einer IAM-Entität, AWS Marketplace-Produkte zu abonnieren, einschließlich Amazon-Bedrock-Basismodelle.

 Nur Serverless-Modelle von Amazon Bedrock, die über eine Produkt-ID in AWS Marketplace verfügen
aws-marketplace:Unsubscribe Ermöglicht einer IAM-Entität, AWS Marketplace-Produkte abzubestellen, einschließlich Amazon-Bedrock-Basismodelle. Nur Serverless-Modelle von Amazon Bedrock, die über eine Produkt-ID in AWS Marketplace verfügen
aws-marketplace:ViewSubscriptions Ermöglicht einer IAM-Entität, eine Liste der AWS Marketplace-Produkte zurückzugeben, einschließlich Amazon-Bedrock-Basismodelle Nur Serverless-Modelle von Amazon Bedrock, die über eine Produkt-ID in AWS Marketplace verfügen
Anmerkung

Nur für die Aktion aws-marketplace:Subscribe können Sie den Bedingungsschlüssel aws-marketplace:ProductId verwenden, um das Abonnement auf bestimmte Modelle zu beschränken.

Für eine IAM-Identität, um Zugriff auf Modelle mit einer Produkt-ID anzufordern

Der Identität muss eine Richtlinie angefügt sein, die aws-marketplace:Subscribe zulässt.

Anmerkung

Wenn eine Identität bereits ein Modell in einer AWS-Region abonniert hat, wird das Modell für die Identität verfügbar, um Zugriff in allen AWS-Regionen anzufordern, in denen das Modell verfügbar ist, auch wenn aws-marketplace:Subscribe für andere Regionen verweigert wird.

Informationen zur Erstellung der Richtlinie finden Sie unter Ich habe bereits ein AWS-Konto.

Nur für die Aktion aws-marketplace:Subscribe können Sie den Bedingungsschlüssel aws-marketplace:ProductId verwenden, um das Abonnement auf bestimmte Modelle zu beschränken.

Anmerkung

Modelle der folgenden Anbieter werden nicht über AWS Marketplace verkauft und haben keine Produktschlüssel, sodass Sie die aws-marketplace-Aktionen nicht auf sie abstimmen können:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Sie können jedoch die Verwendung dieser Modelle verhindern, indem Sie Amazon-Bedrock-Aktionen verweigern und diese Modell-IDs im Feld Resource angeben. Ein Beispiel finden Sie unter Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde.

Wählen Sie einen Abschnitt aus, um Beispiele für IAM-Richtlinien für einen bestimmten Anwendungsfall zu sehen:

Verhindern, dass eine Identität Zugriff auf ein Modell mit einer Produkt-ID anfordert

Wenn Sie verhindern möchten, dass eine IAM-Entität Zugriff auf ein bestimmtes Modell mit einer Produkt-ID anfordert, fügen Sie dem Benutzer eine IAM-Richtlinie an, die die Aktion aws-marketplace:Subscribe verweigert, und beziehen Sie das Feld Condition auf die Produkt-ID des Modells.

Sie können beispielsweise die folgende Richtlinie an eine Identität anfügen, um zu verhindern, dass sie das Anthropic-Modell Claude 3.5 Sonnet abonniert:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
Anmerkung

Mit dieser Richtlinie hat die IAM-Entität standardmäßig Zugriff auf alle neu hinzugefügten Modelle.

Wenn die Identität das Modell bereits in mindestens einer Region abonniert hat, verhindert diese Richtlinie nicht den Zugriff in anderen Regionen. Stattdessen können Sie die Verwendung verhindern, indem Sie dem unter Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde dargestellten Beispiel folgen.

Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde

Wenn einer IAM-Identität bereits Zugriff auf ein Modell gewährt wurde, können Sie die Verwendung des Modells verhindern, indem Sie alle Amazon-Bedrock-Aktionen verweigern und das Feld Resource auf den ARN des Basismodells beziehen.

Sie können beispielsweise die folgende Richtlinie an eine Identität anfügen, um zu verhindern, dass sie das Anthropic-Modell Claude 3.5 Sonnet in allen AWS-Regionen verwendet:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Zugriff auf Amazon-Bedrock-Basismodelle in AWS GovCloud (USA)

Bevor Sie ein Basismodell in Amazon Bedrock verwenden können, müssen Sie den entsprechenden Zugriff anfordern. Wenn Sie nicht mehr auf ein Modell zugreifen müssen, können Sie den Zugriff entfernen.

Anmerkung

Modelle der folgenden Anbieter werden nicht über AWS Marketplace verkauft und haben keine Produktschlüssel, sodass Sie die aws-marketplace-Aktionen nicht auf sie abstimmen können:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Sie können jedoch die Verwendung dieser Modelle verhindern, indem Sie Amazon-Bedrock-Aktionen verweigern und diese Modell-IDs im Feld Resource angeben. Ein Beispiel finden Sie unter Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde.

Sobald der Zugriff auf ein Modell gewährt wurde, ist es für alle Benutzer des AWS-Kontos verfügbar.

So können Sie den Zugriff auf Basismodelle hinzuzufügen oder entfernen

  1. Stellen Sie sicher, dass Sie über Berechtigungen zum Anfordern oder Ändern des Zugriffs auf Amazon-Bedrock-Basismodelle verfügen.

  2. Melden Sie sich bei der Amazon-Bedrock-Konsole unter https://console.aws.amazon.com/bedrock/ an.

  3. Wählen Sie im linken Navigationsbereich unter Bedrock-Konfigurationen die Option Modellzugriff aus.

  4. Wählen Sie auf der Seite Modellzugriff die Option Modellzugriff ändern aus.

  5. Wählen Sie die Modelle aus, auf die das Konto Zugriff haben soll, und deaktivieren Sie die Modelle, auf die das Konto keinen Zugriff haben soll. Ihnen stehen folgende Optionen zur Verfügung:

    Lesen Sie sich unbedingt die Nutzungsbedingungen für ein Modell in der Endbenutzer-Lizenzvereinbarung (EULA) durch, bevor Sie Zugriff darauf anfordern.

    • Aktivieren Sie das Kontrollkästchen neben einem einzelnen Modell, um es zu aktivieren oder zu deaktivieren.

    • Aktivieren Sie das obere Kontrollkästchen, um alle Modelle zu aktivieren oder zu deaktivieren.

    • Geben Sie an, wie die Modelle gruppiert werden sollen, und aktivieren oder deaktivieren Sie dann alle Modelle in einer Gruppe, indem Sie das Kontrollkästchen neben der Gruppe auswählen. Sie können beispielsweise Nach Anbieter gruppieren und dann das Kontrollkästchen Cohere auswählen, um alle Cohere-Modelle zu aktivieren oder zu deaktivieren.

  6. Wählen Sie Weiter aus.

  7. Wenn Sie Zugriff auf Anthropic-Modelle hinzufügen, müssen Sie Ihre Anwendungsfalldetails beschreiben. Wählen Sie Details zum Anwendungsfall einreichen aus, füllen Sie das Formular aus und klicken Sie dann auf Formular abschicken. Die Benachrichtigung über den Zugriff wird je nach Ihren im Formular angegebenen Antworten für den Anbieter gewährt oder verweigert.

  8. Überprüfen Sie die Zugriffsänderungen, die Sie vornehmen, und lesen Sie dann die Nutzungsbedingungen.

    Anmerkung

    Ihre Nutzung von Amazon-Bedrock-Basismodellen unterliegt den Preisbedingungen des Verkäufers, der EULA und den Servicebedingungen von AWS.

  9. Wenn Sie mit den Bedingungen einverstanden sind, wählen Sie Absenden aus. Es kann einige Minuten dauern, bis die Änderungen in der Konsole angezeigt werden.

    Anmerkung

    Wenn Sie den Zugriff auf ein Modell widerrufen, können Sie noch einige Zeit nach Abschluss dieser Aktion über die API darauf zugreifen, während die Änderungen übernommen werden. Wenn Sie den Zugriff in der Zwischenzeit sofort entfernen möchten, fügen Sie einer Rolle eine IAM-Richtlinie hinzu, um den Zugriff auf das Modell zu verweigern.

  10. Wenn Ihre Anforderung erfolgreich ist, ändert sich der Zugriffsstatus in Zugriff gewährt oder Auf Anfrage erhältlich.

Anmerkung

Gehen Sie für Kunden von AWS GovCloud (USA) wie folgt vor, um auf Modelle zuzugreifen, die in AWS GovCloud (USA) verfügbar sind:

  • Benutzer von AWS GovCloud (USA) müssen ihre standardmäßige AWS-Konto-ID suchen, die mit ihrer Konto-ID von AWS GovCloud (USA) verknüpft ist. Ihre zugehörige ID finden Sie, indem Sie der Anleitung Suchen Ihrer zugehörigen standardmäßigen AWS-Konto-ID folgen.

  • Kunden von AWS GovCloud (USA) können ihre standardmäßige AWS-Konto-ID nutzen, um auf Modelle über die Amazon-Bedrock-Konsole entweder in der Region us-east-1 oder der Region us-west-2 zuzugreifen. Wenn Sie ein Modell in einer anderen Region verwenden möchten, können Sie manuell eine Basismodellvereinbarung erstellen, indem Sie ListFoundationModelAgreementOffers und dann CreateFoundationModelAgreement in der AWS-API aufrufen.

  • Nachdem Sie die vorherigen Schritte abgeschlossen haben, melden Sie sich bei Ihrem Konto von AWS GovCloud (USA) an und navigieren Sie zu Amazon Bedrock in us-gov-west-1. Sie sollten jetzt Zugriff auf die Modelle haben, die in AWS GovCloud verfügbar sind.