Zugriff auf Amazon-Bedrock-Basismodelle - Amazon Bedrock
Berechtigungen erteilen, um Zugriff auf Basismodelle mit einer Produkt-ID anzufordern.Modellzugriff mit SDK und CLI verwaltenGreifen Sie auf Amazon Bedrock Foundation-Modelle in AWS GovCloud (USA) zu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Amazon-Bedrock-Basismodelle

Der Zugriff auf alle Amazon-Bedrock-Basismodelle ist jetzt standardmäßig mit den richtigen AWS -Marketplace-Berechtigungen aktiviert. Wählen Sie zunächst einfach ein Modell aus dem Modellkatalog in der Amazon Bedrock-Konsole aus und öffnen Sie es im Playground oder rufen Sie das Modell mithilfe der API-Operationen InvokeModeloder Converse auf. Informationen zu den verschiedenen Modellen, die in Amazon Bedrock unterstützt werden, finden Sie unter Amazon-Bedrock-Basismodellinformationen. Informationen zu Modellpreisen finden Sie unter Amazon Bedrock – Preise.

Der Zugriff auf alle Amazon-Bedrock-Basismodelle ist jetzt standardmäßig in allen kommerziellen AWS-Regionen mit den richtigen AWS-Marketplace-Berechtigungen aktiviert. Informationen zum programmatischen Zugriff auf Modelle von Drittanbietern finden Sie unter. Modellzugriff mit SDK und CLI verwalten

Anmerkung

Anthropic erfordert, dass Erstkunden Details zum Anwendungsfall übermitteln, bevor sie ein Modell einmal pro Konto oder einmal pro Verwaltungskonto der Organisation aufrufen. Sie können Details zum Anwendungsfall übermitteln, indem Sie ein Anthropic-Modell aus dem Modellkatalog in der Amazon-Bedrock-Konsole auswählen oder den API-Befehl PutUseCaseForModelAccess aufrufen. Der Zugriff auf das Modell wird unmittelbar nach der erfolgreichen Übermittlung der Anwendungsfalldetails gewährt. Das Formular, das über das Stammkonto eingereicht wurde, wird auf andere Konten in derselben AWS Organisation übertragen.

Anmerkung

Bei 3P-Modellen stimmen Sie mit invoking/using dem Modell zum ersten Mal der geltenden Endbenutzer-Lizenzvereinbarung zu. Weitere Informationen finden Sie unter AWS -Servicebedingungen und Serverless-Modelllizenzvereinbarungen für Drittanbieter.

Organisationen, die die EULA überprüfen und ihr zustimmen müssen, bevor sie die Nutzung des Modells zulassen, sollten:

  1. zunächst den Modellzugriff mithilfe von Service-Kontrollrichtlinien (SCP) oder IAM-Richtlinien blockieren.

  2. die EULA-Bedingungen durchlesen.

  3. Aktivieren Sie den Modellzugriff über SCP/IAM Richtlinien nur, wenn Sie den EULA-Bedingungen zustimmen

Themen

IAM-Berechtigungen erteilen, um Zugriff auf Amazon-Bedrock-Basismodelle mit einer Produkt-ID anzufordern.

Sie können Modellzugriffsberechtigungen verwalten, indem Sie benutzerdefinierte IAM-Richtlinien erstellen. Um den Zugriff auf Amazon Bedrock Foundation-Modelle zu ändern, müssen Sie zunächst eine identitätsbasierte IAM-Richtlinie mit den folgenden AWS Marketplace Aktionen an die IAM-Rolle anhängen, die den Zugriff auf Amazon Bedrock ermöglicht.

Wenn Sie zum ersten Mal ein serverloses Amazon Bedrock-Modell aufrufen, das von einem Konto aus AWS Marketplace bereitgestellt wird, versucht Bedrock, das Modell automatisch für Ihr Konto zu aktivieren. Damit diese automatische Aktivierung funktioniert, sind AWS Marketplace Berechtigungen erforderlich.

Wenn Sie keine AWS Marketplace Genehmigung voraussetzen können, muss jemand mit AWS Marketplace entsprechenden Berechtigungen das Modell für das Konto in einem einmaligen Schritt aktivieren (entweder manuell oder über automatische Aktivierung). Nach der Aktivierung können alle Benutzer des Kontos das Modell aufrufen, ohne Berechtigungen zu benötigen. AWS Marketplace Benutzer benötigen keine AWS Marketplace Abonnementberechtigungen, um Modelle aufzurufen, nachdem sie aktiviert wurden. Diese Berechtigungen sind nur erforderlich, wenn ein Modell zum ersten Mal in einem Konto verwendet wird.

Der Zugriff auf Serverless-Basismodelle von Amazon Bedrock mit einer Produkt-ID wird durch die folgenden IAM-Aktionen gesteuert:

IAM-Aktion Description Geltungsbereich der Modelle
aws-marketplace:Subscribe

Ermöglicht einer IAM-Entität, AWS Marketplace Produkte zu abonnieren, einschließlich Amazon Bedrock Foundation-Modelle.

 Nur Serverless-Modelle von Amazon Bedrock, die über eine Produkt-ID in AWS Marketplace verfügen
aws-marketplace:Unsubscribe Ermöglicht es einer IAM-Identität, sich von AWS Marketplace Produkten abzumelden, einschließlich Amazon Bedrock Foundation-Modellen. Nur Serverless-Modelle von Amazon Bedrock, die über eine Produkt-ID in AWS Marketplace verfügen
aws-marketplace: ViewSubscriptions Ermöglicht einer IAM-Identität, eine Liste von AWS Marketplace Produkten zurückzugeben, einschließlich Amazon Bedrock Foundation-Modellen. Nur Serverless-Modelle von Amazon Bedrock, die über eine Produkt-ID in AWS Marketplace verfügen
Anmerkung

Nur für die Aktion aws-marketplace:Subscribe können Sie den Bedingungsschlüssel aws-marketplace:ProductId verwenden, um das Abonnement auf bestimmte Modelle zu beschränken.

Für eine IAM-Identität, um Zugriff auf Modelle mit einer Produkt-ID anzufordern

Der Identität muss eine Richtlinie angefügt sein, die aws-marketplace:Subscribe zulässt.

Anmerkung

Wenn eine Identität bereits ein Modell in einer AWS Region abonniert hat, wird das Modell für die Identität verfügbar, um Zugriff in allen AWS Regionen anzufordern, in denen das Modell verfügbar ist, auch wenn dies für andere Regionen verweigert aws-marketplace:Subscribe wird.

Informationen zur Erstellung der Richtlinie finden Sie unter Ich habe bereits ein AWS-Konto.

Nur für die Aktion aws-marketplace:Subscribe können Sie den Bedingungsschlüssel aws-marketplace:ProductId verwenden, um das Abonnement auf bestimmte Modelle zu beschränken.

Anmerkung

Modelle der folgenden Anbieter werden nicht verkauft AWS Marketplace und haben auch keine Produktschlüssel, sodass Sie die aws-marketplace Aktionen nicht auf sie abstimmen können:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Sie können jedoch die Verwendung dieser Modelle verhindern, indem Sie Amazon Bedrock-Aktionen verweigern und diese Modelle IDs vor Ort angeben. Resource Ein Beispiel finden Sie unter Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde.

Wählen Sie einen Abschnitt aus, um Beispiele für IAM-Richtlinien für einen bestimmten Anwendungsfall zu sehen:

Verhindern, dass eine Identität Zugriff auf ein Modell mit einer Produkt-ID anfordert

Wenn Sie verhindern möchten, dass eine IAM-Entität Zugriff auf ein bestimmtes Modell mit einer Produkt-ID anfordert, fügen Sie dem Benutzer eine IAM-Richtlinie an, die die Aktion aws-marketplace:Subscribe verweigert, und beziehen Sie das Feld Condition auf die Produkt-ID des Modells.

Sie können beispielsweise die folgende Richtlinie an eine Identität anfügen, um zu verhindern, dass sie das Anthropic-Modell Claude 3.5 Sonnet abonniert:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
Anmerkung

Mit dieser Richtlinie hat die IAM-Entität standardmäßig Zugriff auf alle neu hinzugefügten Modelle.

Wenn die Identität das Modell bereits in mindestens einer Region abonniert hat, verhindert diese Richtlinie nicht den Zugriff in anderen Regionen. Stattdessen können Sie die Verwendung verhindern, indem Sie dem unter Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde dargestellten Beispiel folgen.

Verhindern, dass eine Identität ein Modell verwendet, nachdem der Zugriff bereits gewährt wurde

Wenn einer IAM-Identität bereits Zugriff auf ein Modell gewährt wurde, können Sie die Verwendung des Modells verhindern, indem Sie alle Amazon-Bedrock-Aktionen verweigern und das Feld Resource auf den ARN des Basismodells beziehen.

Sie können beispielsweise die folgende Richtlinie an eine Identität anhängen, um zu verhindern, dass sie das Anthropic Claude 3.5 Sonnet Modell in allen AWS Regionen verwendet:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Modellzugriff mit SDK und CLI verwalten

Der Modellzugriff kann zusätzlich zum Aufrufen des Modells auch mithilfe des SDK verwaltet werden. Die folgenden Schritte können verwendet werden, um den Zugriff zu create/delete modellieren und zu überprüfen, ob der Zugriff bereits besteht oder nicht. Beachten Sie, dass dies nur für Modelle von Drittanbietern gilt.

Gehen Sie wie folgt vor, um den Modellzugriff programmgesteuert zu verwalten:

Voraussetzungen

  • Hängen Sie die AmazonBedrockFullAccessRichtlinie an das IAM an, das für das SDK/CLI user/role verwendet wird.

  • Bedrock SDK-Setup: Richten Sie das AWS-SDK für Amazon Bedrock ein

    Hinweis: Die folgenden Anweisungen verwenden Python3 für die Beispiele

  • Notieren Sie sich die modelId des Modells, für das der Zugriff verwaltet werden muss.

Schritt 1: Angebote für Musterverträge der Stiftung auflisten

Verwenden Sie diese API, um die Vertragsangebote für ein bestimmtes Modell abzurufen. Dadurch wird das OfferToken bereitgestellt, mit dem in den nächsten Schritten der Modellzugriff erstellt wurde.

Dokumentation

AWS CLI
aws bedrock list-foundation-model-agreement-offers --model-id <ModelId>
Python
# Placeholder for modelId
model_id = "<enter model id here>" 
# Placeholder for offerId
offer_id = "<enter offer id here>"
try:
    # offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
    model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
    print(model_agreement_offers_response)
except ClientError as e:
    print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")

Schritt 2: [Nur einmalig für Anthropic-Modelle erforderlich] Geben Sie einen Anwendungsfall für Erstanwender an

Wird verwendet, um das Formular für den Anwendungsfall für Erstbenutzer bereitzustellen, das nur für anthropische Modelle erforderlich ist. Dies ist eine Voraussetzung für den Zugriff auf anthropische Modelle im Konto. Diese API ist nur einmal pro Konto oder pro AWS-Organisation in allen Handelsregionen erforderlich, mit Ausnahme von Opt-in-Regionen, in denen dieses Formular erneut ausgefüllt werden muss.

Dokumentation

AWS CLI
aws bedrock put-use-case-for-model-access \
  --form-data <Base64EncodedFormData>
Python
# Placeholder for form data, replace the names
COMPANY_NAME = "<enter company name here>"
COMPANY_WEBSITE = "<enter company website here>"
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = "<enter industry option here>"
OTHER_INDUSTRY_OPTION = "<enter other industry option here>"
USE_CASES = "<enter use cases here>"
form_data = {
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)

Für CLI sind die Formulardaten Base64-codiertes JSON-Format des folgenden Formulars.

{
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}

  • COMPANY_NAME: Zeichenfolge mit einer maximalen Länge von 128

  • COMPANY_WEBSITE: Zeichenfolge mit einer maximalen Länge von 128

  • BEABSICHTIGTE BENUTZER: Entweder 0, 1 oder 2. 0: Intern, 1: Extern, 2: Intern und Extern

  • INDUSTRY_OPTION: Zeichenfolge mit einer maximalen Länge von 128

  • OTHER_INDUSTRY_OPTION: Zeichenfolge mit einer maximalen Länge von 128

  • USE_CASES: Zeichenfolge mit einer maximalen Länge von 8192

Schritt 3: Erstellen Sie einen Mustervertrag für die Stiftung

Wird verwendet, um eine Vereinbarung (Zugriff) für das Foundation-Modell zu erstellen. Verwenden Sie das Angebotstoken und die modelId von oben.

Dokumentation

AWS CLI
aws bedrock create-foundation-model-agreement \
  --model-id <ModelId> \
  --offer-token <OfferToken>
Python
offer_token= ''

for agreement_offer in model_agreement_offers_response['offers']:
    if  agreement_offer['offerId'] == offer_id:
            
            offer_token = agreement_offer['offerToken']
            print(f"offer token found. Offer token is {offer_token}")
            break


if(not offer_token):
    print(f"Offer token for  modelId: {model_id} is not found")
    
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)

Schritt 4: Ermitteln Sie die Verfügbarkeit des Fundamentmodells

Wird verwendet, um zu überprüfen, ob das Foundation-Modell derzeit Zugriff hat oder nicht. Verwenden Sie die modelId von oben.

Dokumentation

AWS CLI
aws bedrock get-foundation-model-availability \
  --model-id <ModelId>
Python
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
Erwartete Antwort

agreementAvailability- AVAILABLE Wenn ein Zugriff besteht, NOT_AVAILABLE ist der Zugriff nicht vorhanden.

{
  "modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
  "agreementAvailability": {
    "status": "AVAILABLE"
  },
  "authorizationStatus": "AUTHORIZED",
  "entitlementAvailability": "AVAILABLE",
  "regionAvailability": "AVAILABLE"
}

[Optional] Schritt 5: Mustervertrag für die Stiftung löschen

Wird verwendet, um den Stiftungsmodellvertrag (Zugriff) zu löschen. Verwenden Sie die modelId von oben.

Anmerkung

Das Löschen des Modellzugriffs reicht nicht aus, um den Zugriff in future zu blockieren, da der Zugriff durch das Aufrufen des Modells erneut erstellt wird. Um sicherzustellen, dass der Zugriff nicht erneut erstellt wird, wenden Sie restriktive Deny-IAM-Richtlinien für das Modell an.

Dokumentation

AWS CLI
aws bedrock delete-foundation-model-agreement \
  --model-id <ModelId>
Python
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)

Greifen Sie auf Amazon Bedrock Foundation-Modelle in AWS GovCloud (USA) zu

AWS-Konten GovCloud (USA) werden auf one-to-one Basis von Standard-AWS-Handelskonten verknüpft. Dieses verknüpfte Geschäftskonto wird für Rechnungsstellung, Servicezugriff, Supportzwecke und Zugriff auf Amazon Bedrock Model Marketplace verwendet. Weitere Informationen zur Beziehung zwischen GovCloud und kommerziellen Konten finden Sie unter Standardkontenverknüpfung in AWS GovCloud (USA).

Bei Modellen von Drittanbietern muss der Modellzugriff sowohl im verknüpften AWS-Geschäftskonto als auch im GovCloud AWS-Konto aktiviert sein. Für von Amazon Bedrock bereitgestellte Modelle muss der Modellzugriff nur im GovCloud Konto aktiviert werden. Dies ist ein manueller Prozess.

Aktivierung des Modellzugriffs für AWS GovCloud im verknüpften AWS-Geschäftskonto (nur für Modelle von Drittanbietern)

Der Modellzugriff kann in einem kommerziellen AWS-Konto auf zwei Arten aktiviert werden:

  1. Rufen Sie das erforderliche Modell für ein AWS-Geschäftskonto in us-east-1 oder us-west-2 Region auf.

  2. Ermöglichen Sie programmgesteuert den Zugriff auf das Modell, das Sie SDK/CLI für Ihr AWS-Geschäftskonto in us-east-1 oder us-west-2 Region verwenden. Dazu können Sie die in den vorherigen Abschnitten beschriebenen Schritte befolgen.

Modellzugriff für GovCloud AWS-Konto aktivieren

In AWS GovCloud (USA) verwenden Sie die Modellzugriffsseite in der Amazon Bedrock-Konsole in der us-gov-west-1 Region, um Foundation-Modelle wie unten beschrieben zu aktivieren:

  1. Stellen Sie sicher, dass Sie berechtigt sind, Modellzugriff anzufordern, um Zugriff auf Amazon Bedrock Foundation-Modelle anzufordern oder den Zugriff zu ändern. Es wird empfohlen, die AmazonBedrockFullAccessRichtlinie dem user/role verwendeten Dokument beizufügen.

  2. Melden Sie sich bei der Amazon Bedrock-Konsole in der us-gov-west-1 Region unter an https://console.aws.amazon.com/bedrock/.

  3. Wählen Sie im linken Navigationsbereich unter Bedrock-Konfigurationen die Option Modellzugriff aus.

  4. Wählen Sie auf der Seite Modellzugriff die Option Modellzugriff ändern aus.

  5. Wählen Sie die Modelle aus, auf die das Konto Zugriff haben soll, und deaktivieren Sie die Modelle, auf die das Konto keinen Zugriff haben soll. Ihnen stehen folgende Optionen zur Verfügung:

    1. Lesen Sie sich unbedingt die Nutzungsbedingungen für ein Modell in der Endbenutzer-Lizenzvereinbarung (EULA) durch, bevor Sie Zugriff darauf anfordern.

    2. Aktivieren Sie das Kontrollkästchen neben einem einzelnen Modell, um es zu aktivieren oder zu deaktivieren.

    3. Aktivieren Sie das obere Kontrollkästchen, um alle Modelle zu aktivieren oder zu deaktivieren.

    4. Geben Sie an, wie die Modelle gruppiert werden sollen, und aktivieren oder deaktivieren Sie dann alle Modelle in einer Gruppe, indem Sie das Kontrollkästchen neben der Gruppe auswählen. Sie können beispielsweise „Nach Anbieter gruppieren“ auswählen und dann das Kontrollkästchen neben Cohere aktivieren, um alle Cohere-Modelle zu aktivieren oder zu deaktivieren.

  6. Wählen Sie Weiter aus.

  7. Wenn Sie Zugriff auf Anthropic-Modelle hinzufügen, müssen Sie Ihre Anwendungsfalldetails beschreiben. Wählen Sie Details zum Anwendungsfall einreichen aus, füllen Sie das Formular aus und klicken Sie dann auf Formular abschicken. Die Benachrichtigung über den Zugriff wird je nach Ihren im Formular angegebenen Antworten für den Anbieter gewährt oder verweigert.

  8. Überprüfen Sie die Zugriffsänderungen, die Sie vornehmen, und lesen Sie dann die Nutzungsbedingungen.

  9. Wenn Sie mit den Bedingungen einverstanden sind, wählen Sie Absenden aus. Es kann einige Minuten dauern, bis die Änderungen in der Konsole angezeigt werden.

  10. Wenn Ihre Anforderung erfolgreich ist, ändert sich der Zugriffsstatus in Zugriff gewährt oder Auf Anfrage erhältlich.