Acceso a los modelos fundacionales de Amazon Bedrock - Amazon Bedrock
Concesión de permisos para solicitar acceso a modelos fundacionales con un ID de productoAcceda a los modelos en AWS GovCloud

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a los modelos fundacionales de Amazon Bedrock

El acceso a todos los modelos fundacionales de Amazon Bedrock está habilitado de forma predeterminada con los permisos de AWS Marketplace correctos. Para empezar, simplemente seleccione un modelo del catálogo de modelos de la consola de Amazon Bedrock y ábralo en el patio de recreo o invoque el modelo mediante las operaciones de la API InvokeModelo de Converse. Para obtener información sobre los distintos modelos compatibles con Amazon Bedrock, consulte Información sobre los modelos fundacionales de Amazon Bedrock. Para obtener información acerca de los precios de los modelos, consulte Precios de Amazon Bedrock.

El acceso a todos los modelos fundacionales de Amazon Bedrock está habilitado de forma predeterminada con los permisos de AWS Marketplace correctos en todas las regiones comerciales de AWS. Para acceder a los modelos en regiones no comerciales, consulte Acceda a los modelos de bases Amazon Bedrock en AWS GovCloud (EE. UU.).

nota

Anthropic exige que los clientes que usan el servicio por primera vez envíen los detalles del caso de uso antes de invocar un modelo una vez por cuenta o una vez en la cuenta de administración de la organización. Puede enviar los detalles del caso de uso seleccionando un modelo Anthropic del catálogo de modelos en la consola de Amazon Bedrock o llamando al comando de la API PutUseCaseForModelAccess. El acceso al modelo se concede inmediatamente después de enviar correctamente los detalles del caso de uso. El envío del formulario en la cuenta raíz lo heredarán otras cuentas de la misma instancia de AWS Organizations.

nota

En el caso de los modelos 3P, invoking/using al elegir el modelo por primera vez, usted acepta el acuerdo de licencia de usuario final aplicable. Para obtener más información, consulte Términos de servicio de AWS y Serverless Third-Party Model License Agreements.

Los organismos que necesiten revisar y aceptar el EULA antes de permitir el uso del modelo deben:

  1. Bloquear inicialmente el acceso a modelos mediante políticas de control de servicio (SCP) o políticas de IAM

  2. Revisar los términos del EULA

  3. Habilite el acceso a los modelos a través de SCP/IAM las políticas solo si acepta los términos del EULA

Temas

Concesión de permisos de IAM para solicitar acceso a modelos fundacionales de Amazon Bedrock con un ID de producto

Puede administrar los permisos de acceso a los modelos mediante la creación de políticas de IAM personalizadas. Para modificar el acceso a los modelos básicos de Amazon Bedrock, primero debe adjuntar una política de IAM basada en la identidad con AWS Marketplacelas siguientes acciones al rol de IAM que permite el acceso a Amazon Bedrock.

Cuando invoca por primera vez un modelo sin servidor de Amazon Bedrock servido desde AWS Marketplace una cuenta, Bedrock intenta habilitar automáticamente el modelo para su cuenta. Para que esta activación automática funcione, se requieren AWS Marketplace permisos.

Si no puedes aceptar el AWS Marketplace permiso, alguien con AWS Marketplace permisos debe habilitar el modelo para la cuenta como un paso único (de forma manual o mediante la activación automática). Una vez activado, todos los usuarios de la cuenta pueden invocar el modelo sin necesidad de permisos. AWS Marketplace Los usuarios no necesitan permisos de AWS Marketplace suscripción para invocar los modelos una vez activados. Estos permisos solo son necesarios la primera vez que se utiliza un modelo en una cuenta.

El acceso a los modelos fundacionales de Amazon Bedrock sin servidor con un ID de producto se controla mediante las siguientes acciones de IAM:

Acción de IAM Description (Descripción) Modelos a los que se aplica
aws-marketplace:Subscribe

Permite a una entidad de IAM suscribirse a AWS Marketplace productos, incluidos los modelos básicos de Amazon Bedrock.

 Solo los modelos de Amazon Bedrock sin servidor que tengan un ID de producto en AWS Marketplace.
aws-marketplace:Unsubscribe Permite que una identidad de IAM cancele la suscripción a AWS Marketplace los productos, incluidos los modelos de base Amazon Bedrock. Solo los modelos de Amazon Bedrock sin servidor que tengan un ID de producto en AWS Marketplace.
aws-marketplace: ViewSubscriptions Permite que una identidad de IAM devuelva una lista de AWS Marketplace productos, incluidos los modelos de base Amazon Bedrock. Solo los modelos de Amazon Bedrock sin servidor que tengan un ID de producto en AWS Marketplace.
nota

Solo para esta acción aws-marketplace:Subscribe, puede usar la clave de condición aws-marketplace:ProductId para restringir la suscripción a modelos específicos.

Para que una identidad de IAM solicite acceso a los modelos con un ID de producto

La identidad debe tener una política asociada que permita aws-marketplace:Subscribe.

nota

Si una identidad ya está suscrita a un modelo en una AWS región, el modelo pasa a estar disponible para que la identidad solicite el acceso en todas AWS las regiones en las que el modelo esté disponible, incluso si aws-marketplace:Subscribe se lo deniega en otras regiones.

Para obtener información sobre cómo crear la política, consulte Ya tengo una Cuenta de AWS.

Solo para esta acción aws-marketplace:Subscribe, puede usar la clave de condición aws-marketplace:ProductId para restringir la suscripción a modelos específicos.

nota

Los modelos de los siguientes proveedores no se venden a través de AWS Marketplace Internet y no tienen claves de producto, por lo que no puedes limitarlos a tomar las aws-marketplace medidas necesarias:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Sin embargo, puede impedir el uso de estos modelos negando las acciones de Amazon Bedrock y especificando estos modelos IDs en el Resource campo. Para ver un ejemplo, consulta Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.

Seleccione una sección para ver ejemplos de políticas de IAM para un caso de uso específico:

Cómo impedir que una identidad solicite acceso a un modelo con un ID de producto

Para impedir que una entidad de IAM solicite acceso a un modelo específico que tenga un ID de producto, asocie al usuario una política de IAM que deniegue la acción aws-marketplace:Subscribe y asigne el campo Condition al ID de producto del modelo.

Por ejemplo, puede asociar la siguiente política a una identidad para impedir que se suscriba al modelo Anthropic Claude 3.5 Sonnet:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
nota

Con esta política, la entidad de IAM tendrá acceso a todos los modelos recién añadidos de forma predeterminada.

Si la identidad ya se ha suscrito al modelo en al menos una región, esta política no impide el acceso en otras regiones. En lugar de ello, puede evitar su uso consultando el ejemplo de Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.

Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso

Si ya se ha concedido acceso a un modelo a una identidad de IAM, puede impedir el uso del modelo denegando todas las acciones de Amazon Bedrock y limitando el campo Resource al ARN del modelo fundacional.

Por ejemplo, puede adjuntar la siguiente política a una identidad para evitar que utilice el Anthropic Claude 3.5 Sonnet modelo en todas AWS las regiones:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Acceda a los modelos de bases Amazon Bedrock en AWS GovCloud (EE. UU.)

Para poder utilizar un modelo fundacional en Amazon Bedrock, debe solicitar acceso al mismo. Si ya no necesita acceder a un modelo, puede eliminar el acceso.

nota

Los modelos de los siguientes proveedores no se venden ni tienen claves de producto, por lo que no puedes limitarles las aws-marketplace acciones a ellos: AWS Marketplace

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Sin embargo, puede impedir el uso de estos modelos negando las acciones de Amazon Bedrock y especificando estos modelos IDs en el Resource campo. Para ver un ejemplo, consulta Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.

Después de proporcionar acceso a un modelo, está disponible para todos los usuarios de la cuenta de AWS.

Adición o eliminación del acceso a los modelos fundacionales

  1. Asegúrese de tener permisos para solicitar el acceso o modificar el acceso a los modelos fundacionales de Amazon Bedrock.

  2. Inicie sesión en la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock/.

  3. En el panel de navegación de la izquierda, en Configuraciones de Bedrock, elija Acceso a modelos.

  4. En la página Acceso a modelos, seleccione Modificar el acceso al modelo.

  5. Seleccione los modelos a los que desee que tenga acceso la cuenta y anule la selección de los modelos a los que no desee que tenga acceso la cuenta. Dispone de las opciones siguientes:

    Asegúrese de revisar el Contrato de licencia para el usuario final (EULA) para conocer los términos y condiciones de uso de un modelo antes de solicitar acceso al mismo.

    • Seleccione la casilla de verificación junto a un modelo individual para marcarlo o desmarcarlo.

    • Seleccione la casilla de verificación superior para marcar o desmarcar todos los modelos.

    • Seleccione cómo se agrupan los modelos y, a continuación, active o desactive todos los modelos de un grupo activando la casilla de verificación situada junto al grupo. Por ejemplo, puede elegir Agrupar por proveedor y, a continuación, seleccionar la casilla de verificación situada junto a Cohere para activar o desactivar todos los modelos Cohere.

  6. Elija Siguiente.

  7. Si añade el acceso a los modelos Anthropic, debe describir los detalles de su caso de uso. Elija Enviar los detalles del caso de uso, rellene el formulario y, a continuación, seleccione Enviar formulario. La notificación de acceso se concede o deniega en función de sus respuestas al completar el formulario para el proveedor.

  8. Revise los cambios de acceso que esté realizando y, a continuación, lea los Términos.

    nota

    El uso de modelos fundacionales de Amazon Bedrock está sujeto a las condiciones de precios del vendedor, al EULA y a las condiciones de servicio de AWS.

  9. Si está de acuerdo con los términos, seleccione Enviar. Los cambios pueden tardar varios minutos en reflejarse en la consola.

    nota

    Si revoca el acceso a un modelo, podrá seguir accediendo a él a través de la API durante algún tiempo después de completar esta acción mientras se propagan los cambios. Mientras tanto, para eliminar inmediatamente el acceso, añada una política de IAM a un rol para denegar el acceso al modelo.

  10. Si la solicitud se realiza correctamente, el Estado de acceso cambia a Acceso concedido o Disponible para solicitar.

nota

Para los clientes AWS GovCloud (EE. UU.), siga estos pasos para acceder a los modelos que están disponibles en AWS GovCloud (EE. UU.):

  • AWSGovCloud Los usuarios (de EE. UU.) deben localizar su ID de AWS cuenta estándar asociado a su ID de cuenta AWS GovCloud (de EE. UU.). Para encontrar tu ID asociado, puedes seguir esta guía Cómo encontrar tu ID de AWS cuenta estándar asociado.

  • AWSGovCloud Los clientes (EE. UU.) pueden usar su ID de AWS cuenta estándar para acceder a los modelos de la consola Amazon Bedrock de la us-west-2 región us-east-1 o región. Si desea utilizar un modelo en otra región, puede crear manualmente un modelo de acuerdo básico llamando a la AWS API ListFoundationModelAgreementOffersy, a continuación, CreateFoundationModelAgreementen ella.

  • Una vez que hayas completado los pasos anteriores, inicia sesión en tu cuenta AWS GovCloud (de EE. UU.) y navega hasta Amazon Bedrock inus-gov-west-1. Ahora deberías tener acceso a los modelos que están disponibles en AWSGovCloud.