Acceso a los modelos fundacionales de Amazon Bedrock - Amazon Bedrock
Concesión de permisos para solicitar acceso a modelos fundacionales con un ID de productoAdministre el acceso a los modelos mediante el SDK y la CLIAcceda a los modelos básicos de Amazon Bedrock en AWS GovCloud (EE. UU.)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a los modelos fundacionales de Amazon Bedrock

El acceso a todos los modelos fundacionales de Amazon Bedrock está habilitado de forma predeterminada con los permisos de AWS Marketplace correctos. Para empezar, simplemente seleccione un modelo del catálogo de modelos de la consola de Amazon Bedrock y ábralo en el patio de recreo o invoque el modelo mediante las operaciones de la API InvokeModelo de Converse. Para obtener información sobre los distintos modelos compatibles con Amazon Bedrock, consulte Información sobre los modelos fundacionales de Amazon Bedrock. Para obtener información acerca de los precios de los modelos, consulte Precios de Amazon Bedrock.

El acceso a todos los modelos fundacionales de Amazon Bedrock está habilitado de forma predeterminada con los permisos de AWS Marketplace correctos en todas las regiones comerciales de AWS. Para obtener acceso programático a modelos de terceros, consulte. Administre el acceso a los modelos mediante el SDK y la CLI

Descripción del acceso automático a los modelos

Cuando invoca un modelo de terceros por primera vez en su cuenta, Amazon Bedrock inicia automáticamente el proceso de suscripción en segundo plano. Durante este período de configuración (hasta 15 minutos), es posible que sus llamadas a la API se realicen temporalmente mientras se finaliza la suscripción. Si no se cumple algún requisito previo, las llamadas iniciales a la API pueden realizarse temporalmente, pero fallarán con un error 403 una vez finalizado el período de configuración si no se puede completar la suscripción. Para evitar interrupciones, compruebe todos los requisitos previos antes de invocar los modelos en producción.

Requisitos previos para acceder correctamente al modelo:

  1. Permisos de AWS Marketplace: su función de IAM debe tener aws-marketplace:Subscribe aws-marketplace:ViewSubscriptions permisos y permisos. aws-marketplace:Unsubscribe Para obtener más información, consulte Concesión de permisos de IAM para solicitar acceso a modelos fundacionales de Amazon Bedrock con un ID de producto.

  2. Modelos antrópicos: en el caso de los modelos antrópicos, debe completar el formulario de uso por primera vez (FTU) antes de invocar el modelo.

  3. Método de pago válido: su cuenta de AWS debe tener un método de pago válido configurado para las compras en AWS Marketplace.

nota

Anthropic exige que los clientes que usan el servicio por primera vez envíen los detalles del caso de uso antes de invocar un modelo una vez por cuenta o una vez en la cuenta de administración de la organización. Puede enviar los detalles del caso de uso seleccionando un modelo Anthropic del catálogo de modelos en la consola de Amazon Bedrock o llamando al comando de la API PutUseCaseForModelAccess. El acceso al modelo se concede inmediatamente después de enviar correctamente los detalles del caso de uso. El formulario enviado en la cuenta raíz lo heredarán otras cuentas de la misma AWS organización.

nota

En el caso de los modelos 3P, invoking/using al elegir el modelo por primera vez, usted acepta el acuerdo de licencia de usuario final aplicable. Para obtener más información, consulte Términos de servicio de AWS y Serverless Third-Party Model License Agreements.

Los organismos que necesiten revisar y aceptar el EULA antes de permitir el uso del modelo deben:

  1. Bloquear inicialmente el acceso a modelos mediante políticas de control de servicio (SCP) o políticas de IAM

  2. Revisar los términos del EULA

  3. Habilite el acceso a los modelos a través de SCP/IAM las políticas solo si acepta los términos del EULA

Temas

Concesión de permisos de IAM para solicitar acceso a modelos fundacionales de Amazon Bedrock con un ID de producto

Puede administrar los permisos de acceso a los modelos mediante la creación de políticas de IAM personalizadas. Para modificar el acceso a los modelos básicos de Amazon Bedrock, primero debe adjuntar una política de IAM basada en la identidad con AWS Marketplace las siguientes acciones al rol de IAM que permite el acceso a Amazon Bedrock.

Cuando invoca por primera vez un modelo sin servidor de Amazon Bedrock servido desde AWS Marketplace una cuenta, Bedrock intenta habilitar automáticamente el modelo para su cuenta. Para que esta activación automática funcione, se requieren AWS Marketplace permisos.

Si no puedes aceptar el AWS Marketplace permiso, alguien con AWS Marketplace permisos debe habilitar el modelo para la cuenta como un paso único (de forma manual o mediante la activación automática). Una vez activado, todos los usuarios de la cuenta pueden invocar el modelo sin necesidad de permisos. AWS Marketplace Los usuarios no necesitan permisos de AWS Marketplace suscripción para invocar los modelos una vez activados. Estos permisos solo son necesarios la primera vez que se utiliza un modelo en una cuenta.

El acceso a los modelos fundacionales de Amazon Bedrock sin servidor con un ID de producto se controla mediante las siguientes acciones de IAM:

Acción de IAM Description (Descripción) Modelos a los que se aplica
aws-marketplace:Subscribe

Permite a una entidad de IAM suscribirse a AWS Marketplace productos, incluidos los modelos básicos de Amazon Bedrock.

 Solo los modelos de Amazon Bedrock sin servidor que tengan un ID de producto en AWS Marketplace.
aws-marketplace:Unsubscribe Permite que una identidad de IAM cancele la suscripción a AWS Marketplace los productos, incluidos los modelos de base Amazon Bedrock. Solo los modelos de Amazon Bedrock sin servidor que tengan un ID de producto en AWS Marketplace.
aws-marketplace: ViewSubscriptions Permite que una identidad de IAM devuelva una lista de AWS Marketplace productos, incluidos los modelos de base Amazon Bedrock. Solo los modelos de Amazon Bedrock sin servidor que tengan un ID de producto en AWS Marketplace.
nota

Solo para esta acción aws-marketplace:Subscribe, puede usar la clave de condición aws-marketplace:ProductId para restringir la suscripción a modelos específicos.

Para que una identidad de IAM solicite acceso a los modelos con un ID de producto

La identidad debe tener una política asociada que permita aws-marketplace:Subscribe.

nota

Si una identidad ya está suscrita a un modelo en una AWS región, el modelo pasa a estar disponible para que la identidad solicite el acceso en todas AWS las regiones en las que el modelo esté disponible, incluso si aws-marketplace:Subscribe se lo deniega en otras regiones.

Para obtener información sobre la creación de la política, consulte Inicio rápido.

Solo para esta acción aws-marketplace:Subscribe, puede usar la clave de condición aws-marketplace:ProductId para restringir la suscripción a modelos específicos.

nota

Los modelos de los siguientes proveedores no se venden ni tienen claves de producto, por lo que no puedes limitarles las aws-marketplace acciones a ellos: AWS Marketplace

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Sin embargo, puede impedir el uso de estos modelos negando las acciones de Amazon Bedrock y especificando estos modelos IDs en el Resource campo. Para ver un ejemplo, consulta Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.

Seleccione una sección para ver ejemplos de políticas de IAM para un caso de uso específico:

Cómo impedir que una identidad solicite acceso a un modelo con un ID de producto

Para impedir que una entidad de IAM solicite acceso a un modelo específico que tenga un ID de producto, asocie al usuario una política de IAM que deniegue la acción aws-marketplace:Subscribe y asigne el campo Condition al ID de producto del modelo.

Por ejemplo, puede asociar la siguiente política a una identidad para impedir que se suscriba al modelo Anthropic Claude 3.5 Sonnet:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
nota

La denegación aws-marketplace:Subscribe por sí sola no bloqueará la invocación del primer modelo, ya que Amazon Bedrock inicia automáticamente la suscripción en segundo plano.

Para bloquear el acceso al modelo desde el principio, aplique las políticas de denegación bedrock:InvokeModel a nivel de organización (SCP) o cuenta (IAM).

nota

Con esta política, la entidad de IAM tendrá acceso a todos los modelos recién añadidos de forma predeterminada.

Si la identidad ya se ha suscrito al modelo en al menos una región, esta política no impide el acceso en otras regiones. En lugar de ello, puede evitar su uso consultando el ejemplo de Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.

Cómo impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso

Si ya se ha concedido acceso a un modelo a una identidad de IAM, puede impedir el uso del modelo denegando todas las acciones de Amazon Bedrock y limitando el campo Resource al ARN del modelo fundacional.

Por ejemplo, puede adjuntar la siguiente política a una identidad para evitar que utilice el Anthropic Claude 3.5 Sonnet modelo en todas las AWS regiones:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Administre el acceso a los modelos mediante el SDK y la CLI

El acceso al modelo se puede administrar mediante el SDK además de invocar el modelo. Los siguientes pasos se pueden utilizar para create/delete modelar el acceso y comprobar si el acceso ya existe o no. Tenga en cuenta que esto solo se aplica a modelos de terceros.

Siga estos pasos para administrar el acceso al modelo mediante programación:

Requisitos previos

  • Adjunte la AmazonBedrockFullAccesspolítica al IAM user/role utilizado para el SDK/CLI.

  • Configuración del SDK de Bedrock: configuración del SDK de AWS para Amazon Bedrock

    Nota: Las instrucciones que aparecen a continuación utilizan python3 para los ejemplos

  • Anote el ModelID del modelo para el que se debe gestionar el acceso.

Paso 1: Enumere las ofertas del acuerdo modelo básico

Utilice esta API para obtener las ofertas de acuerdos para un modelo en particular. Esto proporcionará el OfferToken utilizado para crear el acceso al modelo en los siguientes pasos.

Documentación

AWS CLI
aws bedrock list-foundation-model-agreement-offers --model-id <ModelId>
Python
# Placeholder for modelId
model_id = "<enter model id here>" 
# Placeholder for offerId
offer_id = "<enter offer id here>"
try:
    # offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
    model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
    print(model_agreement_offers_response)
except ClientError as e:
    print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")

Paso 2: [Se requiere una sola vez para los modelos Anthropic] Utilice el caso para el usuario primerizo

Se utiliza para incluir el formulario de caso de uso por primera vez, obligatorio solo para los modelos Anthropic. Este es un requisito previo para poder acceder a los modelos de Anthropic en la cuenta. Esta API solo se requiere una vez por cuenta u organización de AWS en todas las regiones comerciales, con la excepción de las regiones de suscripción voluntaria en las que es necesario volver a rellenar este formulario.

Documentación

AWS CLI
aws bedrock put-use-case-for-model-access \
  --form-data <Base64EncodedFormData>
Python
# Placeholder for form data, replace the names
COMPANY_NAME = "<enter company name here>"
COMPANY_WEBSITE = "<enter company website here>"
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = "<enter industry option here>"
OTHER_INDUSTRY_OPTION = "<enter other industry option here>"
USE_CASES = "<enter use cases here>"
form_data = {
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)

Para CLI, los datos del formulario están codificados en base64 en el formato json del siguiente formulario.

{
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}

  • COMPANY_NAME: cadena con una longitud máxima de 128

  • COMPANY_WEBSITE: Cadena con una longitud máxima de 128

  • USUARIOS PREVISTOS: 0, 1 o 2. 0: Interno, 1: Externo, 2: Interno_y_externo

  • INDUSTRY_OPTION: cadena con una longitud máxima de 128

  • OTHER_INDUSTRY_OPTION: Cadena con una longitud máxima de 128

  • USE_CASES: Cadena con una longitud máxima de 8192

Paso 3: Crear un acuerdo modelo básico

Se utiliza para crear un acuerdo (acceso) para el modelo básico. Usa el token de oferta y el ModelID de arriba.

Documentación

AWS CLI
aws bedrock create-foundation-model-agreement \
  --model-id <ModelId> \
  --offer-token <OfferToken>
Python
offer_token= ''

for agreement_offer in model_agreement_offers_response['offers']:
    if  agreement_offer['offerId'] == offer_id:
            
            offer_token = agreement_offer['offerToken']
            print(f"offer token found. Offer token is {offer_token}")
            break


if(not offer_token):
    print(f"Offer token for  modelId: {model_id} is not found")
    
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)

Paso 4: Obtenga la disponibilidad del modelo básico

Se utiliza para comprobar si el modelo de base tiene acceso actualmente o no. Usa el ModelID de arriba.

Documentación

AWS CLI
aws bedrock get-foundation-model-availability \
  --model-id <ModelId>
Python
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
Respuesta esperada

agreementAvailability- AVAILABLE si el acceso existe, NOT_AVAILABLE es que el acceso no existe.

{
  "modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
  "agreementAvailability": {
    "status": "AVAILABLE"
  },
  "authorizationStatus": "AUTHORIZED",
  "entitlementAvailability": "AVAILABLE",
  "regionAvailability": "AVAILABLE"
}

[Opcional] Paso 5: Eliminar el modelo de acuerdo fundacional

Se utiliza para eliminar el modelo de acuerdo básico (acceso). Usa el ModelID de arriba.

nota

Eliminar el acceso al modelo no es suficiente para bloquear el acceso en el futuro, ya que al invocar el modelo se volverá a crear el acceso. Para asegurarse de que el acceso no se vuelva a crear, aplique políticas restrictivas de denegación de IAM para el modelo.

Documentación

AWS CLI
aws bedrock delete-foundation-model-agreement \
  --model-id <ModelId>
Python
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)

Acceda a los modelos básicos de Amazon Bedrock en AWS GovCloud (EE. UU.)

Las cuentas de AWS GovCloud (EE. UU.) están vinculadas a one-to-one las cuentas comerciales estándar de AWS. Esta cuenta comercial vinculada se utiliza para la facturación, el acceso a los servicios, los fines de soporte y el acceso a Amazon Bedrock Model Marketplace. Para obtener más información sobre la relación entre cuentas GovCloud y cuentas comerciales, consulte Vinculación de cuentas estándar en AWS GovCloud (EE. UU.).

Para los modelos de terceros, el acceso al modelo debe estar habilitado tanto en la cuenta comercial de AWS vinculada como en la GovCloud cuenta de AWS. Para los modelos proporcionados por Amazon Bedrock, el acceso al modelo solo debe estar habilitado en la GovCloud cuenta. Este es un proceso manual.

Habilitar el acceso a los modelos para AWS GovCloud en una cuenta comercial vinculada de AWS (solo para modelos de terceros)

El acceso a los modelos se puede habilitar en una cuenta comercial de AWS de dos maneras:

  1. Invoque el modelo requerido para la cuenta comercial de AWS en nuestra us-east-1 us-west-2 región.

  2. Habilite el acceso al modelo mediante programación mediante una cuenta comercial de SDK/CLI AWS en nuestra regiónus-east-1. us-west-2 Esto se puede hacer siguiendo los pasos descritos en las secciones anteriores.

Habilitar el acceso a modelos para la GovCloud cuenta de AWS

En AWS GovCloud (EE. UU.), se utiliza la página de acceso a los modelos de la consola de Amazon Bedrock de la us-gov-west-1 región para habilitar los modelos básicos, tal y como se describe a continuación:

  1. Asegúrese de tener permisos para solicitar acceso a modelos para solicitar acceso o modificar el acceso a los modelos básicos de Amazon Bedrock. Se recomienda adjuntar la AmazonBedrockFullAccesspolítica a la que user/role se utilice.

  2. Inicie sesión en la consola de Amazon Bedrock de la us-gov-west-1 región en https://console.aws.amazon.com/bedrock/.

  3. En el panel de navegación de la izquierda, en Configuraciones de Bedrock, elija Acceso a modelos.

  4. En la página Acceso a modelos, seleccione Modificar el acceso al modelo.

  5. Seleccione los modelos a los que desee que tenga acceso la cuenta y anule la selección de los modelos a los que no desee que tenga acceso la cuenta. Dispone de las opciones siguientes:

    1. Asegúrese de revisar el Contrato de licencia para el usuario final (EULA) para conocer los términos y condiciones de uso de un modelo antes de solicitar acceso al mismo.

    2. Seleccione la casilla de verificación junto a un modelo individual para marcarlo o desmarcarlo.

    3. Seleccione la casilla de verificación superior para marcar o desmarcar todos los modelos.

    4. Seleccione cómo se agrupan los modelos y, a continuación, active o desactive todos los modelos de un grupo activando la casilla de verificación situada junto al grupo. Por ejemplo, puede elegir agrupar por proveedor y, a continuación, seleccionar la casilla de verificación situada junto a Cohere para marcar o desmarcar todos los modelos de Cohere.

  6. Elija Siguiente.

  7. Si añades el acceso a los modelos Anthropic, debes describir los detalles de tu caso de uso. Elija Enviar los detalles del caso de uso, rellene el formulario y, a continuación, seleccione Enviar formulario. La notificación de acceso se concede o deniega en función de sus respuestas al completar el formulario para el proveedor.

  8. Revise los cambios de acceso que esté realizando y, a continuación, lea los Términos.

  9. Si está de acuerdo con los términos, seleccione Enviar. Los cambios pueden tardar varios minutos en reflejarse en la consola.

  10. Si la solicitud se realiza correctamente, el Estado de acceso cambia a Acceso concedido o Disponible para solicitar.