Accès aux modèles de fondation Amazon Bedrock - Amazon Bedrock
Accorder des autorisations pour demander l’accès aux modèles de fondation à l’aide d’un ID de produitAccédez aux modèles dans AWS GovCloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès aux modèles de fondation Amazon Bedrock

L’accès à tous les modèles de fondation Amazon Bedrock est activé par défaut avec les autorisations AWS Marketplace appropriées. Pour commencer, il vous suffit de sélectionner un modèle dans le catalogue de modèles de la console Amazon Bedrock et de l'ouvrir dans le terrain de jeu ou d'invoquer le modèle à l'aide des opérations de l'API Converse InvokeModelou de l'API. Pour plus d’informations sur les différents modèles pris en charge dans Amazon Bedrock, consultez Informations sur les modèles de fondation Amazon Bedrock. Pour plus d’informations sur la tarification des modèles, consultez Tarification d’Amazon Bedrock.

L’accès à tous les modèles de fondation Amazon Bedrock est activé par défaut avec les autorisations AWS Marketplace appropriées dans toutes les régions AWS commerciales. Pour accéder aux modèles dans les régions non commerciales, consultez Accédez aux modèles de fondations Amazon Bedrock aux États-Unis AWS GovCloud .

Note

Anthropic exige que les nouveaux clients soumettent des détails sur le cas d’utilisation avant d’invoquer un modèle une fois par compte ou une fois sur le compte de gestion de l’organisation. Vous pouvez soumettre les détails sur le cas d’utilisation en sélectionnant un modèle Anthropic dans le catalogue de modèles de la console Amazon Bedrock ou en appelant la commande d’API PutUseCaseForModelAccess. L’accès au modèle est accordé immédiatement après que les détails sur le cas d’utilisation ont été soumis avec succès. La soumission du formulaire sur le compte racine sera héritée par les autres comptes des mêmes AWS Organizations.

Note

Pour les modèles 3P, par invoking/using le modèle, vous acceptez pour la première fois le contrat de licence d'utilisateur final applicable. Pour plus d’informations, consultez Conditions de service AWS et Contrats de licence des modèles tiers sans serveur.

Les organisations qui doivent examiner et accepter le CLUF avant d’autoriser l’utilisation du modèle doivent :

  1. Bloquer initialement l’accès au modèle à l’aide de politiques de contrôle des services (SCP) ou de politiques IAM

  2. Consulter les termes du CLUF

  3. Activez l'accès aux modèles par le biais de SCP/IAM politiques uniquement si vous acceptez les termes du CLUF

Rubriques

Accorder à IAM l’autorisation de demander l’accès aux modèles de fondation Amazon Bedrock à l’aide d’un ID de produit

Vous pouvez gérer les autorisations d’accès aux modèles en créant des politiques IAM personnalisées. Pour modifier l'accès aux modèles de fondation Amazon Bedrock, vous devez d'abord associer une politique IAM basée sur l'identité avec les AWS Marketplaceactions suivantes au rôle IAM qui autorise l'accès à Amazon Bedrock.

Lorsque vous invoquez pour la première fois un modèle sans serveur Amazon Bedrock servi depuis AWS Marketplace un compte, Bedrock tente d'activer automatiquement le modèle pour votre compte. Pour que cette activation automatique fonctionne, des AWS Marketplace autorisations sont requises.

Si vous ne pouvez pas assumer d'AWS MarketplaceAWS Marketplaceautorisation, une personne autorisée doit activer le modèle du compte en une seule étape (manuellement ou automatiquement). Une fois activé, tous les utilisateurs du compte peuvent invoquer le modèle sans avoir besoin d'AWS Marketplaceautorisations. Les utilisateurs n'ont pas besoin AWS Marketplace d'autorisations d'abonnement pour invoquer des modèles une fois qu'ils ont été activés. Ces autorisations ne sont requises que lors de la première utilisation d'un modèle dans un compte.

L’accès aux modèles de fondation sans serveur Amazon Bedrock avec un ID de produit est contrôlé par les actions IAM suivantes :

Action IAM Description S’applique aux modèles
aws-marketplace:Subscribe

Permet à une entité IAM de s'abonner à AWS Marketplace des produits, notamment aux modèles de fondation Amazon Bedrock.

 Uniquement les modèles sans serveur Amazon Bedrock dotés d’un ID de produit. AWS Marketplace
aws-marketplace:Unsubscribe Permet à une identité IAM de se désabonner de AWS Marketplace produits, y compris les modèles Amazon Bedrock Foundation. Uniquement les modèles sans serveur Amazon Bedrock dotés d’un ID de produit. AWS Marketplace
AWS Marketplace : ViewSubscriptions Permet à une identité IAM de renvoyer une liste de AWS Marketplace produits, y compris les modèles de fondation Amazon Bedrock. Uniquement les modèles sans serveur Amazon Bedrock dotés d’un ID de produit. AWS Marketplace
Note

Pour l’action aws-marketplace:Subscribe uniquement, vous pouvez utiliser la clé de condition aws-marketplace:ProductId pour restreindre l’abonnement à des modèles spécifiques.

Pour qu’une identité IAM demande l’accès à des modèles dotés d’un ID de produit

L’identité doit être associée à une politique qui autorise aws-marketplace:Subscribe.

Note

Si une identité est déjà abonnée à un modèle dans une AWS région, le modèle devient disponible pour que l'identité demande l'accès dans toutes les AWS régions dans lesquelles le modèle est disponible, même s'il aws-marketplace:Subscribe est refusé pour les autres régions.

Pour plus d’informations sur la création de la politique, consultez J’ai déjà un Compte AWS.

Pour l’action aws-marketplace:Subscribe uniquement, vous pouvez utiliser la clé de condition aws-marketplace:ProductId pour restreindre l’abonnement à des modèles spécifiques.

Note

Les modèles des fournisseurs suivants ne sont pas vendus par l'intermédiaire de ces fournisseurs AWS Marketplace et ne disposent pas de clés de produit. Vous ne pouvez donc pas leur attribuer aws-marketplace des actions :

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Vous pouvez toutefois empêcher l'utilisation de ces modèles en refusant les actions d'Amazon Bedrock et en spécifiant ces modèles IDs Resource sur le terrain. Pour obtenir un exemple, consultez Empêcher une identité d’utiliser un modèle une fois que l’accès a déjà été accordé.

Sélectionnez une section pour voir des exemples de politique IAM pour un cas d’utilisation spécifique :

Empêcher une identité de demander l’accès à un modèle avec un ID de produit

Pour empêcher une entité IAM de demander l’accès à un modèle spécifique doté d’un ID de produit, associez à l’utilisateur une politique IAM qui refuse l’action aws-marketplace:Subscribe et étendez le champ Condition à l’ID de produit du modèle.

Par exemple, vous pouvez attacher la politique suivante à une identité pour l’empêcher de s’abonner au modèle Anthropic Claude 3.5 Sonnet :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
Note

Avec cette politique, l’entité IAM aura accès par défaut à tous les modèles nouvellement ajoutés.

Si l’identité est déjà abonnée au modèle dans au moins une région, cette politique n’empêche pas l’accès dans les autres régions. Au lieu de cela, vous pouvez empêcher son utilisation en consultant l’exemple dans Empêcher une identité d’utiliser un modèle une fois que l’accès a déjà été accordé.

Empêcher une identité d’utiliser un modèle une fois que l’accès a déjà été accordé

Si une identité IAM a déjà obtenu l’accès à un modèle, vous pouvez empêcher l’utilisation du modèle en refusant toutes les actions Amazon Bedrock et en limitant le champ Resource à l’ARN du modèle de fondation.

Par exemple, vous pouvez associer la politique suivante à une identité pour l'empêcher d'utiliser le Anthropic Claude 3.5 Sonnet modèle dans toutes les AWS régions :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Accédez aux modèles de fondations Amazon Bedrock aux États-Unis AWS GovCloud

Avant de pouvoir utiliser un modèle de fondation dans Amazon Bedrock, vous devez demander l’accès à ce modèle. Si vous jugez que vous n’avez plus besoin d’accéder à un modèle, vous pouvez supprimer l’accès.

Note

Les modèles des fournisseurs suivants ne sont pas vendus par l'intermédiaire de ces fournisseurs AWS Marketplace et ne disposent pas de clés de produit. Vous ne pouvez donc pas leur attribuer aws-marketplace des actions :

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Vous pouvez toutefois empêcher l'utilisation de ces modèles en refusant les actions d'Amazon Bedrock et en spécifiant ces modèles IDs Resource sur le terrain. Pour obtenir un exemple, consultez Empêcher une identité d’utiliser un modèle une fois que l’accès a déjà été accordé.

Une fois que l’accès à un modèle est fourni, il est disponible pour tous les utilisateurs du compte AWS.

Pour ajouter ou supprimer l’accès aux modèles de fondation

  1. Assurez-vous de disposer des autorisations pour demander l’accès ou modifier l’accès aux modèles de fondation Amazon Bedrock.

  2. Connectez-vous à la console Amazon Bedrock à https://console.aws.amazon.com/bedrock/l'adresse.

  3. Dans le volet de navigation de gauche, sous Configurations Bedrock, choisissez Accès aux modèles.

  4. Sur la page Accès aux modèles, choisissez Modifier l’accès aux modèles.

  5. Sélectionnez les modèles auxquels vous souhaitez que le compte ait accès et désélectionnez les modèles auxquels vous ne souhaitez pas que le compte ait accès. Vous avez les options suivantes :

    Assurez-vous de consulter le Contrat de licence de l’utilisateur final (CLUF) pour connaître les conditions générales d’utilisation d’un modèle avant de demander l’accès à celui-ci.

    • Sélectionnez la case à côté d’un modèle individuel pour le cocher ou le décochez.

    • Sélectionnez la case supérieure pour cocher ou décocher tous les modèles.

    • Sélectionnez le mode de regroupement des modèles, puis cochez ou décochez tous les modèles d’un groupe en sélectionnant la case à côté du groupe. Par exemple, vous pouvez choisir Regrouper par fournisseur, puis sélectionner la case à côté de Cohere pour cocher ou décocher tous les modèles Cohere.

  6. Choisissez Suivant.

  7. Si vous ajoutez l’accès aux modèles Anthropic, vous devez décrire les détails de votre cas d’utilisation. Choisissez Soumettre les détails sur le cas d’utilisation, remplissez le formulaire, puis sélectionnez Envoyer le formulaire. La notification d’accès est accordée ou refusée en fonction de vos réponses lorsque vous remplissez le formulaire pour le fournisseur.

  8. Passez en revue les modifications d’accès que vous apportez, puis lisez les Conditions.

    Note

    Votre utilisation des modèles de fondation Amazon Bedrock est soumise aux conditions tarifaires du vendeur, au CLUF et aux conditions de service AWS.

  9. Si vous êtes d’accord avec les conditions, choisissez Envoyer. Les modifications peuvent prendre plusieurs minutes pour apparaître dans la console.

    Note

    Si vous révoquez l’accès à un modèle, il est toujours accessible via l’API pendant un certain temps après avoir effectué cette action, pendant que les modifications se propagent. Pour supprimer immédiatement l’accès dans l’intervalle, ajoutez une politique IAM à un rôle afin de refuser l’accès au modèle.

  10. Si votre demande est acceptée, le statut d’accès passe à Accès accordé ou Disponible à la demande.

Note

Pour les clients AWS GovCloud (américains), procédez comme suit pour accéder aux modèles disponibles aux États-Unis : AWS GovCloud

  • AWSGovCloud Les utilisateurs (américains) doivent trouver leur identifiant de AWS compte standard associé à leur identifiant de compte AWS GovCloud (américain). Pour trouver votre identifiant associé, vous pouvez suivre ce guide Trouver votre identifiant de AWS compte standard associé.

  • AWSGovCloud Les clients (États-Unis) peuvent utiliser leur identifiant de AWS compte standard pour accéder aux modèles de la console Amazon Bedrock dans la us-west-2 région us-east-1 OR. Si vous souhaitez utiliser un modèle dans une autre région, vous pouvez créer manuellement un modèle d'accord de base en appelant ListFoundationModelAgreementOfferspuis CreateFoundationModelAgreementen utilisant l'AWSAPI.

  • Une fois les étapes précédentes terminées, connectez-vous à votre compte AWS GovCloud (américain) et accédez à Amazon Bedrock inus-gov-west-1. Vous devriez maintenant avoir accès aux modèles disponibles dans AWSGovCloud.