View a markdown version of this page

Attribuzione principale IAM - Amazon Bedrock
Come funzionaTipi principaliConfigurazione dell'attribuzione principale IAMEtichettatura delle dimensioniTag di accesso e di sessione federatiSchemi di invocazioneVisualizzazione dei costiUtilizzo dell'attribuzione principale IAM con altri metodi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attribuzione principale IAM

Amazon Bedrock acquisisce automaticamente l'identità principale IAM (utenti IAM e ruoli IAM) per ogni richiesta di inferenza. Facoltativamente, puoi allegare tag ai tuoi responsabili per dimensioni di costo aggiuntive, come team, reparto o centro di costo. Ciò offre una visibilità dei costi per utente e per ruolo senza modifiche al codice o risorse aggiuntive.

L'attribuzione principale IAM attualmente funziona con Amazon Bedrock bedrock-runtime APIs (InvokeModel API/Converse API/Chat Completions API). Il supporto per bedrock-mantle APIs sarà presto disponibile.

Come funziona

Quando un utente o un ruolo IAM effettua una richiesta di inferenza, Amazon Bedrock registra l'identità del chiamante. Queste informazioni confluiscono in AWS Cost Explorer e AWS Cost and Usage Reports (CUR 2.0), dove è possibile filtrare e raggruppare i costi per identità. Non è richiesta alcuna modifica alle chiamate API Amazon Bedrock. L'attribuzione si basa su chi ha effettuato la chiamata, non sui parametri dell'API.

Facoltativamente, puoi allegare tag ai tuoi presidi IAM per aggiungere dimensioni organizzative (team, reparto, centro di costo) ai tuoi dati di fatturazione. I tag non sono necessari per l'attribuzione a livello di identità. L'identità del chiamante viene sempre acquisita.

Tipi principali

Amazon Bedrock acquisisce l'identità da qualsiasi tipo principale IAM. I due più comuni sono gli utenti IAM e i ruoli IAM.

Gli utenti IAM chiamano Amazon Bedrock direttamente utilizzando chiavi di accesso a lunga durata. Il nome utente IAM e tutti i tag associati all'utente vengono registrati in AWS Billing.

I ruoli IAM vengono assunti da utenti, applicazioni o identità federate tramite. AWS STS Quando un principale chiamasts:AssumeRole, le credenziali temporanee risultanti riportano l'identità del ruolo. I tag possono provenire da due fonti:

  • Tag principali: tag collegati direttamente al ruolo IAM. Sono statici e si applicano a ogni sessione.

  • Tag di sessione: tag passati al momento dell'assunzione del ruolo tramite AWS STS. Questi sono dinamici e possono variare in base alla sessione, il che li rende utili per trasmettere attributi specifici dell'utente come e-mail, team o centro di costo attraverso un ruolo condiviso.

Importante

Se un tag di sessione e un tag principale condividono la stessa chiave, il valore del tag di sessione sostituisce il valore del tag principale per quella sessione. Per ulteriori informazioni, consulta Passare i tag di sessione in. AWS STS

La maggior parte delle organizzazioni utilizza ruoli anziché utenti IAM per l'accesso ad Amazon Bedrock. Se più utenti condividono lo stesso ruolo, i tag di sessione sono il modo in cui li distingui nella fatturazione.

Configurazione dell'attribuzione principale IAM

L'attribuzione a livello di identità (l'ARN dell'utente IAM o del ruolo del chiamante) viene acquisita automaticamente per ogni richiesta Amazon Bedrock. Per aggiungere dimensioni organizzative come team o centro di costo ai tuoi dati di fatturazione, segui questi passaggi per etichettare i tuoi responsabili e attivare i tag in Fatturazione. AWS

Fase 1: applica i tag ai tuoi presidi IAM (opzionale)

I tag arrivano ai dati di fatturazione in due modi:

I tag principali sono collegati direttamente agli utenti o ai ruoli IAM. Impostali una volta e si applicano a tutte le richieste di quel principale. È ideale per etichettare singoli sviluppatori (utenti IAM) o applicazioni (ruoli IAM). Puoi applicare i tag principali utilizzando la console IAM, la AWS CLI (aws iam tag-role,aws iam tag-user) o l'API IAM (TagRole,TagUser).

Per saperne di più sui tag e sulle best practice di IAM, consulta Tags for IAM resources.

I tag di sessione vengono passati dinamicamente quando si assume un ruolo IAM tramite. AWS STS Sono ideali per gli utenti federati (che si autenticano tramite un provider di identità come Okta, Auth0 o Entra) e per i gateway LLM che eseguono il proxy delle richieste per conto di più utenti o tenant. I tag di sessione possono essere passati in tre modi:

  • AssumeRole— Pass --tags durante la chiamata sts:AssumeRole (ad esempio, un gateway LLM che assume un ruolo Amazon Bedrock per utente o tenant).

  • AssumeRoleWithWebIdentity (OIDC) — Incorpora i tag nel https://aws.amazon.com/tags claim nel token ID emesso dal tuo provider di identità.

  • AssumeRoleWithSAML: mappa PrincipalTag:* gli attributi nell'asserzione SAML del tuo IdP.

La policy di fiducia del ruolo IAM deve consentire il passaggio dei tag sts:TagSession di sessione. Per ulteriori informazioni, consulta Pass session tags in AWS STS.

Sia i tag principali che i tag di sessione vengono visualizzati in CUR 2.0 con il iamPrincipal/ prefisso.

Fase 2: attivare tag di allocazione dei costi

Per far apparire i tag principali IAM in AWS Cost Explorer e CUR 2.0, devi attivarli come tag di allocazione dei costi:

  1. Apri la console AWS Billing and Cost Management.

  2. Nel riquadro di navigazione scegli Tag per l'allocazione dei costi.

  3. Filtra per tipo di principale IAM per trovare i tag che hai applicato ai tuoi principali.

  4. Seleziona i tag e scegli Attiva.

Nota

I tag vengono visualizzati nella AWS fatturazione solo dopo che il responsabile IAM ha effettuato almeno una chiamata all'API Amazon Bedrock. I tag di allocazione dei costi non sono retroattivi: vengono contrassegnati solo i costi sostenuti dopo l'attivazione. La visualizzazione dei tag può richiedere fino a 24 ore dopo l'attivazione.

Fase 3: Creare un'esportazione di dati CUR 2.0 con dati a livello IAM

Per visualizzare le suddivisioni dei costi a livello di identità, create un'esportazione di dati CUR 2.0 che includa l'identità del chiamante:

  1. Apri la console AWS Billing and Cost Management.

  2. Nel riquadro di navigazione, scegli Esportazioni dati.

  3. Scegliete Crea per creare una nuova esportazione CUR 2.0.

  4. Configura l'esportazione e assicurati di selezionare l'opzione per includere l'ARN dell'identità del chiamante.

Importante

Se hai creato un'esportazione di dati CUR 2.0 prima di abilitare l'attribuzione principale IAM, devi creare una nuova esportazione e selezionare l'opzione di identità del chiamante. Le esportazioni esistenti non includono retroattivamente i dati di identità. È inoltre necessario assicurarsi che i tag di allocazione dei costi siano attivati (Fase 2) affinché i tag vengano visualizzati nell'esportazione.

Per ulteriori informazioni, consulta Creazione di report nella Guida per l'utente dei report sui AWS costi e sull'utilizzo.

Etichettatura delle dimensioni

Puoi utilizzare qualsiasi chiave di tag che rappresenti la tua struttura organizzativa. Le dimensioni comuni includono:

Chiave tag Scopo Valori di esempio
User Identità individuale jane@example.com, bob@example.com
Team Ownership PlatformEngineering, DataScience
Department Unità organizzativa Ingegneria, ricerca, marketing
CostCenter Mappatura finanziaria CC-1001, CC-2002
Environment Fase del ciclo di vita Produzione, sviluppo

Puoi applicare fino a 50 tag principali o di sessione per utente o ruolo IAM.

Tag di accesso e di sessione federati

Per le organizzazioni che utilizzano provider di identità federati (AWS IAM Identity Center, Okta, Entra, Ping), i tag di sessione consentono di passare gli attributi utente dal proprio IdP a. AWS Quando un utente federato assume un ruolo AWS STS, l'IdP può passare attributi come email utente, team e centro di costo come tag di sessione. Questi tag vengono acquisiti insieme alla richiesta Amazon Bedrock e vengono trasferiti a AWS CUR 2.0 e AWS Cost Explorer.

Per configurarlo:

  1. Configura il tuo IdP per includere gli attributi utente (email, team, centro di costo) come attributi SAML o attestazioni OIDC.

  2. Mappa questi attributi ai tag di AWS sessione nella policy di fiducia del tuo ruolo IAM utilizzando. sts:TagSession

  3. I tag di sessione sono quindi disponibili come tag di allocazione dei costi in AWS Billing dopo l'attivazione.

Per ulteriori informazioni, consulta Passare i tag di sessione in AWS STS.

Schemi di invocazione

L'attribuzione principale IAM funziona indipendentemente dal modo in cui l'applicazione chiama Amazon Bedrock:

Pattern Come scorre l'identità
Chiamata diretta all'API Identità dell'utente o del ruolo IAM acquisita automaticamente
Gateway API Viene acquisita l'identità del ruolo che richiama Amazon Bedrock
LLM Gateway (LiteLLM, personalizzato) Viene acquisita l'identità del ruolo di esecuzione del gateway. Passa i tag di sessione dal gateway per preservare l'attribuzione a livello utente.
Identità federata (Okta, Entra) I tag di sessione dell'IdP vengono acquisiti durante l'assunzione del ruolo

Se utilizzi un gateway LLM o un gateway API e non vedi l'identità a livello di utente in AWS Billing, conferma che il gateway stia passando i tag di sessione a ogni richiesta.

Visualizzazione dei costi

Dopo aver attivato i tag di allocazione dei costi, puoi analizzare i costi di Amazon Bedrock per principale con i seguenti strumenti:

  • AWS Cost Explorer: filtra per tag principali per visualizzare le tendenze dei costi per utente, team o reparto. Raggruppa per tag per confrontare i costi tra diverse dimensioni.

  • AWS Rapporti su costi e utilizzo (CUR 2.0): interroga i dati CUR per la suddivisione dei costi per voce di riga per tag principale.

I dati sui costi possono richiedere fino a 24 ore per essere visualizzati in AWS Cost Explorer e CUR 2.0 dopo la richiesta.

Utilizzo dell'attribuzione principale IAM con altri metodi

L'attribuzione principale IAM può essere utilizzata insieme ai progetti e ai profili di inferenza delle applicazioni. Questo ti offre una visibilità multidimensionale dei costi.

Ti consigliamo di utilizzare Projects per l'attribuzione a livello di applicazione e l'attribuzione principale IAM per l'attribuzione a livello di utente all'interno dello stesso account.

Metodo Attributi di Supportato APIs bedrock-runtime bedrock-mantle
Attribuzione principale IAM Identità (utente, ruolo, team) InvokeModel API/API Converse /API di completamento della chat
Progetti (consigliati) Applicazione o carico di lavoro API di risposta/API di completamento della chat
Profili di inferenza delle applicazioni Applicazione o carico di lavoro InvokeModel API/API Converse /API Chat Completions