翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Access Amazon Bedrock foundation models
すべての Amazon Bedrock 基盤モデルへのアクセスは、適切な AWS Marketplace アクセス許可でデフォルトで有効になっています。開始するには、Amazon Bedrock コンソールのモデルカタログからモデルを選択してプレイグラウンドで開くか、[InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html) または [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html) API オペレーションを使用してモデルを呼び出します。Amazon Bedrock でサポートされているさまざまなモデルの詳細については、「[Amazon Bedrock 基盤モデルの情報](https://docs.aws.amazon.com//bedrock/latest/userguide/foundation-models-reference.html)」を参照してください。モデルの料金の詳細については、「[Amazon Bedrock の料金](https://aws.amazon.com/bedrock/pricing/)」を参照してください。
すべての Amazon Bedrock 基盤モデルへのアクセスは、すべての商用 AWS リージョンで適切な AWS Marketplace アクセス許可を使用するとデフォルトで有効になります。サードパーティーモデルへのプログラムによるアクセスについては、「」を参照してください[SDK と CLI を使用してモデルアクセスを管理する](#model-access-modify)。
**自動モデルアクセスについて**
アカウントで初めてサードパーティーモデルを呼び出すと、Amazon Bedrock はバックグラウンドでサブスクリプションプロセスを自動的に開始します。この設定期間中 (最大 15 分)、サブスクリプションの確定中に API コールが一時的に成功することがあります。前提条件がない場合、サブスクリプションの試行は失敗し、後続の API コールは を返します`AccessDeniedException`。必要なアクセス許可を付与した後、サブスクリプションが完了するまでに最大 2 分かかる場合があります。この間、API コールは引き続き を返す可能性があります`AccessDeniedException`。サブスクリプションが完了すると、それ以降のすべての呼び出しは成功します。これを完全に回避するには、本番環境でモデルを呼び出す前に、すべての前提条件を確認してください。
**モデルへのアクセスを成功させるための前提条件:**
**AWS Marketplace アクセス許可**: IAM ロールには、`aws-marketplace:Subscribe`、`aws-marketplace:Unsubscribe`、および アクセス`aws-marketplace:ViewSubscriptions`許可が必要です。詳細については、「[製品 ID を使用して Amazon Bedrock 基盤モデルへのアクセスをリクエストする IAM アクセス許可を付与する](#model-access-permissions)」を参照してください。
**Anthropic モデル**: Anthropic モデルの場合、モデルを呼び出す前に初回使用 (FTU) フォームを完了する必要があります。
**有効な支払い方法**: AWS アカウントには、AWS Marketplace の購入用に有効な支払い方法が設定されている必要があります。
**注記**
Anthropic では、初めてのお客様は、アカウントごとに 1 回、または組織の管理アカウントで 1 回、モデルを呼び出す前にユースケースの詳細を送信する必要があります。Amazon Bedrock コンソールでモデルカタログから Anthropic モデルを選択するか、`PutUseCaseForModelAccess` API コマンドを呼び出すと、ユースケースの詳細を送信できます。モデルへのアクセスは、ユースケースの詳細が正常に送信された直後に付与されます。ルートアカウントのフォーム送信は、同じ AWS Organization 内の他のアカウントによって継承されます。
**注記**
3P モデルの場合、モデルを初めて呼び出し/使用することで、該当するエンドユーザーライセンス契約に同意したことになります。詳細については、「[AWS のサービス条件](https://aws.amazon.com/service-terms/)」および「[サーバーレスサードパーティーモデルライセンス契約](https://aws.amazon.com/legal/bedrock/third-party-models/)」を参照してください。
モデルの使用を許可する前に EULA を確認して同意する必要がある組織は、以下を行う必要があります。
サービスコントロールポリシー (SCP) または IAM ポリシーを使用して、最初にモデルへのアクセスをブロックする
EULA の条件を確認する
EULA 条件に同意する場合にのみ、SCP/IAM ポリシーを通じてモデルへのアクセスを有効にする
**Topics**
+ [製品 ID を使用して Amazon Bedrock 基盤モデルへのアクセスをリクエストする IAM アクセス許可を付与する](#model-access-permissions)
+ [製品 ID 条件キーを使用してアクセスを制御する](model-access-product-ids.md)
+ [SDK と CLI を使用してモデルアクセスを管理する](#model-access-modify)
+ [AWS GovCloud (米国) で Amazon Bedrock 基盤モデルにアクセスする](#model-access-govcloud)
+ [License Manager を使用してモデルサブスクリプションを管理する](managed-entitlements.md)
## 製品 ID を使用して Amazon Bedrock 基盤モデルへのアクセスをリクエストする IAM アクセス許可を付与する
カスタム IAM ポリシーを作成することで、モデルへのアクセス許可を管理できます。Amazon Bedrock 基盤モデルへのアクセスを変更するには、まず、Amazon Bedrock へのアクセスを許可する IAM ロールに、以下の[AWS Marketplace アクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html#awsmarketplace-actions-as-permissions)を含むアイデンティティベースの IAM ポリシーをアタッチする必要があります。
アカウント AWS Marketplace で から提供される Amazon Bedrock サーバーレスモデルを最初に呼び出すと、Bedrock はアカウントのモデルを自動的に有効にしようとします。この自動有効化を機能させるには、 AWS Marketplace アクセス許可が必要です。
アクセス AWS Marketplace 許可を引き受けることができない場合、アクセス AWS Marketplace 許可を持つユーザーは、アカウントのモデルを 1 回限りのステップ (手動または自動有効化) として有効にする必要があります。有効にすると、アカウントのすべてのユーザーは、アクセス許可を必要と AWS Marketplace せずにモデルを呼び出すことができます。ユーザーは、有効にした後でモデルを呼び出すために AWS Marketplace サブスクリプションのアクセス許可を必要としません。これらのアクセス許可は、モデルがアカウントで初めて使用される場合にのみ必要です。
製品 ID を使用した Amazon Bedrock サーバーレス基盤モデルへのアクセスは、次の IAM アクションによって制御されます。
****
| IAM アクション | 説明 | 適用するモデル |
| --- | --- | --- |
| aws-marketplace:Subscribe | IAM エンティティが Amazon Bedrock 基盤モデルなどの AWS Marketplace 製品をサブスクライブできるようにします。 | AWS Marketplace.の製品 ID を持つ Amazon Bedrock サーバーレスモデルのみ |
| aws-marketplace:Unsubscribe | IAM アイデンティティが Amazon Bedrock 基盤モデルを含む AWS Marketplace 製品のサブスクリプションを解除できるようにします。 | AWS Marketplace.の製品 ID を持つ Amazon Bedrock サーバーレスモデルのみ |
| aws-marketplace:ViewSubscriptions | IAM アイデンティティが Amazon Bedrock 基盤モデルを含む AWS Marketplace 製品のリストを返すことを許可します。 | AWS Marketplace.の製品 ID を持つ Amazon Bedrock サーバーレスモデルのみ |
**注記**
`aws-marketplace:Subscribe` アクションでのみ、`aws-marketplace:ProductId` [条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html#awsmarketplace-policy-keys)を使用して、特定のモデルへのサブスクリプションを制限できます。
**IAM ID が製品 ID を持つモデルへのアクセスをリクエストする場合**
ID には、`aws-marketplace:Subscribe` を許可するポリシーがアタッチされている必要があります。
**注記**
ID が 1 つの AWS リージョンのモデルに既にサブスクライブしている場合、 が他の AWS リージョンで`aws-marketplace:Subscribe`拒否されていても、そのモデルは、そのモデルが利用可能なすべてのリージョンでアクセスをリクエストできるようになります。
ポリシーの作成については、[「クイックスタート](getting-started.md)」を参照してください。
`aws-marketplace:Subscribe` アクションでのみ、`aws-marketplace:ProductId` [条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html#awsmarketplace-policy-keys)を使用して、特定のモデルへのサブスクリプションを制限できます。
**注記**
次のプロバイダーのモデルは販売されておらず AWS Marketplace 、製品キーがないため、`aws-marketplace`アクションの範囲を設定することはできません。
Amazon
DeepSeek
Mistral AI
Meta
Qwen
OpenAI
ただし、Amazon Bedrock アクションを拒否し、`Resource` フィールドにこれらのモデル ID を指定することで、これらのモデルの使用を防ぐことができます。例については、[アクセスが既に付与された後に ID がモデルを使用できないようにする](#model-access-prevent-usage)を参照してください。
セクションを選択すると、特定のユースケースの IAM ポリシーの例が表示されます。
**Topics**
+ [ID が製品 ID を持つモデルへのアクセスをリクエストしないようにする](#model-access-prevent-subscription)
+ [アクセスが既に付与された後に ID がモデルを使用できないようにする](#model-access-prevent-usage)
### ID が製品 ID を持つモデルへのアクセスをリクエストしないようにする
IAM エンティティが製品 ID を持つ特定のモデルへのアクセスをリクエストしないようにするには、`aws-marketplace:Subscribe` アクションを拒否する IAM ポリシーをユーザーにアタッチし、`Condition` フィールドのスコープをモデルの製品 ID に設定します。
例えば、次のポリシーを ID にアタッチして、Anthropic Claude 3.5 Sonnet モデルへのサブスクライブを防ぐことができます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-marketplace:Subscribe"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws-marketplace:ProductId": [
"prod-m5ilt4siql27k"
]
}
}
}
]
}
```
------
**注記**
Amazon Bedrock はバックグラウンドでサブスクリプションを自動的に開始するため、`aws-marketplace:Subscribe`単独で拒否しても最初のモデル呼び出しはブロック**されません**。 ****
**最初からモデルアクセスをブロック**するには、**組織 (SCP) またはアカウント (IAM) レベルで** **に拒否ポリシーを適用します`bedrock:InvokeModel`**。
**注記**
このポリシーでは、IAM エンティティはデフォルトで新しく追加されたすべてのモデルにアクセスできます。
ID が少なくとも 1 つのリージョンで既にモデルをサブスクライブしている場合、このポリシーは他のリージョンでのアクセスを妨げません。代わりに、[アクセスが既に付与された後に ID がモデルを使用できないようにする](#model-access-prevent-usage) の例を参照することで、その使用を防ぐことができます。
### アクセスが既に付与された後に ID がモデルを使用できないようにする
IAM ID にモデルへのアクセス権が既に付与されている場合は、すべての Amazon Bedrock アクションを拒否し、`Resource` フィールドのスコープを基盤モデルの ARN に設定することで、モデルの使用を防ぐことができます。
たとえば、次のポリシーを ID にアタッチして、すべての AWS リージョンでAnthropicClaude 3.5 Sonnetモデルが使用されないようにできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"bedrock:*"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
]
}
]
}
```
------
# 製品 ID 条件キーを使用してアクセスを制御する
`aws-marketplace:ProductId` 条件キーを使用すると、 AWS Marketplaceで製品 ID を持つ Amazon Bedrock サーバーレスモデルへのサブスクライブ機能を制御できます。製品 ID 条件キーの使用方法については、「[製品 ID を使用して Amazon Bedrock 基盤モデルへのアクセスをリクエストする IAM アクセス許可を付与する](model-access.md#model-access-permissions)」の例を参照してください。
**注記**
次のプロバイダーのモデルは販売されておらず AWS Marketplace 、製品キーがないため、`aws-marketplace`アクションの範囲を設定することはできません。
Amazon
DeepSeek
Mistral AI
Meta
Qwen
OpenAI
ただし、Amazon Bedrock アクションを拒否し、`Resource` フィールドにこれらのモデル ID を指定することで、これらのモデルの使用を防ぐことができます。例については、[アクセスが既に付与された後に ID がモデルを使用できないようにする](model-access.md#model-access-prevent-usage)を参照してください。
Amazon Bedrock 基盤モデルの製品 ID のリストは、次の表のとおりです。
| モデル | 製品 ID |
| --- | --- |
| AI21 Labs Jurassic-2 Mid | 1d288c71-65f9-489a-a3e2-9c7f4f6e6a85 |
| AI21 Labs Jurassic-2 Ultra | cc0bdd50-279a-40d8-829c-4009b77a1fcc |
| AI21 Jamba-Instruct | prod-dr2vpvd4k73aq |
| AI21 Labs Jamba 1.5 Large | prod-evcp4w4lurj26 |
| AI21 Labs Jamba 1.5 Mini | prod-ggrzjm65qmjhm |
| Anthropic Claude | c468b48a-84df-43a4-8c46-8870630108a7 |
| Anthropic Claude Instant | b0eb9475-3a2c-43d1-94d3-56756fd43737 |
| Anthropic Claude 3 Sonnet | prod-6dw3qvchef7zy |
| Anthropic Claude 3.5 Sonnet | prod-m5ilt4siql27k |
| Anthropic Claude 3.5 Sonnet v2 | prod-cx7ovbu5wex7g |
| Anthropic Claude 3.7 Sonnet | prod-4dlfvry4v5hbi |
| Anthropic Claude Sonnet 4.5 | prod-mxcfnwvpd6kb4 |
| Anthropic Claude Haiku 4.5 | prod-xdkflymybwmvi |
| Anthropic Claude Sonnet 4 | prod-4pmewlybdftbs |
| Anthropic Claude Sonnet 4.6 | prod-ffvjxvh4ltq64 |
| Anthropic Claude 3 Haiku | prod-ozonys2hmmpeu |
| Anthropic Claude 3.5 Haiku | prod-5oba7y7jpji56 |
| Anthropic Claude 3 Opus | prod-fm3feywmwerog |
| Anthropic Claude Opus 4 | prod-azycxvnd5mhqi |
| Anthropic Claude Opus 4.1 | prod-w3q2d6rfge4tw |
| Anthropic Claude Opus 4.5 | prod-jhuafngbly644 |
| Anthropic Claude Opus 4.6 | prod-5ukwuglpt66 kg |
| Cohere Command | a61c46fe-1747-41aa-9af0-2e0ae8a9ce05 |
| Cohere Command Light | 216b69fd-07d5-4c7b-866b-936456d68311 |
| Cohere Command R | prod-tukx4z3hrewle |
| Cohere Command R\$1 | prod-nb4wqmplze2pm |
| Cohere Embed (英語) | b7568428-a1ab-46d8-bab3-37def50f6f6a |
| Cohere Embed (多言語) | 38e55671-c3fe-4a44-9783-3584906e7cad |
| Cohere Rerank 3.5 | prod-2o5bej62oxkbi |
| Cohere Embed v4 | prod-ft3cj5gst3spo |
| Stable Image Core 1.0 | prod-eacdrmv7zfc5e |
| Stable Diffusion 3 Large 1.0 | prod-cqfmszl26sxu4 |
| Stable Image Ultra 1.0 | prod-7boen2z2wnxrg |
| Stability 3.5 Large 1.0 | prodview-ajc3gw4mjy7my |
| TwelveLabs Marengo Embed 2.7 | prod-o6xchhpirymvs |
| TwelveLabs Pegasus 1.2 | prod-635pcy5x5pc2a |
| Writer Palmyra X4 | prod-azehe4da4pzsy |
| Writer Palmyra X5 | prod-23enyy63orhuk |
モデルへのアクセス権限を制御する IAM ポリシーをロールにアタッチするには、次のテンプレートを使用できます。
IAM ポリシーを使用してモデルアクセスを管理する方法のその他の例については、「[Amazon Bedrock のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。
## SDK と CLI を使用してモデルアクセスを管理する
モデルへのアクセスは、モデルの呼び出しに加えて SDK を使用して管理できます。以下のステップを使用して、モデルアクセスを作成/削除したり、アクセスが既に存在するかどうかを確認したりできます。これはサードパーティーモデルにのみ適用されます。
プログラムでモデルアクセスを管理するには、次の手順に従います。
+ [前提条件](#model-access-sdk-prerequisites)
+ [ステップ 1: 基盤モデル契約オファーを一覧表示する](#model-access-sdk-step1)
+ [ステップ 2: [Anthropic モデルでのみ 1 回のみ必要] 初めて使用するユーザーのユースケースを設定する](#model-access-sdk-step2)
+ [ステップ 3: 基盤モデル契約を作成する](#model-access-sdk-step3)
+ [ステップ 4: 基盤モデルの可用性を取得する](#model-access-sdk-step4)
+ [[オプション] ステップ 5: 基盤モデル契約を削除する](#model-access-sdk-step5)
### 前提条件
+ SDK/CLI に使用される IAM ユーザー/ロールに [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html) ポリシーをアタッチします。
+ Bedrock SDK のセットアップ: [Amazon Bedrock 用の AWS SDK のセットアップ](https://docs.aws.amazon.com/bedrock/latest/userguide/sdk-general-information-section.html)
注: 以下の手順では、例に python3 を使用します。
+ アクセスを管理する必要があるモデルの modelId を書き留めます。
### ステップ 1: 基盤モデル契約オファーを一覧表示する
この API を使用して、特定のモデルの契約オファーを取得します。これにより、次のステップでモデルアクセスを作成するために使用される offerToken が提供されます。
ドキュメント
+ API: [ListFoundationModelAgreementOffers](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_ListFoundationModelAgreementOffers.html)
+ CLI ドキュメント: [list-foundation-model-agreement-offers](https://docs.aws.amazon.com/cli/latest/reference/bedrock/list-foundation-model-agreement-offers.html)
------
#### [ AWS CLI ]
```
aws bedrock list-foundation-model-agreement-offers --model-id
```
------
#### [ Python ]
```
# Placeholder for modelId
model_id = ""
# Placeholder for offerId
offer_id = ""
try:
# offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
print(model_agreement_offers_response)
except ClientError as e:
print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")
```
------
### ステップ 2: [Anthropic モデルでのみ 1 回のみ必要] 初めて使用するユーザーのユースケースを設定する
Anthropic モデルにのみ必要な初めてのユーザーユースケースフォームを配置するために使用されます。これは、アカウントの Anthropic モデルにアクセスするための前提条件です。この API は、このフォームを再度入力する必要があるオプトインリージョンを除き、すべての商用リージョンでアカウントまたは AWS 組織ごとに 1 回のみ必要です。
ドキュメント
+ API: [PutUseCaseForModelAccess](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_PutUseCaseForModelAccess.html)
+ CLI ドキュメント: [put-use-case-for-model-access](https://docs.aws.amazon.com/cli/latest/reference/bedrock/put-use-case-for-model-access.html)
------
#### [ AWS CLI ]
```
aws bedrock put-use-case-for-model-access \
--form-data
```
------
#### [ Python ]
```
# Placeholder for form data, replace the names
COMPANY_NAME = ""
COMPANY_WEBSITE = ""
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = ""
OTHER_INDUSTRY_OPTION = ""
USE_CASES = ""
form_data = {
"companyName": COMPANY_NAME,
"companyWebsite": COMPANY_WEBSITE,
"intendedUsers": INTENDED_USERS,
"industryOption": INDUSTRY_OPTION,
"otherIndustryOption": OTHER_INDUSTRY_OPTION,
"useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)
```
------
CLI の場合、フォームデータは base64 でエンコードされた以下の形式の JSON です。
```
{
"companyName": COMPANY_NAME,
"companyWebsite": COMPANY_WEBSITE,
"intendedUsers": INTENDED_USERS,
"industryOption": INDUSTRY_OPTION,
"otherIndustryOption": OTHER_INDUSTRY_OPTION,
"useCases": USE_CASES
}
```
+ COMPANY\$1NAME: 最大長が 128 の文字列
+ COMPANY\$1WEBSITE: 最大長が 128 の文字列
+ 意図されたユーザー: 0、1、または 2。0: 内部、1: 外部、2: Internal\$1and\$1External
+ INDUSTRY\$1OPTION: 最大長が 128 の文字列
+ OTHER\$1INDUSTRY\$1OPTION: 最大長が 128 の文字列
+ USE\$1CASES: 最大長が 8192 の文字列
### ステップ 3: 基盤モデル契約を作成する
基盤モデルの契約 (アクセス) を作成するために使用されます。上記のオファートークンと modelId を使用します。
ドキュメント
+ API: [CreateFoundationModelAgreement](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateFoundationModelAgreement.html)
+ CLI ドキュメント: [create-foundation-model-agreement](https://docs.aws.amazon.com/cli/latest/reference/bedrock/create-foundation-model-agreement.html)
------
#### [ AWS CLI ]
```
aws bedrock create-foundation-model-agreement \
--model-id \
--offer-token
```
------
#### [ Python ]
```
offer_token= ''
for agreement_offer in model_agreement_offers_response['offers']:
if agreement_offer['offerId'] == offer_id:
offer_token = agreement_offer['offerToken']
print(f"offer token found. Offer token is {offer_token}")
break
if(not offer_token):
print(f"Offer token for modelId: {model_id} is not found")
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)
```
------
### ステップ 4: 基盤モデルの可用性を取得する
基盤モデルに現在アクセス権があるかどうかをチェックするために使用されます。上記の modelId を使用します。
ドキュメント
+ API: [GetFoundationModelAvailability](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetFoundationModelAvailability.html)
+ CLI ドキュメント: [get-foundation-model-availability](https://docs.aws.amazon.com/cli/latest/reference/bedrock/get-foundation-model-availability.html)
------
#### [ AWS CLI ]
```
aws bedrock get-foundation-model-availability \
--model-id
```
------
#### [ Python ]
```
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
```
------
**予想されるレスポンス**
`agreementAvailability` - アクセスが存在する`AVAILABLE`場合、`NOT_AVAILABLE`アクセスは存在しません。
```
{
"modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
"agreementAvailability": {
"status": "AVAILABLE"
},
"authorizationStatus": "AUTHORIZED",
"entitlementAvailability": "AVAILABLE",
"regionAvailability": "AVAILABLE"
}
```
### [オプション] ステップ 5: 基盤モデル契約を削除する
基盤モデル契約 (アクセス) を削除するために使用します。上記の modelId を使用します。
**注記**
モデルを呼び出すと再びアクセスが作成されるため、モデルアクセスを削除しても、今後アクセスをブロックするには不十分です。アクセスが再度作成されないようにするには、モデルに制限付き拒否 IAM ポリシーを適用します。
ドキュメント
+ API: [DeleteFoundationModelAgreement](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_DeleteFoundationModelAgreement.html)
+ CLI ドキュメント: [delete-foundation-model-agreement](https://docs.aws.amazon.com/cli/latest/reference/bedrock/delete-foundation-model-agreement.html)
------
#### [ AWS CLI ]
```
aws bedrock delete-foundation-model-agreement \
--model-id
```
------
#### [ Python ]
```
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)
```
------
## AWS GovCloud (米国) で Amazon Bedrock 基盤モデルにアクセスする
AWS GovCloud (米国) アカウントは、標準の AWS 商用アカウントと one-to-one でリンクされています。このリンクされた商用アカウントは、請求、サービスアクセス、サポート目的、Amazon Bedrock Model Marketplace へのアクセスに使用されます。GovCloud と商用アカウントの関係の詳細については、[「AWS GovCloud (米国) での標準アカウントのリンク](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-standard-account-linking.html)」を参照してください。
サードパーティーモデルの場合、AWS GovCloud アカウントに加えて、リンクされた AWS 商用アカウントの両方でモデルアクセスを有効にする必要があります。Amazon Bedrock が提供するモデルの場合、モデルアクセスは GovCloud アカウントでのみ有効にする必要があります。これは手動プロセスです。
### リンクされた AWS 商用アカウントで AWS GovCloud のモデルアクセスを有効にする (サードパーティーモデルのみ)
モデルアクセスは、次の 2 つの方法で AWS 商用アカウントで有効にできます。
1. `us-east-1` または`us-west-2`リージョンで AWS 商用アカウントに必要なモデルを呼び出します。
1. `us-east-1` または`us-west-2`リージョンの AWS 商用アカウントの SDK/CLI を使用して、モデルへのアクセスをプログラムで有効にします。これを行うには、前のセクションで説明したステップに従います。
### AWS GovCloud アカウントのモデルアクセスの有効化
AWS GovCloud (米国) では、`us-gov-west-1`リージョンの Amazon Bedrock コンソールの**モデルアクセス**ページを使用して、以下に示すように基盤モデルを有効にします。
1. Amazon Bedrock 基盤[モデルへのアクセスをリクエストしたり、アクセスを変更したりするためのモデルアクセスをリクエストするアクセス許可](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html#model-access-permissions)があることを確認してください。使用するユーザー/ロールに [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html) ポリシーをアタッチすることをお勧めします。
1. [https://console.aws.amazon.com/bedrock/](https://console.aws.amazon.com/bedrock/) の `us-gov-west-1`リージョンで Amazon Bedrock コンソールにサインインします。
1. 左側のナビゲーションペインの **[Bedrock 設定]** で、**[モデルアクセス]** を選択します。
1. **[モデルアクセス]** ページで、**[モデルアクセスを変更]** を選択します。
1. アカウントにアクセス権を付与するモデルを選択し、アカウントにアクセス権を付与しないモデルの選択を解除します。次のオプションがあります。
1. モデルへのアクセスをリクエストする前に、**End User License Agreement (EULA)** でモデルの使用条件を確認します。
1. 個々のモデルの横にあるチェックボックスを選択して、チェックボックスをオンまたはオフにします。
1. 上部のチェックボックスを選択すると、すべてのモデルのチェックボックスをオン/オフにできます。
1. モデルをグループ化する方法を選択し、グループの横にあるチェックボックスをオンにして、グループ内のすべてのモデルをオン/オフにします。たとえば、**プロバイダー別にグループ化**を選択し、**Cohere** の横にあるチェックボックスを選択して、すべての Cohere モデルをオンまたはオフにすることができます。
1. [**次へ**] を選択します。
1. Anthropic モデルへのアクセスを追加する場合は、ユースケースの詳細を記述する必要があります。**[ユースケースの詳細の送信]** を選択し、フォームを入力したら、**[フォームを送信]** を選択します。プロバイダーのフォームに入力すると、回答に基づいてアクセスの通知が付与または拒否されます。
1. アクセスの変更を確認したら、**[条件]** を読みます。
1. 条件に同意する場合は、**[送信]** を選択します。変更がコンソールに反映されるまで数分かかる場合があります。
1. リクエストが成功すると、**[アクセス状態]** が**[アクセス許可済み]** または **[リクエストで利用可能]** になります。
# License Manager を使用してモデルサブスクリプションを管理する
**注記**
次のガイダンスは、AWS Marketplace サブスクリプションを必要とするサードパーティーのサーバーレスモデルにのみ適用されます。
複数の AWS アカウントを持つ組織は、多くの場合、多くのアカウントでサードパーティーの Bedrock モデルアクセスを提供する必要があります。一元管理がない場合、各アカウントには AWS Marketplace アクセス許可があり、独自のサブスクリプションを作成する必要があります。これにより、運用オーバーヘッドが増大し、一貫したアクセスポリシーの適用が困難になります。
Amazon Bedrock のマネージドエンタイトルメントは、管理アカウントから 1 回サブスクライブし、AWS Organization のメンバーアカウントにアクセス権を配布することでこれを解決します。これは、両方のタイプの Bedrock サブスクリプションで動作します。
+ **自動有効化** — Bedrock が最初のモデル呼び出し時にサブスクリプションを自動的に作成する場合
+ **プライベートオファー** – AWS Marketplace を通じて販売者と交渉されたカスタム料金と条件
ディストリビューションワークフローは AWS License Manager を使用します。モデルにサブスクライブすると、ライセンスが自動的に作成されます。次に、そのライセンスを組織内の他のアカウントと共有するための許可を作成します。受信者は付与を有効にしてモデルの使用を開始します。追加のマーケットプレイストランザクションは必要ありません。
**注記**
モデルをサブスクライブまたは呼び出す場所に関係なく、すべてのライセンスは us-east-1 リージョンで作成されます。
# ワークフローの概要
**ステップ 1 - サブスクライブ**: AWS Marketplace 経由でサードパーティーの Bedrock サーバーレスモデルをサブスクライブします (自動有効化またはプライベートオファー経由)。
**ステップ 2 - ライセンスの作成**: us-east-1 でライセンスが自動的に生成され、使用権限を表します。このライセンスは、ライセンスマネージャーコンソールの「ライセンスの付与」で確認できます。
**ステップ 3 - 許可を作成して配布**する: ライセンスを配布するための許可を作成します。権限は、個々の AWS アカウント IDs、組織全体 ID、または特定の組織単位 (OUs。
+ 個々の AWS アカウント IDs - 権限が受信者の License Manager コンソールに表示されます
+ 組織 ID - すべてのメンバーアカウントに自動的に配布される許可
+ 組織単位 (OUs) - OU 内のすべてのアカウントに配布される権限
**ステップ 4 - アクティブ化**: モデルを使用する前に、グラントをアクティブ化する必要があります。
+ 個々のグラント: 受取人は自分のグラントを受け入れてアクティブ化します
+ 組織/OU 許可: 管理アカウントはすべての許可を一括アクティブ化するか、受信者を個別にアクティブ化できます
**ステップ 5 - モデル**を使用する: 有効にすると、権限のあるアカウントのユーザーは Amazon Bedrock コンソール、AWS CLI、または AWS SDKs を使用してモデルを呼び出すことができます。
# 主要なコンセプト
## アカウントのロール
**グランターまたは管理者**: AWS Marketplace を通じてサードパーティーの Bedrock サーバーレスモデルのサブスクリプションを作成するユーザー。このユーザーは、そのサブスクリプションからライセンスを受け取り、その後、AWS Organization の他のメンバーにそのライセンスの使用権限を付与できます。すべての機能が有効になっている組織では、管理アカウントを通じてサードパーティーの Bedrock モデルライセンスをサブスクライブして、リンクされたアカウントで付与された使用権限の自動承認や AWS Organization ID への配布機能など、追加のガバナンスメカニズムを活用することを強くお勧めします。
**被付与者またはエンドユーザー**: 付与者または管理者から付与された使用権限を受け取るアカウント。ライセンスが付与されると、エンドユーザーは AWS Marketplace から再度明示的にサブスクライブすることなく、ライセンスを受け入れてアクティブ化できます。
**委任管理者**: エンタイトルメントの配布などの管理タスクを実行するように指定された組織のメンバーアカウント。AWS 組織ごとに 1 人の委任された管理者のみがサポートされます。このアカウントは、管理アカウントとは別にライセンスを管理できます。委任管理者を使用する場合は、ステップ 1 で最初にオファーにサブスクライブする必要があります。
## ライセンスと許可の状態
ライセンスと許可の状態を理解することで、組織内の使用権限のライフサイクルを追跡できます。
### ライセンスの状態
**利用可能**: ライセンスは、AWS Marketplace 契約の条項に従って使用できます。
**削除済み**: AWS Marketplace 契約がキャンセルまたは終了し、お客様はそのライセンスされたモデルにアクセスできなくなります。
### 付与状態
**承認保留中**: 許可が作成され、被付与者またはエンドユーザーがまだ承認していません。この状態は、すべての機能が有効になっていない組織にのみ適用されます。
**無効**: 許可はエンドユーザーによって受け入れられましたが、すぐに使用するためにアクティブ化されていません。この状態の許可は、サードパーティーの Bedrock モデルの呼び出しには使用できません。
**アクティブ**: 許可は承諾され、正常にアクティブ化されました。エンドユーザーがサードパーティーの Bedrock モデルを呼び出すことができるようになりました。
**拒否:** エンドユーザーは、付与されたライセンスを拒否しました。これは、その許可の終了状態です。付与者は、同じライセンスでエンドユーザーに新しい許可を作成できます。
**削除済み**: 権限者または管理者が権限を削除しました。これは、その許可の終了状態です。付与者は、同じライセンスでエンドユーザーに新しい許可を作成できます。
# 前提条件
Amazon Bedrock のマネージドエンタイトルメントを使用する前に、次の前提条件を満たす必要があります。
## AWS Organization の要件
**すべての機能が有効**: AWS Organization では、すべての機能が有効になっている必要があります。Bedrock のマネージドエンタイトルメントでは、この設定が正しく機能する必要があります。組織が一括請求のみを使用している場合は、先に進む前にすべての機能を有効にする必要があります。すべての機能を有効にするには、AWS Organizations ユーザーガイド[の「組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。
組織ですべての機能が有効になっているかどうかを確認するには、AWS Organizations コンソールに移動し、ナビゲーションペインで設定を選択し、組織の詳細で特徴量セットを探します。すべての機能が表示されたら、先に進む準備が整います。
**管理アカウントアクセス**: 初期設定を完了するには、組織の管理アカウント (支払者アカウントとも呼ばれます) にアクセスできる必要があります。管理アカウントは、信頼されたアクセスを有効にし、サービスにリンクされたロールを作成するために必要です。
**関連付けられたメンバーアカウント**: ライセンス付与を受け取るすべてのメンバーアカウントは、既に AWS Organization の一部である必要があります。新しいアカウントを追加する場合は、組織 ID に付与されたライセンスが自動的に付与されます。
## サービスリンクロール
サービスにリンクされたロール (SLRs) は、AWS のサービスに直接リンクされた事前定義された IAM ロールです。マネージドエンタイトルメントの場合、AWS License Manager と AWS Marketplace の両方の SLRs を作成する必要があります。これらのロールには、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。
**SLRs が必要な理由**: AWS Marketplace の場合、このアクセス許可は、サービスがユーザーに代わって複数の AWS サービス間でライセンスワークフローとディストリビューションを正常にオーケストレーションできるようにするために必要です。AWS License Manager の場合、このアクセス許可により、サービスがall-features-enabledアカウントとメンバーアカウントの間で付与を自動承認し、組織のアクティビティを追跡できるようになります。
これらのサービスにリンクされたロールは、次のセクションで説明するセットアッププロセスの一部として作成します。
# マネージドエンタイトルメントの設定
AWS Organization のセットアップ手順を 1 回実行します。セットアップが完了したら、サードパーティーの Bedrock モデルをサブスクライブし、組織全体にライセンスを配布できます。
## ステップ 1: 委任された管理者が必要かどうかを判断する
管理アカウントから直接ライセンスを管理する場合は、ステップ 2 に進みます。ライセンス管理をメンバーアカウントに委任するには、まず委任された管理者を指定します。
**委任された管理者を指定するには**
1. 管理アカウントにサインインします。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **委任された管理者**に、指定するメンバーアカウントの AWS アカウント ID を入力します。
1. **[Save changes]** (変更の保存) をクリックします。
委任管理者アカウントは、管理アカウントとは別に許可を作成し、ライセンスを配布できるようになりました。委任管理者は、個々のアカウント IDs、組織 ID、または組織単位 IDs配布できます。
RegisterDelegatedAdministrator API を使用して委任管理者を指定することもできます。
指定すると、委任管理者はアカウントからステップ 2 と 3 を完了します。
## ステップ 2: サービスにリンクされたロールと信頼されたアクセスを有効にする
AWS License Manager と AWS Marketplace の両方で、信頼されたアクセスを有効にし、サービスにリンクされたロールを作成する必要があります。管理アカウントから以下の手順を実行します。
**AWS License Manager をセットアップするには**
1. 管理アカウントにサインインします。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. us-east-1 (バージニア北部) リージョンにいることを確認します。すべてのライセンスリソースは、このリージョンで作成および管理されます。
1. License Manager コンソールに初めてアクセスすると、サービスにリンクされたロールを作成するように求めるポップアップが表示されます。受け入れる**サービスにリンクされたロールの作成**を選択します。
1. ナビゲーションペインで **[設定]** を選択します。
1. アカウント管理で、AWS Organization アカウントのリンクを選択します。
これにより、クロスアカウント許可の承諾が可能になり、AWS Organizations と AWS License Manager の間に信頼されたアクセス関係が作成されます。
**AWS Marketplace をセットアップするには**
1. 管理アカウントにサインインしたまま、[https://console.aws.amazon.com/marketplace/](https://console.aws.amazon.com/marketplace/) で AWS Marketplace コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **AWS License Manager の統合**で、**設定の詳細の表示**を選択します。
1. 両方のチェックボックスをオンにします。
+ **組織全体で信頼されたアクセスを有効にする**
+ **このアカウントの AWS Marketplace ライセンス管理サービスにリンクされたロール**
1. **[統合を作成する]** を選択します。
これにより、サービスにリンクされたロールと信頼されたアクセス関係の両方が作成されます。
**重要**
管理アカウントから**組織全体の信頼されたアクセスを有効にする**を選択すると、組織内のすべてのメンバーアカウントに対してサービスにリンクされたロールが自動的に作成されます。これにより、グラントを受け取るすべてのアカウントが使用できるようになります。
## ステップ 3: セットアップを確認する
セットアップステップを完了したら、すべてが正しく設定されていることを確認します。
**AWS License Manager の設定を確認するには**
1. AWS License Manager コンソールで、ナビゲーションペイン**の設定**を選択します。
1. **アカウント管理**で、**AWS Organizations アカウントリンクが有効**であることを確認します。
1. **組織の詳細**の下に、組織 ID が表示されます。
**AWS Marketplace の設定を確認するには**
1. AWS Marketplace コンソールで、ナビゲーションペイン**の設定**を選択します。
1. **AWS License Manager Integration** で、**Organization integration: Enabled** と表示されることを確認します。
1. また、**信頼されたアクセスステータス: 有効**も表示されます。
**サービスにリンクされたロールを確認するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 検索ボックスに「AWSServiceRoleForAWSLicenseManager」と入力し、ロールが存在することを確認します。
1. 検索ボックスに「AWSServiceRoleForMarketplaceLicenseManagement」と入力し、ロールが存在することを確認します。
これらのロールが表示されない場合は、IAM の伝播を 2~3 分待ってからコンソールを更新します。ロールがまだ表示されない場合は、IAM コンソールに移動し、**ロールの作成**を選択し、**AWS サービス**を選択し、サービスリストで License Manager または Marketplace を検索して、ロールを手動で作成する必要がある場合があります。
# プライベートオファーによるサードパーティーの Bedrock モデルのサブスクライブ
ライセンスを配布する前に、まず AWS Marketplace を通じて Bedrock モデルにサブスクライブする必要があります。
**AWS Marketplace を通じてサードパーティーの Bedrock モデルにサブスクライブするには**
1. 販売者からプライベートオファーリンクを選択して開始するか、管理アカウントまたは指定された請求アカウントにサインインします。
1. [https://console.aws.amazon.com/marketplace/](https://console.aws.amazon.com/marketplace/) で AWS Marketplace コンソールを開きます。
1. 利用可能なオファーのリストのプライベートオファーに移動する
1. サブスクリプション契約と料金の詳細を確認します。
1. **サブスクリプション**を選択してサブスクリプションを完了します。
1. サブスクリプションがアクティブであることを示す確認メッセージが表示されます。
## ライセンスの作成を確認するには
サブスクライブ後、AWS License Manager はサブスクリプションのライセンスを自動的に作成します。
1. ライセンスが作成されるまで 1~2 分待ちます。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. us-east-1 リージョンにいることを確認します。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. サードパーティーの Bedrock モデルサブスクリプションの新しいライセンスが表示されます。
1. ライセンスステータスは **Available** と表示されます。
**注記**
ライセンスは、サブスクライブしているリージョンに関係なく、常に us-east-1 リージョンで作成されます。ライセンスを表示するには、必ず us-east-1 で License Manager を確認してください。
5 分経ってもライセンスが表示されない場合は、AWS Marketplace コンソールに移動し、サブスクリプションの管理を選択し、サードパーティーの Bedrock モデルサブスクリプションがアクティブと表示されることを確認します。
# ライセンスの配布
サードパーティーの Bedrock モデルをサブスクライブし、ライセンスが作成されたことを確認したら、組織内の他のアカウントにアクセス権を配布する権限を作成できます。
## グラントディストリビューションオプションについて
ライセンスは、次の 3 つの方法で配布できます。
**個々のアカウント権限**: 特定の AWS アカウント ID の権限を作成します。この方法では、どのアカウントがモデルにアクセスできるかを正確に制御できます。受信者アカウントは、モデルを使用する前に許可を受け入れてアクティブ化する必要があります。
**組織権限**: AWS Organization ID 全体に 1 つの権限を作成します。この方法では、組織内のすべてのメンバーアカウントにライセンスが自動的に配布されます。組織に参加する新しいアカウントは自動的にライセンスを受け取ります。すべての機能が有効になっている組織の場合、許可は自動的に受け入れられ、無効化状態になり、アクティベーションの準備が整います。
**組織単位の付与**: 組織内の特定の組織単位 (OU) への付与を作成します。このメソッドは、指定された OU 内のすべてのアカウントにライセンスを配布し、個々のアカウント管理と組織全体のディストリビューションの間に中間点を提供します。
## グラントの作成
### コンソール
**個々のアカウントへの許可を作成するには**
1. 管理アカウント (または委任管理者アカウント) にサインインします。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. us-east-1 リージョンにいることを確認します。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. ライセンスの横にあるラジオボタンを選択して、共有するライセンスを選択します。
1. **[Create grant(権限の作成)]**を選択します。
1. **「グラントの詳細**」に、グラント名に**グラントのわかりやすい名前**を入力します。
1. **AWS アカウント ID または AWS Organization ID または AWS Organizational Unit ID** に、受信者アカウントの 12 桁の AWS アカウント ID を入力します。
1. 権限の詳細を確認します。
1. **[Create grant(権限の作成)]**を選択します。
権限が作成され、組織設定に応じて、承認保留中または無効状態の受信者アカウントの License Manager コンソールに表示されます。
**組織への許可を作成するには**
1. 前の手順のステップ 1~6 に従います。
1. **「グラントの詳細**」に、グラント名に**グラントのわかりやすい名前**を入力します。
1. **AWS アカウント ID または AWS Organization ID または AWS Organizational Unit ID** に、AWS Organization ID を入力します。
+ 組織 ID を検索するには、AWS Organizations コンソールを開きます。ID はナビゲーションペインに表示され、「o-」で始まります。
1. 権限の詳細を確認します。
1. **[Create grant(権限の作成)]**を選択します。
権限が作成され、組織内のすべてのメンバーアカウントに自動的に配布されます。すべての機能が有効になっている組織の場合、許可は自動的に受け入れられ、各メンバーアカウントの無効状態で表示されます。
**組織単位への許可を作成するには**
1. 個々の付与の作成手順のステップ 1~6 に従います。
1. **「グラントの詳細**」に、グラント名に**グラントのわかりやすい名前**を入力します。
1. **AWS アカウント ID または AWS Organization ID または AWS Organizational Unit ID** に、組織単位 (OU) ID を入力します。
+ OU ID を検索するには、AWS Organizations コンソールを開き、OU に移動します。ID は「ou-」で始まります。
1. 権限の詳細を確認します。
1. **[Create grant(権限の作成)]**を選択します。
権限が作成され、指定された組織単位内のすべてのメンバーアカウントに自動的に配布されます。
ライセンス ARN、アカウント ID、組織 ID を実際の値に置き換えます。
### API
[CreateGrantAPI](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_CreateGrant.html) を使用して他の AWS アカウント、組織、または組織単位にライセンスを配布する許可を作成します
## 分散グラントの追跡
付与者または管理者は、作成したすべての権限を追跡できます。
### コンソール
**分散グラントを表示するには**
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. 許可を確認するライセンスを選択します。
1. ライセンスの詳細ページで、**「グラント**」セクションまでスクロールします。
1. 権限名、受信者、ステータスなど、このライセンス用に作成されたすべての権限のリストが表示されます。
組織全体のグラントの場合、グラント名を選択してグラントの詳細ページを表示することで、個々のアカウントレベルのグラントステータスを表示できます。
### API
[ListDistributedGrants API を使用して分散許可を表示することもできます。](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListDistributedGrants.html)
# 許可の承諾とアクティブ化
権限がメンバーアカウントに配布されたら、サードパーティーの Bedrock モデルを使用する前に、権限を受け入れてアクティブ化する必要があります。承認とアクティベーションのワークフローは、組織設定によって異なります。
## すべての機能が有効になっている組織の場合
すべての機能を有効にして組織のメンバーアカウントへの許可を作成すると、その許可は自動的に受け入れられ、無効状態で表示されます。付与者はすべての受信者の権限をアクティブ化することも、各受信者が独自の権限をアクティブ化することもできます。
### コンソール
**グランターとして許可をアクティブ化するには (一括アクティブ化)**
1. 管理アカウント (または委任管理者アカウント) にサインインします。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. アクティブ化する権限を選択します。組織全体の権限については、親権限を選択します。
1. [**アクティブ化**] を選択します。
1. アクティベーションを確認します。
このアクションは、すべての受信者アカウントの許可をアクティブ化します。グラントセクションにスクロールすることで、グラントの詳細ページで個々のアカウント**グラント**のステータスを確認できます。
**権限を受信者としてアクティブ化するには**
1. 受信者メンバーアカウントにサインインします。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. us-east-1 リージョンにいることを確認します。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. アクティブ化する権限を選択します。
1. [**アクティブ化**] を選択します。
1. アクティベーションを確認します。
許可ステータスがアクティブに変わり、アカウントのユーザーがサードパーティーの Bedrock モデルを呼び出すことができるようになりました。
## 一括請求の組織のみ
組織がすべての機能を有効にせずに一括請求を使用している場合、権限は受取人アカウントの承諾保留中の状態で表示されます。受信者は、まず許可を受け入れてからアクティブ化する必要があります。
### コンソール
**許可を承諾してアクティブ化するには (統合請求組織)**
1. 受信者メンバーアカウントにサインインします。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. us-east-1 リージョンにいることを確認します。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. 承認する許可を選択します。
1. **Accept & Activate** を選択して、1 つのアクションで許可を受け入れてアクティブ化します。
+ または、**Accept** を選択してグラントを受け入れますが、今後のアクティベーションのためにDisabled 状態のままにします。
+ または、**拒否**を選択してライセンスを拒否します (これは終了状態です)。
**Accept** を選択した場合は、後で戻り、**Activate** を選択してモデルの使用を開始する必要があります。
## API
[CreateGrantVersion API を使用して、付与をプログラムでアクティブ化できます。](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_CreateGrantVersion.html)
# ライセンスが付与されたサードパーティーの Bedrock モデルの使用
アカウントで権限がアクティブ化されると、Amazon Bedrock コンソール、AWS CLI、または AWS SDKs を使用してサードパーティーの Bedrock モデルを呼び出すことができます。エクスペリエンスは、直接サブスクリプションを使用してモデルを呼び出す場合と同じです。
## アクティブなライセンスがあることを確認するには
サードパーティーの Bedrock モデルを使用する前に、許可がアクティブ状態であることを確認します。
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. us-east-1 リージョンにいることを確認します。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. 使用するサードパーティーの Bedrock モデルの許可を見つけます。
1. Grant ステータスが **Active** と表示されることを確認します。
ステータスが Disabled と表示されている場合は、モデルを使用する前に許可をアクティブ化する必要があります。ステータスが承諾待ちと表示されている場合は、まず許可を承諾する必要があります。
## ライセンスが付与されたサードパーティーの Bedrock モデルを呼び出すには
1. モデルが利用可能なサポートされているリージョンで Amazon Bedrock コンソールを開きます。
1. ナビゲーションペインで、モデルタイプに応じて、**プレイグラウンド**で**テキスト**または**チャット**を選択します。
1. モデルドロップダウンからライセンスを持つモデルを選択します。
1. プロンプトを入力し、**実行**を選択します。
モデル呼び出しは、直接サブスクライブした場合と同じように機能します。すべての使用量は、元のサブスクリプションを保持するアカウント (通常は管理アカウント) に請求されます。
InvokeModel API で AWS CLI または AWS SDKs を使用してプログラムでモデルを呼び出すこともできます。 [InvokeModel ](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html) 唯一の要件は、アカウントにアクティブなライセンス付与があることです。
# グラントの管理
権限を作成した後、組織のニーズの変化に応じて、権限を変更、無効化、または削除する必要がある場合があります。
## 許可名の編集
### コンソール
権限の名前を変更して、詳細を追加したり、組織を改善したりできます。
**権限名を編集するには**
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. 編集する許可を含むライセンスを選択します。
1. **Grants** セクションで、許可の横にあるラジオボタンを選択します。
1. **[編集]** を選択します。
1. **Grant name** フィールドを更新します。
1. **[Save changes]** (変更の保存) をクリックします。
## 許可の無効化
許可を完全に削除せずに、サードパーティーの Bedrock モデルへのアクセスを一時的に取り消すことができます。許可を非アクティブ化すると、無効状態に移行します。
### コンソール
**権限を無効にするには**
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. 非アクティブ化する許可を含むライセンスを選択します。
1. **Grants** セクションで、グラント名を選択します。
1. **[無効化]** を選択します。
1. 確認ボックスに「非アクティブ化」と入力します。
1. **[無効化]** を選択します。
**重要**
グラントを非アクティブ化しても、現在実行中のアクティブなワークロードやモデル呼び出しには影響しません。ただし、モデルを呼び出す新しいリクエストは、非アクティブ化後に拒否されます。
## 許可の削除
サードパーティーの Bedrock モデルへのアクセスを完全に取り消す場合は、許可を削除できます。このアクションはターミナルであり、元に戻すことはできません。
**許可を削除するには**
1. [https://console.aws.amazon.com/license-manager/](https://console.aws.amazon.com/license-manager/) で AWS License Manager コンソールを開きます。
1. ナビゲーションペインで、**付与されたライセンス**を選択します。
1. 削除する許可を含むライセンスを選択します。
1. **Grants** セクションで、グラント名を選択します。
1. **[削除]** を選択します。
1. 確認ボックスに「削除」と入力します。
1. **[削除]** を選択します。
削除されると、受信者アカウントは新しいインスタンスをアクティブ化したり、その許可を使用してサードパーティーの Bedrock モデルを呼び出すことができなくなります。アクティブなモデルの呼び出しは、完了するまで引き続き実行されます。
**注記**
グラントを誤って削除した場合、同じアカウントに新しいグラントを作成できます。新しい権限は、削除された権限とは無関係になります。
## API
ステータスが DISABLED に設定されている [CreateGrantVersion API](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_CreateGrantVersion.html) を使用して許可を非アクティブ化し、[DeleteGrant API を使用して許可を削除できます。](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_DeleteGrant.html)
# API リファレンス
このセクションでは、Bedrock のマネージドエンタイトルメントをプログラムで管理するための包括的な API ドキュメントを提供します。すべての APIs、us-east-1 リージョンで AWS License Manager とやり取りします。
## API の概要
マネージドエンタイトルメントには、次の AWS License Manager APIs が使用されます。
| API 操作 | 目的 | 一般的なユースケース |
| --- | --- | --- |
| CreateGrant | ライセンスを配布する新しい許可を作成する | Bedrock モデルアクセスをメンバーアカウントに配布する |
| ListDistributedGrants | 作成したすべての許可を一覧表示する | アクセス許可が付与されたアカウントを追跡する |
| ListReceivedGrants | アカウントが受け取ったすべての許可を一覧表示する | メンバーアカウントで利用可能なライセンスを表示する |
| GetGrant | 特定の許可の詳細を取得する | 許可のステータスと設定を確認する |
| CreateGrantVersion | グラントステータスの更新 (有効化/無効化) | 許可をアクティブ化または非アクティブ化する |
| AcceptGrant | 受け取った許可を受け入れる | メンバーアカウントが管理アカウントからのライセンスを受け入れる |
| RejectGrant | 受け取った許可を拒否する | メンバーアカウントがライセンスを拒否する |
| DeleteGrant | 許可を完全に削除する | Bedrock モデルへのアクセスを取り消す |
| ListReceivedLicenses | アカウントのライセンスを一覧表示する | 使用可能な Bedrock モデルライセンスをすべて表示する |
| GetLicense | ライセンスの詳細を取得する | ライセンスのステータスとメタデータを確認する |
# トラブルシューティング
このセクションでは、Amazon Bedrock のマネージドエンタイトルメントを使用する際に発生する可能性がある一般的な問題の解決策を示します。
## サブスクリプション後にライセンスが License Manager に表示されない
**考えられる原因と解決策:**
+ **サブスクリプションがまだ処理されていない**: 5 分待って License Manager コンソールを更新します。ライセンスは、サブスクリプション後に作成されるまでに数分かかる場合があります。
+ **間違ったリージョンを確認する**: us-east-1 (バージニア北部) リージョンで License Manager を表示していることを確認します。すべてのライセンスは、サブスクリプションリージョンに関係なく us-east-1 で作成されます。
+ **サブスクリプションの失敗**: AWS Marketplace コンソールに移動し、**サブスクリプションの管理**を選択し、サブスクリプションがアクティブと表示されることを確認します。アクティブでない場合は、サブスクリプションプロセスを再試行します。
+ **サービスにリンクされたロールが設定されていない**: マネージドエンタイトルメントの設定セクションに戻り、すべての前提条件のステップを完了します。**ロールを選択し、必要なロール名を検索して**、SLRs が IAM コンソールに存在することを確認します。
## 権限が受信者アカウントに表示されない
**考えられる原因と解決策:**
+ **Grant not yet distributed**: グラントの作成後 2~3 分待ちます。グランターアカウントをチェックして、グラントが正常に作成されたことを確認します。
+ **間違ったリージョンを探している受信者**: 受信者は us-east-1 リージョンで License Manager をチェックする必要があります。すべての許可は us-east-1 にのみ表示されます。
+ **受信者アカウントにサービスにリンクされたロールがない**: すべての機能が有効になっていない組織の場合、各アカウントにはサービスにリンクされたロールが必要です。受信者は、自分のアカウントで前提条件のステップを完了する必要があります。
+ **間違ったアカウント ID の使用**: グラントの作成時に正しい 12 桁の AWS アカウント ID が入力されていることを確認します。アカウント ID にタイプミスがないか確認します。
## 許可をアクティブ化できません
**考えられる原因と解決策:**
+ **同じモデルの既存のアクティブなライセンス**: 受信者アカウントには、このモデルのアクティブなライセンスが既に存在している可能性があります。まず既存のライセンスを非アクティブ化または削除してから、新しい許可をアクティブ化します。
+ **グラントがまだ受け入れられていない**: すべての機能が有効になっていない組織の場合、受信者はまずグラントを承諾してからアクティブ化する必要があります。
+ **IAM アクセス許可が不十分**: ユーザーには `license-manager:CreateGrantVersion` アクセス許可が必要です。アカウント管理者に連絡して、必要なアクセス許可を付与してください。
+ **許可の状態が間違って**いる: 許可をアクティブ化するには、許可が無効または承認待ちの状態である必要があります。License Manager コンソールでグラントステータスを確認します。
## 許可をアクティブ化した後は Bedrock モデルを使用できません
**考えられる原因と解決策:**
+ **許可が完全にアクティブ化されていない**: 許可ステータスがアクティブ (無効または保留中ではない) と表示されていることを確認します。許可を非アクティブ化して再アクティブ化してみてください。
+ **Bedrock アクセス許可がありません**: ユーザーには `bedrock:InvokeModel` IAM アクセス許可が必要です。Bedrock アクセス許可をユーザーの IAM ロールまたはポリシーに追加します。
+ **モデルはリージョンでは使用できません**。一部の Bedrock モデルは特定のリージョンでのみ使用できます。Bedrock コンソールで、お使いのリージョンでモデルの可用性を確認します。
+ **請求の問題**: 管理アカウントに有効な支払い方法があることを確認します。請求コンソールでアカウント保留または請求の問題を確認します。
## 設定時のアクセス拒否エラー
**考えられる原因と解決策:**
+ **管理アカウントを使用しない**: セットアップは管理アカウントまたは支払者アカウントから行う必要があります。コンソールでアカウント ID を確認して、正しいアカウントにログインしていることを確認します。
+ **IAM アクセス許可が不十分**: ユーザーのニーズ`organizations:EnableAWSServiceAccess`と`iam:CreateServiceLinkedRole`アクセス許可。管理者に連絡して、必要なアクセス許可を付与してください。
+ **Organization not set up**: 最初に AWS Organization を作成する必要があります。マネージドエンタイトルメントの設定を試みる前に、組織を作成します。
## 追加のヘルプの取得
これらのソリューションを試した後も問題が解決しない場合は、以下を実行します。
+ **AWS Service Health Dashboard** をチェックする: [https://health.aws.amazon.com/health/status](https://health.aws.amazon.com/health/status) にアクセスして、License Manager、 Marketplace、または Bedrock サービスの進行中の問題を確認します。
+ **AWS CloudTrail ログを確認する**: CloudTrail コンソールに移動し、License Manager と Marketplace に関連するイベントを検索し、エラーメッセージまたは失敗した API コールを探します。
+ **AWS サポートへのお問い合わせ**: AWS サポートでサポートケースを開きます。アカウント IDs、Bedrock モデル名、エラーメッセージ、および実行した手順を含めます。Bedrock のマネージド使用権限を使用することを指定します。
# よくある質問
## セットアップと設定
**Q: 組織では一括請求のみを使用しています。マネージドエンタイトルメントを引き続き使用できますか?**
A: はい。ただし、制限があります。一括請求を使用する組織はマネージドエンタイトルメントを使用できますが、権限を付与するには各受取人アカウントで手動で承認する必要があります。最良のエクスペリエンスを得るには、組織内のすべての機能を有効にすることをお勧めします。これにより、自動付与の承認と組織全体の配布が可能になります。
**Q: 管理アカウントの代わりにメンバーアカウントを使用してライセンスを管理することはできますか?**
A: はい。ライセンス配布を管理する委任管理者アカウントを指定できます。このメンバーアカウントは、管理アカウントとは独立して権限を作成および配布できます。ただし、組織ごとにサポートされる委任管理者は 1 人のみです。
**Q: すべての AWS リージョンでマネージドエンタイトルメントを設定する必要がありますか?**
A: いいえ。すべてのライセンス管理は、Bedrock モデルを使用する場所に関係なく、us-east-1 (バージニア北部) リージョンで行われます。us-east-1 でセットアップが完了したら、サポートされている任意の Bedrock リージョンでライセンスモデルを呼び出すことができます。
## プライベートオファーと料金
**Q: マネージドエンタイトルメントは AWS Marketplace プライベートオファーとどのように連携しますか?**
A: マネージドエンタイトルメントを使用すると、管理アカウントでプライベートオファーを受け入れ、追加のリンクされたアカウントにアクセス権を配布できます。許可を作成すると、プライベートオファーの料金と条件がすべての受信者アカウントに自動的に適用されます。これにより、組織全体で一貫した料金が保証され、各アカウントがオファーを個別に受け入れる必要がなくなります。
**Q: メンバーアカウントが付与されたライセンスを使用する場合、誰が請求されますか?**
A: 元のサブスクリプションを保持するアカウント (通常は管理アカウント) は、付与されたアカウント全体でのすべての使用量に対して請求されます。この一元的な請求により、組織全体の Bedrock の合計コストを明確に可視化できます。
**Q: 異なるメンバーアカウントが同じモデルに対して異なる料金を持つことはできますか?**
A: いいえ。マネージドエンタイトルメントを通じてライセンスを配布する場合、すべての受信者アカウントは、プライベートオファーの割引を含め、元のサブスクリプションと同じ料金条件を使用します。
## ライセンスディストリビューション
**Q: 権限が受信者アカウントに表示されるまでにどれくらいの時間がかかりますか?**
A: 個々のアカウント付与の場合、ライセンスは通常 2~3 分以内に表示されます。数千のアカウントに対する組織全体のグラントの場合、ディストリビューションには 15~30 分以上かかることがあります。License Manager コンソールで許可のステータスを確認します。
**Q: アクセスが必要なアカウントごとに権限を作成する必要がありますか?**
A: いいえ。組織ですべての機能が有効になっている場合は、組織 ID に 1 つの権限を作成して、後で参加するアカウントを含むすべてのメンバーアカウントにライセンスを自動的に配布します。それ以外の場合は、組織単位 (OUs) に個別の許可を作成します。
**Q: 新しいアカウントが組織に加わるとどうなりますか?**
A: Organization ID に権限を配布した場合、新しいアカウントは自動的にライセンスを受け取り、モデルにアクセスします。個々のアカウント権限については、新しいアカウントの権限を手動で作成する必要があります。
**Q: 組織外のアカウントにライセンスを配布できますか?**
A: いいえ。マネージドエンタイトルメントは AWS Organization 内でのみ機能します。組織構造に含まれていないアカウントとライセンスを共有することはできません。
**Q: 組織全体ではなく、特定の組織単位 (OUs) へのアクセスを許可できますか?**
A: はい。許可を作成するときは、OU ID を指定して、その OU 内のアカウントにのみライセンスを配布できます。これにより、個々のアカウント管理と組織全体のディストリビューションの中間点が得られます。
**Q: 複数のメンバーアカウントに既存のサブスクリプションがあります。集中管理に移行するにはどうすればよいですか?**
A: メンバーアカウントにアクティブな Bedrock モデルがあり、その支払者アカウントが同じモデルにサブスクリプションを配布すると、グラントスワップが有効になり、最初のサブスクリプションの使用権限が無効になり、新しい分散グラントの使用権限が付与されるようになりました。
## 権限管理
**Q: 許可を削除せずに一時的にアクセスを取り消すことはできますか?**
A: はい。許可を非アクティブ化して、無効状態に移行できます。ただし、許可を非アクティブ化してもモデルへのアクセスはブロックされません。メンバーアカウントは引き続きモデルを呼び出すことができます。請求の変更点: グラントが無効になっている間、メンバーアカウントには、交渉されたプライベートオファー料金ではなくパブリック料金で請求されます。後でグラントを再アクティブ化して、プライベートオファー条件を再作成することなく復元できます。
**Q: 許可を削除または非アクティブ化すると、モデルアクセスはどうなりますか?**
A: メンバーアカウントは引き続きモデルにアクセスできます。許可を削除または非アクティブ化しても、モデルを呼び出す機能が中断されることはありません。ただし、有効な付与がない場合、メンバーアカウントには、交渉されたプライベートオファーの料金ではなく、パブリック料金で請求されます。
**Q: 実際に配布したライセンスを使用しているアカウントを確認できますか?**
A: AWS License Manager では、許可を持つアカウントとそのアクティベーションステータスを表示できます。詳細な使用状況メトリクスと API コールの追跡については、AWS CloudTrail を使用します。モデル呼び出しメトリクスについては、各アカウントの Amazon Bedrock コンソールまたは CloudWatch メトリクスを使用します。
**Q: グラントを誤って削除した場合、復元できますか?**
A: いいえ。許可の削除は永続的であり、元に戻すことはできません。ただし、同じ設定で同じアカウントに新しい権限を作成できます。モデルアクセスは中断されません。メンバーアカウントは、ギャップの間もモデルを呼び出し続けることができます。主な影響は請求です。グラントの削除から新しいグラントのアクティベーションまでの間、メンバーアカウントは交渉されたプライベートオファー料金ではなくパブリック料金で請求されます。
**Q: 親サブスクリプションが管理アカウントで期限切れになると、リンクされたアカウントで付与されたライセンスはどうなりますか?**
A: 親サブスクリプションが管理アカウントで期限切れになると、リンクされたアカウントは引き続きモデルアクセス権を持ちます。ただし、交渉されたプライベートオファーの料金ではなく、パブリック料金で請求されます。
## 特別な設定
**Q: AWS GovCloud のお客様は、マネージドエンタイトルメントはどのように機能しますか?**
A: GovCloud のお客様は、商用 AWS アカウントを GovCloud アカウントにリンクしています。Bedrock モデルにサブスクライブし、商用アカウント組織階層でライセンスを管理します。商用リンクアカウントにライセンスを付与すると、関連付けられた GovCloud アカウントは自動的に使用権限を受け取り、モデルを呼び出すことができます。
**Q: AWS Control Tower または AWS Service Catalog でマネージドエンタイトルメントを使用できますか?**
A: はい。マネージドエンタイトルメント APIs AWS Control Tower アカウントファクトリまたは Service Catalog ポートフォリオに統合して、新しいアカウントの作成時にライセンス配布を自動化できます。
**Q: 複数の管理アカウントが同じ Bedrock モデルをサブスクライブできますか?**
A: はい。異なるアカウントが同じモデルに個別にサブスクライブできます。各サブスクリプションは、異なるメンバーアカウントのセットに配布できる独自の個別のライセンスを作成します。
## トラブルシューティング
**Q: サブスクライブ後に License Manager でライセンスが表示されないのはなぜですか?**
A: ライセンスはサブスクリプション後に表示されるまでに 1~2 分かかる場合があります。us-east-1 リージョンで License Manager を表示していることを確認します。サブスクライブした場所に関係なく、すべてのライセンスがそこで作成されます。5 分経っても表示されない場合は、AWS Marketplace コンソールでサブスクリプションがアクティブであることを確認します。
**Q: 受信者アカウントには、作成した権限が表示されません。何を確認すべきですか?**
A: 受信者が us-east-1 リージョンで License Manager をチェックしていることを確認します。許可の作成時に正しい 12 桁のアカウント ID が入力されていることを確認します。権限の配布まで 2~3 分待ちます。すべての機能が有効になっていない組織の場合、受信者アカウントにサービスにリンクされたロールが作成されていることを確認します。
**Q: アカウントで許可をアクティブ化できないのはなぜですか?**
A: 許可が無効または承認待ちの状態であることを確認します。同じモデルのアクティブなライセンスが既にある場合は、まずそのライセンスを非アクティブ化または削除します。IAM `license-manager:CreateGrantVersion` アクセス許可があることを確認します。一括請求組織の場合は、アクティベーションを試みる前に付与を承諾したことを確認してください。