Acessar modelos de base do Amazon Bedrock - Amazon Bedrock
Conceder permissões para solicitar acesso a modelos de base com um ID de produtoAcessar modelos na AWS GovCloud

Acessar modelos de base do Amazon Bedrock

O acesso a todos os modelos de base do Amazon Bedrock está habilitado por padrão com as permissões corretas do AWS Marketplace. Para começar, basta selecionar um modelo do catálogo de modelos no console do Amazon Bedrock e abri-lo no playground ou invocar o modelo usando as operações de API InvokeModel ou Converse. Para ter informações sobre os diferentes modelos oferecidos no Amazon Bedrock, consulte Informações sobre modelos de base do Amazon Bedrock. Para ter informações sobre preços de modelo, consulte Preços do Amazon Bedrock.

O acesso a todos os modelos de base do Amazon Bedrock está habilitado por padrão com as permissões corretas do AWS Marketplace em todas as regiões comerciais da AWS. Para acessar modelos em regiões não comerciais, consulte Acessar modelos de base do Amazon Bedrock na AWS GovCloud (EUA).

nota

A Anthropic exige que os clientes iniciantes enviem detalhes do caso de uso antes de invocarem um modelo uma vez por conta ou uma vez por conta gerencial da organização. Você pode enviar detalhes do caso de uso selecionando um modelo da Anthropic no catálogo de modelos no console do Amazon Bedrock ou chamando o comando de API PutUseCaseForModelAccess. O acesso ao modelo é concedido imediatamente após o envio bem-sucedido dos detalhes do caso de uso. O envio do formulário na conta raiz será herdado por outras contas nas mesmas organizações da AWS.

nota

Para modelos de terceiros, ao invocar/usar o modelo pela primeira vez, você concorda com o contrato de licença de usuário final aplicável. Para ter mais informações, consulte os Termos de Serviço da AWS e os contratos de licença de modelos sem servidor de terceiros.

As organizações que precisam analisar e concordar com o EULA antes de permitir o uso do modelo devem:

  1. Bloquear inicialmente o acesso ao modelo usando políticas de controle de serviços (SCPs) ou políticas do IAM.

  2. Analisar os termos do EULA.

  3. Habilitar o acesso ao modelo por meio de SCPs/políticas do IAM somente se concordarem com os termos do EULA.

Tópicos

Conceder permissões do IAM para solicitar acesso a modelos de base do Amazon Bedrock com um ID de produto

Você pode gerenciar permissões de acesso ao modelo criando políticas do IAM personalizadas. Para modificar o acesso aos modelos de base do Amazon Bedrock, é necessário anexar uma política do IAM baseada em identidade com as seguintes ações do AWS Marketplace ao perfil do IAM que permite acesso ao Amazon Bedrock:

O acesso aos modelos de base sem servidor do Amazon Bedrock com um ID de produto é controlado pelas seguintes ações do IAM:

Ação do IAM Descrição Aplica-se a quais modelos
aws-marketplace:Subscribe

Permite que uma entidade do IAM assine produtos do AWS Marketplace, inclusive modelos de base do Amazon Bedrock.

 Somente modelos sem servidor do Amazon Bedrock que têm um ID de produto do AWS Marketplace.
aws-marketplace:Unsubscribe Permite que uma identidade do IAM cancele a assinatura de produtos do AWS Marketplace, inclusive de modelos de base do Amazon Bedrock. Somente modelos sem servidor do Amazon Bedrock que têm um ID de produto do AWS Marketplace.
aws-marketplace:ViewSubscriptions Permite que uma identidade do IAM exiba uma lista de produtos do AWS Marketplace, inclusive de modelos de base do Amazon Bedrock. Somente modelos sem servidor do Amazon Bedrock que têm um ID de produto do AWS Marketplace.
nota

Somente para a ação aws-marketplace:Subscribe, é possível usar a chave de condição aws-marketplace:ProductId para restringir a assinatura a modelos específicos.

Para que uma identidade do IAM solicite acesso a modelos com um ID de produto

A identidade deve ter uma política anexada que permita aws-marketplace:Subscribe.

nota

Se uma identidade já tiver se inscrito em um modelo em uma região da AWS, o modelo ficará disponível para que a identidade solicite acesso em todas as regiões da AWS nas quais o modelo está disponível, mesmo que aws-marketplace:Subscribe seja negada para outras regiões.

Para ter informações sobre como criar a política, consulte Eu já tenho uma Conta da AWS.

Somente para a ação aws-marketplace:Subscribe, é possível usar a chave de condição aws-marketplace:ProductId para restringir a assinatura a modelos específicos.

nota

Os modelos dos seguintes fornecedores não são vendidos por meio do AWS Marketplace e não têm chaves de produto, então não é possível definir o escopo de ações do aws-marketplace para eles:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Entretanto, você pode evitar o uso desses modelos negando ações do Amazon Bedrock e especificando esses IDs de modelo no campo Resource. Para obter um exemplo, consulte Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido.

Selecione uma seção para ver exemplos de políticas do IAM para um caso de uso específico:

Impedir que uma identidade solicite acesso a um modelo com um ID de produto

Para evitar que uma entidade do IAM solicite acesso a um modelo específico que tenha um ID de produto, anexe uma política do IAM ao usuário que negue a ação aws-marketplace:Subscribe e defina o escopo do campo Condition para o ID de produto do modelo.

Por exemplo, você pode anexar a seguinte política a uma identidade para impedir que ela assine o modelo Claude 3.5 Sonnet da Anthropic:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
nota

Com essa política, a entidade do IAM terá acesso a todos os modelos recém-adicionados por padrão.

Se a identidade já tiver se inscrito no modelo em pelo menos uma região, essa política não impedirá o acesso em outras regiões. Em vez disso, você pode ver o exemplo em Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido para impedir o uso.

Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido

Se uma identidade do IAM já tiver recebido acesso a um modelo, você pode impedir o uso do modelo negando todas as ações do Amazon Bedrock e definindo o escopo do campo Resource com o ARN do modelo de base.

Por exemplo, é possível anexar a seguinte política a uma identidade para evitar que ela use o modelo Claude 3.5 Sonnet da Anthropic em todas as regiões da AWS:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Acessar modelos de base do Amazon Bedrock na AWS GovCloud (EUA)

Antes de usar um modelo de base no Amazon Bedrock, solicite acesso ao modelo. Se você não precisar mais acessar um modelo, poderá remover o acesso a ele.

nota

Os modelos dos seguintes fornecedores não são vendidos por meio do AWS Marketplace e não têm chaves de produto, então não é possível definir o escopo de ações do aws-marketplace para eles:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Entretanto, você pode evitar o uso desses modelos negando ações do Amazon Bedrock e especificando esses IDs de modelo no campo Resource. Para obter um exemplo, consulte Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido.

Depois que o acesso é fornecido a um modelo, ele fica disponível para todos os usuários da conta da AWS.

Como adicionar ou remover o acesso aos modelos de base

  1. Verifique se você tem as permissões para solicitar acesso ou modificar o acesso aos modelos de base do Amazon Bedrock.

  2. Faça login no console Amazon Bedrock em https://console.aws.amazon.com/bedrock/.

  3. No painel de navegação à esquerda, em Configurações do Bedrock, escolha Acesso ao modelo.

  4. Na página Acesso ao modelo, escolha Modificar acesso ao modelo.

  5. Selecione os modelos aos quais deseja que a conta tenha acesso e desmarque os modelos aos quais não deseja que a conta tenha acesso. Você tem as seguintes opções:

    Revise o Contrato de Licença de Usuário Final (EULA) para ver os termos e condições de uso de um modelo antes de solicitar acesso a ele.

    • Escolha caixa de seleção ao lado de um modelo individual para marcá-la ou desmarcá-la.

    • Escolha a caixa de seleção da parte superior para marcar ou desmarcar todos os modelos.

    • Selecione como os modelos são agrupados e marque ou desmarque todos os modelos em um grupo escolhendo a caixa de seleção ao lado do grupo. Por exemplo, é possível escolher Agrupar por provedor e a caixa de seleção ao lado de Cohere para marcar ou desmarcar todos os modelos da Cohere.

  6. Escolha Próximo.

  7. Se você adicionar acesso aos modelos da Anthropic, deverá descrever os detalhes do seu caso de uso. Escolha Enviar detalhes do caso de uso, preencha o formulário e selecione Enviar formulário. A notificação de acesso é concedida ou negada com base em suas respostas ao preencher o formulário para o provedor.

  8. Revise as alterações de acesso que está fazendo e leia os Termos.

    nota

    O uso dos modelos de base do Amazon Bedrock está sujeito aos termos de preços do vendedor, ao EULA e aos Termos de serviço da AWS.

  9. Se você concordar com os termos, escolha Enviar. As alterações podem demorar vários minutos para serem refletidas no console.

    nota

    Se você revogar o acesso a um modelo, ele ainda poderá ser acessado por meio da API por algum tempo após a conclusão dessa ação enquanto as alterações são propagadas. Para remover imediatamente o acesso, nesse meio tempo, adicione uma Política do IAM a uma função para negar o acesso ao modelo.

  10. Se a solicitação for bem-sucedida, o Status do sucesso será alterado para Acesso concedido ou Disponível para solicitação.

nota

Para clientes da AWS GovCloud (EUA), siga estas etapas para acessar os modelos que estão disponíveis na AWS GovCloud (EUA):

  • Os usuários da AWS GovCloud (EUA) devem localizar o ID da conta padrão da AWS associado ao ID da conta da AWS GovCloud (EUA). Para encontrar o ID associado, você pode seguir o guia Como encontrar o ID de sua conta padrão da AWS associado.

  • Clientes da AWS GovCloud (EUA) podem usar o ID da conta padrão da AWS para acessar modelos no console do Amazon Bedrock na região us-east-1 ou na us-west-2. Se quiser usar um modelo em uma região diferente, você pode criar manualmente um contrato de modelo de base chamando ListFoundationModelAgreementOffers e, em seguida, CreateFoundationModelAgreement na API da AWS.

  • Depois de concluir as etapas anteriores, faça login na sua conta da AWS GovCloud (EUA) e navegue até o Amazon Bedrock na us-gov-west-1. Agora você deve ter acesso aos modelos que estão disponíveis na AWS GovCloud.