Acessar modelos de base do Amazon Bedrock - Amazon Bedrock
Conceder permissões para solicitar acesso a modelos de base com um ID de produtoGerencie o acesso ao modelo usando SDK e CLIAcesse os modelos da Amazon Bedrock Foundation na AWS GovCloud (EUA)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessar modelos de base do Amazon Bedrock

O acesso a todos os modelos de base do Amazon Bedrock está habilitado por padrão com as permissões corretas do AWS Marketplace. Para começar, basta selecionar um modelo do catálogo de modelos no console Amazon Bedrock e abri-lo no playground ou invocar o modelo usando as operações da API InvokeModelou da Converse. Para ter informações sobre os diferentes modelos oferecidos no Amazon Bedrock, consulte Informações sobre modelos de base do Amazon Bedrock. Para ter informações sobre preços de modelo, consulte Preços do Amazon Bedrock.

O acesso a todos os modelos de base do Amazon Bedrock está habilitado por padrão com as permissões corretas do AWS Marketplace em todas as regiões comerciais da AWS. Para acesso programático a modelos de terceiros, consulteGerencie o acesso ao modelo usando SDK e CLI.

nota

A Anthropic exige que os clientes iniciantes enviem detalhes do caso de uso antes de invocarem um modelo uma vez por conta ou uma vez por conta gerencial da organização. Você pode enviar detalhes do caso de uso selecionando um modelo da Anthropic no catálogo de modelos no console do Amazon Bedrock ou chamando o comando de API PutUseCaseForModelAccess. O acesso ao modelo é concedido imediatamente após o envio bem-sucedido dos detalhes do caso de uso. O envio do formulário na conta raiz será herdado por outras contas na mesma AWS organização.

nota

Para modelos 3P, pelo modelo, invoking/using pela primeira vez, você concorda com o Contrato de Licença de Usuário Final aplicável. Para ter mais informações, consulte os Termos de Serviço da AWS e os contratos de licença de modelos sem servidor de terceiros.

As organizações que precisam analisar e concordar com o EULA antes de permitir o uso do modelo devem:

  1. Bloquear inicialmente o acesso ao modelo usando políticas de controle de serviços (SCPs) ou políticas do IAM.

  2. Analisar os termos do EULA.

  3. Habilite o acesso ao modelo por meio de SCP/IAM políticas somente se você concordar com os termos do EULA

Tópicos

Conceder permissões do IAM para solicitar acesso a modelos de base do Amazon Bedrock com um ID de produto

Você pode gerenciar permissões de acesso ao modelo criando políticas do IAM personalizadas. Para modificar o acesso aos modelos básicos do Amazon Bedrock, primeiro você precisa anexar uma política de IAM baseada em identidade com as seguintes AWS Marketplace ações à função do IAM que permite acesso ao Amazon Bedrock.

Quando você invoca pela primeira vez um modelo sem servidor do Amazon Bedrock servido AWS Marketplace em uma conta, o Bedrock tenta habilitar automaticamente o modelo para sua conta. Para que essa ativação automática funcione, são AWS Marketplace necessárias permissões.

Se você não puder assumir a AWS Marketplace permissão, alguém com AWS Marketplace permissões deverá ativar o modelo para a conta em uma única etapa (manualmente ou por meio da ativação automática). Depois de ativado, todos os usuários da conta podem invocar o modelo sem precisar AWS Marketplace de permissões. Os usuários não precisam de permissões de AWS Marketplace assinatura para invocar modelos depois de serem habilitados. Essas permissões só são necessárias na primeira vez em que um modelo está sendo usado em uma conta.

O acesso aos modelos de base sem servidor do Amazon Bedrock com um ID de produto é controlado pelas seguintes ações do IAM:

Ação do IAM Description Aplica-se a quais modelos
aws-marketplace:Subscribe

Permite que uma entidade do IAM assine AWS Marketplace produtos, incluindo modelos da Amazon Bedrock Foundation.

 Somente modelos sem servidor do Amazon Bedrock que têm um ID de produto do AWS Marketplace.
aws-marketplace:Unsubscribe Permite que uma identidade do IAM cancele a assinatura de AWS Marketplace produtos, incluindo os modelos da Amazon Bedrock Foundation. Somente modelos sem servidor do Amazon Bedrock que têm um ID de produto do AWS Marketplace.
mercado da AWS: ViewSubscriptions Permite que uma identidade do IAM retorne uma lista de AWS Marketplace produtos, incluindo modelos da Amazon Bedrock Foundation. Somente modelos sem servidor do Amazon Bedrock que têm um ID de produto do AWS Marketplace.
nota

Somente para a ação aws-marketplace:Subscribe, é possível usar a chave de condição aws-marketplace:ProductId para restringir a assinatura a modelos específicos.

Para que uma identidade do IAM solicite acesso a modelos com um ID de produto

A identidade deve ter uma política anexada que permita aws-marketplace:Subscribe.

nota

Se uma identidade já tiver se inscrito em um modelo em uma AWS região, o modelo ficará disponível para que a identidade solicite acesso em todas as AWS regiões nas quais o modelo está disponível, mesmo que aws-marketplace:Subscribe seja negado para outras regiões.

Para ter informações sobre como criar a política, consulte Eu já tenho uma Conta da AWS.

Somente para a ação aws-marketplace:Subscribe, é possível usar a chave de condição aws-marketplace:ProductId para restringir a assinatura a modelos específicos.

nota

Os modelos dos seguintes fornecedores não são vendidos AWS Marketplace e não têm chaves de produto, então você não pode definir o escopo aws-marketplace das ações para eles:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

No entanto, você pode evitar o uso desses modelos negando ações do Amazon Bedrock e especificando esses modelos IDs no campo. Resource Para ver um exemplo, consulte Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido.

Selecione uma seção para ver exemplos de políticas do IAM para um caso de uso específico:

Impedir que uma identidade solicite acesso a um modelo com um ID de produto

Para evitar que uma entidade do IAM solicite acesso a um modelo específico que tenha um ID de produto, anexe uma política do IAM ao usuário que negue a ação aws-marketplace:Subscribe e defina o escopo do campo Condition para o ID de produto do modelo.

Por exemplo, você pode anexar a seguinte política a uma identidade para impedir que ela assine o modelo Claude 3.5 Sonnet da Anthropic:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
nota

Com essa política, a entidade do IAM terá acesso a todos os modelos recém-adicionados por padrão.

Se a identidade já tiver se inscrito no modelo em pelo menos uma região, essa política não impedirá o acesso em outras regiões. Em vez disso, você pode ver o exemplo em Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido para impedir o uso.

Impedir que uma identidade use um modelo depois que o acesso já tiver sido concedido

Se uma identidade do IAM já tiver recebido acesso a um modelo, você pode impedir o uso do modelo negando todas as ações do Amazon Bedrock e definindo o escopo do campo Resource com o ARN do modelo de base.

Por exemplo, você pode anexar a seguinte política a uma identidade para evitar que ela use o Anthropic Claude 3.5 Sonnet modelo em todas as AWS regiões:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Gerencie o acesso ao modelo usando SDK e CLI

O acesso ao modelo pode ser gerenciado usando o SDK, além de invocar o modelo. As etapas abaixo podem ser usadas para create/delete modelar o acesso e verificar se o acesso já existe ou não. Observe que isso se aplica somente a modelos de terceiros.

Siga estas etapas para gerenciar o acesso ao modelo de forma programática:

Pré-requisitos

  • Anexe a AmazonBedrockFullAccesspolítica ao IAM user/role usado para o SDK/CLI.

  • Configuração do SDK do Bedrock: configure o SDK da AWS para o Amazon Bedrock

    Nota: As instruções abaixo usam python3 para os exemplos

  • Observe o modelID do modelo para o qual o acesso precisa ser gerenciado.

Etapa 1: Listar as ofertas do modelo de contrato da fundação

Use essa API para obter as ofertas de contrato para um modelo específico. Isso fornecerá o OfferToken usado para criar acesso ao modelo nas próximas etapas.

Documentação

AWS CLI
aws bedrock list-foundation-model-agreement-offers --model-id <ModelId>
Python
# Placeholder for modelId
model_id = "<enter model id here>" 
# Placeholder for offerId
offer_id = "<enter offer id here>"
try:
    # offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
    model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
    print(model_agreement_offers_response)
except ClientError as e:
    print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")

Etapa 2: [Exigido apenas uma vez para modelos antrópicos] Coloque o caso de uso para usuário iniciante

Usado para colocar o formulário de caso de uso do usuário iniciante, exigido apenas para modelos antrópicos. Esse é um pré-requisito para obter acesso aos modelos antrópicos na conta. Essa API só é necessária uma vez por conta ou por organização da AWS em todas as regiões comerciais, com exceção das regiões opcionais em que esse formulário precisa ser preenchido novamente.

Documentação

AWS CLI
aws bedrock put-use-case-for-model-access \
  --form-data <Base64EncodedFormData>
Python
# Placeholder for form data, replace the names
COMPANY_NAME = "<enter company name here>"
COMPANY_WEBSITE = "<enter company website here>"
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = "<enter industry option here>"
OTHER_INDUSTRY_OPTION = "<enter other industry option here>"
USE_CASES = "<enter use cases here>"
form_data = {
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)

Para CLI, os dados do formulário são json codificados em base64 do formulário abaixo.

{
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}

  • COMPANY_NAME: Cadeia de caracteres com comprimento máximo de 128

  • COMPANY_WEBSITE: Cadeia de caracteres com comprimento máximo de 128

  • USUÁRIOS PRETENDIDOS: 0, 1 ou 2. 0: Interno, 1: Externo, 2: Interno_e_externo

  • INDUSTRY_OPTION: string com comprimento máximo de 128

  • OTHER_INDUSTRY_OPTION: string com comprimento máximo de 128

  • USE_CASES: String com comprimento máximo de 8192

Etapa 3: Criar um modelo de contrato básico

Usado para criar um acordo (acesso) para o modelo de fundação. Use o token de oferta e o modelID acima.

Documentação

AWS CLI
aws bedrock create-foundation-model-agreement \
  --model-id <ModelId> \
  --offer-token <OfferToken>
Python
offer_token= ''

for agreement_offer in model_agreement_offers_response['offers']:
    if  agreement_offer['offerId'] == offer_id:
            
            offer_token = agreement_offer['offerToken']
            print(f"offer token found. Offer token is {offer_token}")
            break


if(not offer_token):
    print(f"Offer token for  modelId: {model_id} is not found")
    
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)

Etapa 4: Obter a disponibilidade do modelo básico

Usado para verificar se o modelo da fundação atualmente tem acesso ou não. Use o modelID acima.

Documentação

AWS CLI
aws bedrock get-foundation-model-availability \
  --model-id <ModelId>
Python
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
Resposta esperada

agreementAvailability- AVAILABLE se o acesso NOT_AVAILABLE existe, esse acesso não existe.

{
  "modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
  "agreementAvailability": {
    "status": "AVAILABLE"
  },
  "authorizationStatus": "AUTHORIZED",
  "entitlementAvailability": "AVAILABLE",
  "regionAvailability": "AVAILABLE"
}

[Opcional] Etapa 5: Excluir o contrato do modelo de fundação

Usado para excluir o modelo de contrato da fundação (acesso). Use o modelID acima.

nota

Excluir o acesso ao modelo não é suficiente para bloquear o acesso no futuro, pois invocar o modelo criará o acesso novamente. Para garantir que o acesso não seja criado novamente, aplique políticas restritivas de negação do IAM para o modelo.

Documentação

AWS CLI
aws bedrock delete-foundation-model-agreement \
  --model-id <ModelId>
Python
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)

Acesse os modelos da Amazon Bedrock Foundation na AWS GovCloud (EUA)

As contas da AWS GovCloud (EUA) são vinculadas com one-to-one base nas contas comerciais padrão da AWS. Essa conta comercial vinculada é usada para cobrança, acesso a serviços, fins de suporte e acesso ao Amazon Bedrock Model Marketplace. Para obter mais informações sobre o relacionamento entre contas comerciais GovCloud e contas, consulte Vinculação de contas padrão na AWS GovCloud (EUA).

Para modelos de terceiros, o acesso ao modelo precisa ser habilitado tanto na conta comercial vinculada da AWS quanto na GovCloud conta da AWS. Para modelos fornecidos pelo Amazon Bedrock, o acesso ao modelo só precisa ser ativado na GovCloud conta. Este é um processo manual.

Habilitando o acesso ao modelo para a AWS GovCloud em uma conta comercial vinculada da AWS (somente para modelos de terceiros)

O acesso ao modelo pode ser habilitado em uma conta comercial da AWS usando duas formas:

  1. Invoque o modelo necessário para a conta comercial da AWS em us-east-1 nossa us-west-2 região.

  2. Habilite programaticamente o acesso ao modelo usando a conta comercial da SDK/CLI AWS em us-east-1 nossa us-west-2 região. Isso pode ser feito seguindo as etapas descritas nas seções anteriores.

Habilitando o acesso ao modelo para a GovCloud conta da AWS

Na AWS GovCloud (EUA), você usa a página de acesso ao modelo no console Amazon Bedrock na us-gov-west-1 região para habilitar modelos básicos, conforme descrito abaixo:

  1. Certifique-se de ter permissões para solicitar acesso ao modelo para solicitar acesso ou modificar o acesso aos modelos da Amazon Bedrock Foundation. É recomendável anexar a AmazonBedrockFullAccesspolítica à que user/role está sendo usada.

  2. Faça login no console Amazon Bedrock na us-gov-west-1 região em https://console.aws.amazon.com/bedrock/.

  3. No painel de navegação à esquerda, em Configurações do Bedrock, escolha Acesso ao modelo.

  4. Na página Acesso ao modelo, escolha Modificar acesso ao modelo.

  5. Selecione os modelos aos quais deseja que a conta tenha acesso e desmarque os modelos aos quais não deseja que a conta tenha acesso. Você tem as seguintes opções:

    1. Revise o Contrato de Licença de Usuário Final (EULA) para ver os termos e condições de uso de um modelo antes de solicitar acesso a ele.

    2. Escolha caixa de seleção ao lado de um modelo individual para marcá-la ou desmarcá-la.

    3. Escolha a caixa de seleção da parte superior para marcar ou desmarcar todos os modelos.

    4. Selecione como os modelos são agrupados e marque ou desmarque todos os modelos em um grupo escolhendo a caixa de seleção ao lado do grupo. Por exemplo, você pode escolher Agrupar por provedor e, em seguida, marcar a caixa de seleção ao lado de Cohere para marcar ou desmarcar todos os modelos Cohere.

  6. Escolha Próximo.

  7. Se você adicionar acesso aos modelos antrópicos, deverá descrever os detalhes do seu caso de uso. Escolha Enviar detalhes do caso de uso, preencha o formulário e selecione Enviar formulário. A notificação de acesso é concedida ou negada com base em suas respostas ao preencher o formulário para o provedor.

  8. Revise as alterações de acesso que está fazendo e leia os Termos.

  9. Se você concordar com os termos, escolha Enviar. As alterações podem demorar vários minutos para serem refletidas no console.

  10. Se a solicitação for bem-sucedida, o Status do sucesso será alterado para Acesso concedido ou Disponível para solicitação.