访问 Amazon Bedrock 基础模型 - Amazon Bedrock
授予权限以请求对具有产品 ID 的基础模型的访问权限访问 AWS GovCloud 中的模型

访问 Amazon Bedrock 基础模型

在具备正确的 AWS Marketplace 权限的情况下,对所有 Amazon Bedrock 基础模型的访问权限默认处于启用状态。要开始使用,只需在 Amazon Bedrock 控制台的模型目录中选择一个模型,并在 Playground 中打开此模型,或使用 InvokeModelConverse API 操作调用此模型。有关 Amazon Bedrock 支持的不同模型的信息,请参阅 Amazon Bedrock 基础模型信息。有关模型定价的信息,请参阅 Amazon Bedrock 定价

在所有商业 AWS 区域中,如果具备正确的 AWS Marketplace 权限,默认情况下对所有 Amazon Bedrock 基础模型的访问权限均处于启用状态。要访问非商业区域中的模型,请参阅访问 AWS GovCloud(美国)中的 Amazon Bedrock 基础模型

注意

Anthropic 要求首次使用的客户在调用模型前提交使用案例详细信息,且每个账户或每个组织的管理账户仅需提交一次。您可以通过从 Amazon Bedrock 控制台的模型目录中选择 Anthropic 模型或调用 PutUseCaseForModelAccess API 命令来提交使用案例详细信息。在成功提交使用案例详细信息后,将立即授予对模型的访问权限。在根账户提交的表单信息将由同一 AWS Organizations 中的其他账户继承。

注意

对于第三方模型,首次调用/使用该模型即表示您同意适用的最终用户许可协议。有关更多信息,请参阅 AWS 服务条款无服务器第三方模型许可协议

需在允许使用模型之前审核并同意 EULA 的组织应:

  1. 首先通过服务控制策略(SCP)或 IAM 策略来阻止模型访问

  2. 审查 EULA 条款

  3. 仅在您同意 EULA 条款的情况下,允许通过 SCP/IAM 策略访问模型

主题

授予 IAM 权限以请求对具有产品 ID 的 Amazon Bedrock 基础模型的访问权限

您可以通过创建自定义 IAM 策略来管理模型访问。要修改对 Amazon Bedrock 基础模型的访问权限,您需要先将包含以下 AWS Marketplace 操作的基于身份的 IAM 策略附加到允许访问 Amazon Bedrock 的 IAM 角色:

通过以下 IAM 操作控制对具有产品 ID 的 Amazon Bedrock 无服务器基础模型的访问权限:

IAM 操作 描述 适用于的模型
aws-marketplace:Subscribe

允许 IAM 实体订阅 AWS Marketplace 产品,包括 Amazon Bedrock 基础模型。

 仅在 AWS Marketplace 中具有产品 ID 的 Amazon Bedrock 无服务器模型。
aws-marketplace:Unsubscribe 允许 IAM 身份取消订阅 AWS Marketplace 产品,包括 Amazon Bedrock 基础模型。 仅在 AWS Marketplace 中具有产品 ID 的 Amazon Bedrock 无服务器模型。
aws-marketplace:ViewSubscriptions 允许 IAM 身份返回 AWS Marketplace 产品列表,包括 Amazon Bedrock 基础模型。 仅在 AWS Marketplace 中具有产品 ID 的 Amazon Bedrock 无服务器模型。
注意

仅对于 aws-marketplace:Subscribe 操作,您可以使用 aws-marketplace:ProductId 条件键来限制对特定模型的订阅。

允许 IAM 身份请求对具有产品 ID 的模型的访问权限

身份必须已附加允许 aws-marketplace:Subscribe 的策略。

注意

如果一个身份已在某个 AWS 区域订阅了一个模型,则此身份可使用该模型在所有提供该模型的 AWS 区域内申请访问权限,即便在其他区域内,aws-marketplace:Subscribe 被拒绝也是如此。

有关创建策略的信息,请参阅我已有 AWS 账户

仅对于 aws-marketplace:Subscribe 操作,您可以使用 aws-marketplace:ProductId 条件键来限制对特定模型的订阅。

注意

来自以下提供商的模型并未通过 AWS Marketplace 销售,且没有产品密钥,因此您无法将 aws-marketplace 操作的适用范围限定到这些模型:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

不过,您可以通过拒绝 Amazon Bedrock 操作并在 Resource 字段中指定这些模型 ID,来禁止使用这些模型。有关示例,请参阅阻止身份在获得访问权限后使用模型

选择一个部分以查看特定使用案例的 IAM 策略示例:

防止身份请求对具有产品 ID 的模型的访问权限

要防止 IAM 实体请求对具有产品 ID 的特定模型的访问权限,请向用户附加一个 IAM 策略,以便拒绝 aws-marketplace:Subscribe 操作并将 Condition 字段的范围限定为该模型的产品 ID。

例如,您可以将以下策略附加到身份以防止其订阅 Anthropic Claude 3.5 Sonnet 模型:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
注意

利用此策略,IAM 实体默认有权访问任何新添加的模型。

如果身份已在至少一个区域订阅模型,则此策略不会阻止其在其他区域访问模型。相反,您可以参考阻止身份在获得访问权限后使用模型中的示例来限制模型的使用。

阻止身份在获得访问权限后使用模型

如果一个 IAM 身份已获得对某个模型的访问权限,您可以通过拒绝所有 Amazon Bedrock 操作,并将 Resource 字段限定为基础模型的 ARN 来阻止此身份使用该模型。

例如,您可以将以下策略附加到身份,以阻止其在所有 AWS 区域内使用 Anthropic Claude 3.5 Sonnet 模型:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

访问 AWS GovCloud(美国)中的 Amazon Bedrock 基础模型

您必须先申请访问权限,然后才能使用 Amazon Bedrock 中的基础模型。如果您不再需要访问模型,则可以删除对该模型的访问权限。

注意

来自以下提供商的模型并未通过 AWS Marketplace 销售,且没有产品密钥,因此您无法将 aws-marketplace 操作的适用范围限定到这些模型:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

不过,您可以通过拒绝 Amazon Bedrock 操作并在 Resource 字段中指定这些模型 ID,来禁止使用这些模型。有关示例,请参阅阻止身份在获得访问权限后使用模型

获得模型的访问权限后,AWS 账户中的所有用户均可使用该访问权限。

添加或删除对基础模型的访问权限

  1. 确保您有权限请求访问 Amazon Bedrock 基础模型或修改此访问权限。

  2. 通过以下网址登录 Amazon Bedrock 控制台:https://console.aws.amazon.com/bedrock/

  3. 在左侧导航窗格中的 Bedrock 配置下,选择模型访问权限

  4. 模型访问权限页面上,选择修改模型访问权限

  5. 选择您希望账户有权访问的模型,并取消选择您不想让账户访问的模型。您有以下选项:

    在请求访问权限之前,请务必查看终端用户许可协议 (EULA) 以了解使用模型的相关条款和条件。

    • 选中单个模型旁边的复选框以选中或取消选中该模型。

    • 选中顶部的复选框以选中或取消选中所有模型。

    • 选择模型的分组方式,然后通过选中该组旁边的复选框来选中或取消选中该组中的所有模型。例如,您可以选择按提供商分组,然后选中 Cohere 旁边的复选框来选中或取消选中所有 Cohere 模型。

  6. 选择下一步

  7. 如果您添加对 Anthropic 模型的访问权限,则必须描述您的应用场景详细信息。选择提交应用场景详细信息,填写表单,然后选择提交表单。完成提供商的表单后,将根据您的答案通知授予还是拒绝访问权限。

  8. 查看您正在进行的访问权限更改,然后阅读条款

    注意

    您对 Amazon Bedrock 基础模型的使用受卖家定价条款、EULA 和 AWS 服务条款的约束。

  9. 如果您同意这些条款,请选择提交。更改可能需要几分钟才会反映在控制台中。

    注意

    如果您撤消对模型的访问权限,则在您完成此操作后且更改在传播期间,仍可以通过 API 访问该模型。要同时立即删除访问权限,请向角色添加 IAM 策略以拒绝对模型的访问

  10. 如果您的请求成功,则访问状态将更改为已授予访问权限可请求

注意

对于 AWS GovCloud(美国)客户,请按照以下步骤操作来访问 AWS GovCloud(美国)中提供的模型:

  • AWS GovCloud(美国)用户必须找到与其 AWS GovCloud(美国)账户 ID 关联的标准 AWS 账户 ID。要查找您的关联 ID,可以按照查找关联的标准 AWS 账户 ID 指南中的说明操作。

  • AWS GovCloud(美国)客户可以使用其标准 AWS 账户 ID 访问 us-east-1us-west-2 区域内 Amazon Bedrock 控制台中的模型。如果您想使用其他区域内的模型,可以通过在 AWS API 中依次调用 ListFoundationModelAgreementOffersCreateFoundationModelAgreement 来手动创建基础模型协议。

  • 完成上述步骤后,登录您的 AWS GovCloud(美国)账户,然后导航至 us-gov-west-1 中的 Amazon Bedrock。现在,您应有权访问 AWS GovCloud 中提供的模型。