访问 Amazon Bedrock 基础模型 - Amazon Bedrock
授予使用产品 ID 请求访问基础模型的权限访问中的模型 AWS GovCloud

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问 Amazon Bedrock 基础模型

默认情况下,使用正确的 Mark AWS etplace 权限即可访问所有 Amazon Bedrock 基础模型。要开始使用,只需从 Amazon Bedrock 控制台的模型目录中选择一个模型,然后在操场上将其打开,或者使用或 Conv erse API 操作调用该InvokeModel模型。有关 Amazon Bedrock 支持的不同模型的信息,请参阅 Ama zon Bedrock 基础模型信息。有关模型定价的信息,请参阅 Amazon Bedrock 定价

默认情况下,在所有商用 AWS 区域,只要拥有正确的 AWS Marketplace 权限,即可访问所有 Amazon Bedrock 基础模型。要访问非商业区域的模型,请参阅访问 AWS GovCloud (美国)中的 Amazon Bedrock 基础模型

注意

Anthropic要求首次使用的客户在每个账户调用模型之前提交用例详细信息,或者在组织的管理账户中调用模型一次。您可以通过从 Amazon Bedrock 控制台的模型目录中选择模型或调用 PutUseCaseForModelAccess API 命令来提交用例详情。Anthropic成功提交用例详细信息后,将立即授予对模型的访问权限。在主账户提交的表单将由同一 Organizations 中的其他账户继 AWS 承。

注意

对于 3P 模型 invoking/using ,即表示您首次同意适用的最终用户许可协议。有关更多信息,请参阅AWS 服务条款无服务器第三方模型许可协议

在允许使用模型之前需要审阅并同意 EULA 的组织应:

  1. 最初使用服务控制策略 (SCP) 或 IAM 策略阻止模型访问

  2. 查看最终用户许可协议条款

  3. 只有在您同意 EULA 条款后,才能通过 SCP/IAM 策略启用模型访问权限

主题

授予 IAM 权限以请求访问带有产品编号的 Amazon Bedrock 基础模型

您可以通过创建自定义 IAM 策略来管理模型访问权限。要修改对 Amazon Bedrock 基础模型的访问权限,您首先需要向允许访问 Amazon Bedrock 的 IAM 角色附加包含以下AWS Marketplace 操作的基于身份的 IAM 策略:

通过以下 IAM 操作控制使用产品 ID 访问 Amazon Bedrock 无服务器基础模型:

IAM 操作 说明 适用于哪些型号
AWS 市场:订阅

允许 IAM 实体订阅 AWS Marketplace 产品,包括 Amazon Bedrock 基础模型。

 仅包含产品编号的 Amazon Bedrock 无服务器型号。 AWS Marketplace
AWS-Marketplace:取消订阅 允许 IAM 身份取消订阅 AWS Marketplace 产品,包括 Amazon Bedrock 基础模型。 仅包含产品编号的 Amazon Bedrock 无服务器型号。 AWS Marketplace
aws 市场:ViewSubscriptions 允许 IAM 身份返回 AWS Marketplace 产品列表,包括 Amazon Bedrock 基础模型。 仅包含产品编号的 Amazon Bedrock 无服务器型号。 AWS Marketplace
注意

仅对于 aws-marketplace:Subscribe 操作,您可以使用 aws-marketplace:ProductId 条件键来限制对特定模型的订阅。

让 IAM 身份请求使用产品 ID 访问模型

该身份必须附有允许的策略aws-marketplace:Subscribe

注意

如果某个身份已经在一个 AWS 区域订阅了模型,则该模型可供该身份在所有可用该模型的 AWS 区域中请求访问权限,即使其他区域aws-marketplace:Subscribe被拒绝。

有关创建策略的信息,请参阅我已经有一个 AWS 账户

仅对于 aws-marketplace:Subscribe 操作,您可以使用 aws-marketplace:ProductId 条件键来限制对特定模型的订阅。

注意

来自以下提供商的模型未通过销售 AWS Marketplace ,也没有产品密钥,因此您无法将aws-marketplace操作范围限定在他们身上:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

但是,您可以通过拒绝 Amazon Bedrock 操作并在Resource字段 IDs 中指定这些模型来阻止使用这些模型。有关示例,请参阅禁止身份在已被授予访问权限后使用模型

选择一个部分以查看特定用例的 IAM 策略示例:

防止身份请求访问带有产品 ID 的模特

要防止 IAM 实体请求访问具有产品 ID 的特定模型,请向用户附加拒绝该aws-marketplace:Subscribe操作的 IAM 策略,并将该Condition字段的范围限定为该模型的产品 ID。

例如,您可以将以下策略附加到身份以防止其订阅AnthropicClaude 3.5 Sonnet模型:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
注意

使用此策略,默认情况下,IAM 实体将有权访问任何新添加的模型。

如果该身份已经在至少一个地区订阅了模型,则此政策不会阻止在其他区域进行访问。相反,您可以通过查看中的示例来阻止其使用禁止身份在已被授予访问权限后使用模型

禁止身份在已被授予访问权限后使用模型

如果已授予 IAM 身份访问模型的权限,则可以通过拒绝所有 Amazon Bedrock 操作并将该Resource字段的范围限定为基础模型的 ARN 来阻止模型的使用。

例如,您可以将以下策略附加到某个身份,以防止其在所有 AWS 区域使用该AnthropicClaude 3.5 Sonnet模型:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

访问 AWS GovCloud (美国)中的 Amazon Bedrock 基础模型

您必须先申请访问权限,然后才能使用 Amazon Bedrock 中的基础模型。如果您不再需要访问模型,则可以删除对该模型的访问权限。

注意

来自以下提供商的模型未通过销售 AWS Marketplace ,也没有产品密钥,因此您无法将aws-marketplace操作范围限定在他们身上:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

但是,您可以通过拒绝 Amazon Bedrock 操作并在Resource字段 IDs 中指定这些模型来阻止使用这些模型。有关示例,请参阅禁止身份在已被授予访问权限后使用模型

获得模型的访问权限后, AWS 账户中的所有用户均可使用该访问权限。

添加或删除对基础模型的访问权限

  1. 确保您有权限请求访问 Amazon Bedrock 基础模型或修改此访问权限。

  2. 登录亚马逊 Bedrock 控制台,网址为https://console.aws.amazon.com/bedrock/

  3. 在左侧导航窗格中的 Bedrock 配置下,选择模型访问权限

  4. 模型访问权限页面上,选择修改模型访问权限

  5. 选择您希望账户有权访问的模型,并取消选择您不想让账户访问的模型。您有以下选项:

    在请求访问权限之前,请务必查看终端用户许可协议 (EULA) 以了解使用模型的相关条款和条件。

    • 选中单个模型旁边的复选框以选中或取消选中该模型。

    • 选中顶部的复选框以选中或取消选中所有模型。

    • 选择模型的分组方式,然后通过选中该组旁边的复选框来选中或取消选中该组中的所有模型。例如,您可以选择按提供商分组,然后选中 Cohere 旁边的复选框来选中或取消选中所有 Cohere 模型。

  6. 选择下一步

  7. 如果您添加对 Anthropic 模型的访问权限,则必须描述您的应用场景详细信息。选择提交应用场景详细信息,填写表单,然后选择提交表单。完成提供商的表单后,将根据您的答案通知授予还是拒绝访问权限。

  8. 查看您正在进行的访问权限更改,然后阅读条款

    注意

    您对 Amazon Bedrock 基础模型的使用受卖家定价条款、EULA 和 AWS 服务条款的约束。

  9. 如果您同意这些条款,请选择提交。更改可能需要几分钟才会反映在控制台中。

    注意

    如果您撤消对模型的访问权限,则在您完成此操作后且更改在传播期间,仍可以通过 API 访问该模型。要同时立即删除访问权限,请向角色添加 IAM 策略以拒绝对模型的访问

  10. 如果您的请求成功,则访问状态将更改为已授予访问权限可请求

注意

对于 AWS GovCloud (美国)客户,请按照以下步骤访问 AWS GovCloud (美国)提供的型号:

  • AWS GovCloud (美国)用户必须找到与其 AWS GovCloud (美国) AWS 账户 ID 关联的标准账户 ID。要查找您的关联 ID,您可以按照本指南查找关联的标准 AWS 账户 ID

  • AWS GovCloud (美国)客户可以使用其标准 AWS 账户 ID 访问us-east-1us-west-2地区的 Amazon Bedrock 控制台中的模型。如果您想在其他区域使用模型,则可以通过调用,ListFoundationModelAgreementOffers然后CreateFoundationModelAgreement在 AWS API 中手动创建基础模型协议。

  • 完成上述步骤后,登录您的 AWS GovCloud(美国)账户并导航至 Amazon Bedrock。us-gov-west-1现在,您应该可以访问中提供的模型 AWS GovCloud。