存取 Amazon Bedrock 基礎模型 - Amazon Bedrock
授予使用產品 ID 請求存取基礎模型的許可使用 SDK 和 CLI 管理模型存取在 AWS GovCloud (美國) 中存取 Amazon Bedrock 基礎模型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取 Amazon Bedrock 基礎模型

預設會使用正確的 AWS Marketplace 許可啟用對所有 Amazon Bedrock 基礎模型的存取。若要開始使用,只要從 Amazon Bedrock 主控台的模型目錄中選取模型,然後在遊樂場中開啟模型,或使用 InvokeModelConverse API 操作調用模型即可。如需 Amazon Bedrock 支援的不同模型的相關資訊,請參閱 Amazon Bedrock 基礎模型資訊。如需模型定價的詳細資訊,請參閱 Amazon Bedrock 定價

在所有商業 AWS 區域中,預設會使用正確的 AWS Marketplace 許可啟用對所有 Amazon Bedrock 基礎模型的存取。如需第三方模型的程式設計存取權,請參閱 使用 SDK 和 CLI 管理模型存取

了解自動模型存取

當您第一次在帳戶中叫用第三方模型時,Amazon Bedrock 會自動在背景啟動訂閱程序。在此設定期間 (最多 15 分鐘),您的 API 呼叫可能會在訂閱完成時暫時成功。如果缺少任何先決條件,初始 API 呼叫可能會暫時成功,但如果無法完成訂閱,則在設定期間之後將會失敗並顯示 403 錯誤。為了避免中斷,請在生產環境中叫用模型之前驗證所有先決條件。

成功存取模型的先決條件:

  1. AWS Marketplace 許可:您的 IAM 角色必須具有 aws-marketplace:Subscribeaws-marketplace:Unsubscribeaws-marketplace:ViewSubscriptions許可。如需詳細資訊,請參閱 授予 IAM 許可,以使用產品 ID 請求存取 Amazon Bedrock 基礎模型

  2. 人類模型:對於人類模型,您必須在叫用模型之前完成第一次使用 (FTU) 表單。

  3. 有效付款方式:您的 AWS 帳戶必須針對 AWS Marketplace 購買設定有效的付款方式。

注意

Anthropic 要求第一次客戶提交使用案例詳細資訊,然後每個帳戶調用模型一次,或在組織的管理帳戶中調用模型一次。您可以從 Amazon Bedrock 主控台的模型目錄中選取 Anthropic 模型,或呼叫 PutUseCaseForModelAccess API 命令,以提交使用案例詳細資訊。成功提交使用案例詳細資訊後,會立即授予模型的存取權。在根帳戶提交的表單將由相同 AWS 組織中的其他帳戶繼承。

注意

對於 3P 模型,當您第一次同意適用的最終使用者授權合約時,請調用/使用該模型。如需詳細資訊,請參閱 AWS 服務條款無伺服器第三方模型授權合約

在允許模型使用之前,需要檢閱並同意 EULA 的組織應該:

  1. 最初使用服務控制政策 (SCP) 或 IAM 政策封鎖模型存取

  2. 檢閱 EULA 詞彙

  3. 只有在您同意 EULA 條款時,才能透過 SCP/IAM 政策啟用模型存取

主題

授予 IAM 許可,以使用產品 ID 請求存取 Amazon Bedrock 基礎模型

您可以透過建立自訂 IAM 政策來管理模型存取許可。若要修改對 Amazon Bedrock 基礎模型的存取,您必須先將具有下列AWS Marketplace 動作的身分型 IAM 政策連接至允許存取 Amazon Bedrock 的 IAM 角色。

當您第一次調用 AWS Marketplace 帳戶中從 提供的 Amazon Bedrock 無伺服器模型時,Bedrock 會嘗試自動啟用您帳戶的模型。若要讓此自動啟用正常運作,需要 AWS Marketplace 許可。

如果您無法擔任 AWS Marketplace 許可,具有 AWS Marketplace 許可的人員必須啟用帳戶的模型作為一次性步驟 (手動或透過自動啟用)。啟用後,帳戶中的所有使用者都可以叫用模型,而不需要 AWS Marketplace 許可。啟用模型後,使用者不需要 AWS Marketplace 訂閱許可即可叫用模型。只有在 帳戶中第一次使用模型時,才需要這些許可。

使用產品 ID 存取 Amazon Bedrock 無伺服器基礎模型是由下列 IAM 動作控制:

IAM 動作 Description 適用於哪些模型
aws-marketplace:Subscribe

允許 IAM 實體訂閱 AWS Marketplace 產品,包括 Amazon Bedrock 基礎模型。

 僅限 AWS Marketplace中具有產品 ID 的 Amazon Bedrock 無伺服器模型。
aws-marketplace:Unsubscribe 允許 IAM 身分取消訂閱 AWS Marketplace 產品,包括 Amazon Bedrock 基礎模型。 僅限 AWS Marketplace中具有產品 ID 的 Amazon Bedrock 無伺服器模型。
aws-marketplace:ViewSubscriptions 允許 IAM 身分傳回 AWS Marketplace 產品清單,包括 Amazon Bedrock 基礎模型。 僅限 AWS Marketplace中具有產品 ID 的 Amazon Bedrock 無伺服器模型。
注意

僅針對 aws-marketplace:Subscribe 動作,您可以使用 aws-marketplace:ProductId 條件索引鍵來限制特定模型的訂閱。

若要讓 IAM 身分請求存取具有產品 ID 的模型

身分必須連接允許 aws-marketplace:Subscribe 的政策。

注意

如果身分已訂閱某個 AWS 區域中的模型,即使其他 AWS 區域aws-marketplace:Subscribe遭到拒絕,該模型仍可供該身分在可使用模型的所有區域中請求存取權。

如需建立政策的資訊,請參閱 Quickstart

僅針對 aws-marketplace:Subscribe 動作,您可以使用 aws-marketplace:ProductId 條件索引鍵來限制特定模型的訂閱。

注意

來自下列供應商的模型不會透過 銷售 AWS Marketplace ,也沒有產品金鑰,因此您無法將aws-marketplace動作範圍限定為這些供應商:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

不過,您可以拒絕 Amazon Bedrock 動作並在 Resource 欄位中指定這些模型 ID,以防止使用這些模型。如需範例,請參閱 在授予存取權之後,防止身分使用模型

選取區段以查看特定使用案例的 IAM 政策範例:

防止身分請求存取具有產品 ID 的模型

若要防止 IAM 實體請求存取具有產品 ID 的特定模型,請將 IAM 政策連接至拒絕 aws-marketplace:Subscribe 動作的使用者,並將 Condition 欄位範圍限定為模型的產品 ID。

例如,您可以將下列政策連接至身分,以防止其訂閱 Anthropic Claude 3.5 Sonnet 模型:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
注意

aws-marketplace:Subscribe 單獨拒絕不會封鎖第一個模型調用,因為 Amazon Bedrock 會在背景自動啟動訂閱。

若要從頭開始封鎖模型存取,請在 Organization (SCP) 或 Account (IAM) 層級的 上套用拒絕政策bedrock:InvokeModel

注意

透過此政策,IAM 實體預設將可存取任何新增的模型。

如果身分已在至少一個區域中訂閱模型,則此政策不會防止在其他區域中存取。反之,您可以查看 在授予存取權之後,防止身分使用模型 中的範例來防止其使用。

在授予存取權之後,防止身分使用模型

如果 IAM 身分已授予模型的存取權,您可以拒絕所有 Amazon Bedrock 動作並將 Resource 欄位範圍限定為基礎模型的 ARN,以防止使用模型。

例如,您可以將下列政策連接至身分,以防止其在所有 AWS 區域中使用該AnthropicClaude 3.5 Sonnet模型:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

使用 SDK 和 CLI 管理模型存取

除了叫用模型之外,還可以使用 SDK 來管理模型存取。下列步驟可用來建立/刪除模型存取,以及檢查存取是否已存在。請注意,這僅適用於第三方模型。

請依照下列步驟,以程式設計方式管理模型存取:

先決條件

步驟 1:列出基礎模型協議提供的

使用此 API 取得特定模型的協議優惠。這將提供 offerToken,用於在後續步驟中建立模型存取。

文件

AWS CLI
aws bedrock list-foundation-model-agreement-offers --model-id <ModelId>
Python
# Placeholder for modelId
model_id = "<enter model id here>" 
# Placeholder for offerId
offer_id = "<enter offer id here>"
try:
    # offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
    model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
    print(model_agreement_offers_response)
except ClientError as e:
    print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")

步驟 2:【僅 Anthropic 模型需要一次性】 第一次使用者使用案例

用於放置 Anthropic 模型所需的第一次使用者使用案例表單。這是取得帳戶中 Anthropic 模型存取權的先決條件。每個帳戶或跨所有商業區域的 AWS 組織只需要此 API 一次,但需要再次填寫此表單的選擇加入區域除外。

文件

AWS CLI
aws bedrock put-use-case-for-model-access \
  --form-data <Base64EncodedFormData>
Python
# Placeholder for form data, replace the names
COMPANY_NAME = "<enter company name here>"
COMPANY_WEBSITE = "<enter company website here>"
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = "<enter industry option here>"
OTHER_INDUSTRY_OPTION = "<enter other industry option here>"
USE_CASES = "<enter use cases here>"
form_data = {
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)

對於 CLI,表單資料為 base64 編碼的 json,格式如下。

{
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}

  • COMPANY_NAME:長度上限為 128 的字串

  • COMPANY_WEBSITE:長度上限為 128 的字串

  • 預期使用者:0、1 或 2。0:內部、1:外部、2:Internal_and_External

  • INDUSTRY_OPTION:長度上限為 128 的字串

  • OTHER_INDUSTRY_OPTION:長度上限為 128 的字串

  • USE_CASES:長度上限為 8192 的字串

步驟 3:建立基礎模型協議

用來為基礎模型建立協議 (存取)。從上方使用優惠字符和 modelId。

文件

AWS CLI
aws bedrock create-foundation-model-agreement \
  --model-id <ModelId> \
  --offer-token <OfferToken>
Python
offer_token= ''

for agreement_offer in model_agreement_offers_response['offers']:
    if  agreement_offer['offerId'] == offer_id:
            
            offer_token = agreement_offer['offerToken']
            print(f"offer token found. Offer token is {offer_token}")
            break


if(not offer_token):
    print(f"Offer token for  modelId: {model_id} is not found")
    
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)

步驟 4:取得基礎模型可用性

用來檢查基礎模型目前是否具有存取權。從上方使用 modelId。

文件

AWS CLI
aws bedrock get-foundation-model-availability \
  --model-id <ModelId>
Python
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
預期的回應

agreementAvailability - AVAILABLE 如果存在存取, NOT_AVAILABLE 是否不存在存取。

{
  "modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
  "agreementAvailability": {
    "status": "AVAILABLE"
  },
  "authorizationStatus": "AUTHORIZED",
  "entitlementAvailability": "AVAILABLE",
  "regionAvailability": "AVAILABLE"
}

【選用】 步驟 5:刪除基礎模型協議

用來刪除基礎模型協議 (存取)。從上方使用 modelId。

注意

刪除模型存取權不足以在未來封鎖存取權,因為調用模型會再次建立存取權。若要確保不會再次建立存取權,請套用模型的限制性拒絕 IAM 政策。

文件

AWS CLI
aws bedrock delete-foundation-model-agreement \
  --model-id <ModelId>
Python
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)

在 AWS GovCloud (美國) 中存取 Amazon Bedrock 基礎模型

AWS GovCloud (US) 帳戶會與標準 AWS 商業帳戶one-to-one連結。此連結的商業帳戶用於計費、服務存取、支援目的和 Amazon Bedrock Model Marketplace 的存取。如需 GovCloud 與商業帳戶之間關係的詳細資訊,請參閱 AWS GovCloud (US) 中的標準帳戶連結

對於第三方模型,除了 AWS GovCloud 帳戶之外,還需要在兩個連結的 AWS 商業帳戶中啟用模型存取。對於 Amazon Bedrock 提供的模型,只需要在 GovCloud 帳戶中啟用模型存取。這是手動程序。

在連結的 AWS 商業帳戶中啟用 AWS GovCloud 的模型存取 (僅適用於第三方模型)

可以使用 2 種方式在 AWS 商業帳戶中啟用模型存取:

  1. us-east-1us-west-2 區域中調用 AWS 商業帳戶所需的模型。

  2. 使用適用於 us-east-1us-west-2 區域中 AWS 商業帳戶的 SDK/CLI,以程式設計方式啟用對模型的存取。這可以透過遵循先前章節中所述的步驟來完成。

啟用 AWS GovCloud 帳戶的模型存取

在 AWS GovCloud (US) 中,您可以使用 us-gov-west-1 區域中 Amazon Bedrock 主控台中的模型存取頁面來啟用基礎模型,如下所述:

  1. 請確定您具有請求模型存取的許可,以請求存取或修改對 Amazon Bedrock 基礎模型的存取。建議將 AmazonBedrockFullAccess 政策連接到正在使用的使用者/角色。

  2. us-gov-west-1https://https://console.aws.amazon.com/bedrock/ 登入 區域中的 Amazon Bedrock 主控台。

  3. 在左側導覽窗格中,於 Bedrock 組態下,選擇模型存取

  4. 模型存取頁面上,選擇修改模型存取

  5. 選取您想要讓帳戶可存取的模型,並取消選取您不希望帳戶可存取的模型。您有下列選項:

    1. 在請求存取模型之前,請務必檢閱最終使用者授權合約 (EULA) 以了解使用模型的條款與條件。

    2. 選取個別模型旁的核取方塊,以勾選或取消勾選。

    3. 選取頂端核取方塊以勾選或取消勾選所有模型。

    4. 選取模型的分組方式,然後選取群組旁的核取方塊,以勾選或取消勾選群組中的所有模型。例如,您可以選擇依提供者分組,然後選取 Cohere 旁的核取方塊,以核取或取消核取所有 Cohere 模型。

  6. 選擇下一步

  7. 如果您新增對 Anthropic 模型的存取權,則必須描述您的使用案例詳細資訊。選擇提交使用案例詳細資訊,接著填寫表單,然後選擇提交表單。系統會根據您填寫供應商表單時的回答,授予或拒絕存取通知。

  8. 檢閱您正在進行的存取變更,然後閱讀條款

  9. 若您同意條款,請選擇提交。變更可能需要幾分鐘的時間才會反映在主控台中。

  10. 如果您的請求成功,存取狀態會變更為授予存取可請求