Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Hauptzuweisung
Amazon Bedrock erfasst automatisch die [IAM-Prinzidentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) ([IAM-Benutzer und IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)[) für jede](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) Inferenzanfrage. Sie können Ihren Principals optional Tags für zusätzliche Kostendimensionen wie Team, Abteilung oder Kostenstelle hinzufügen. Auf diese Weise erhalten Sie einen Überblick über die Kosten pro Benutzer und pro Rolle, ohne dass Codeänderungen oder zusätzliche Ressourcen erforderlich sind.
Die IAM-Hauptzuweisung funktioniert derzeit mit Amazon `bedrock-runtime` Bedrock-APIs ([InvokeModel API/ Converse API/](inference-api.md) [[Chat](inference-chat-completions.md) Completions API](conversation-inference.md)). Support für `bedrock-mantle` APIs ist in Kürze verfügbar.
## Funktionsweise
Wenn ein IAM-Benutzer oder eine IAM-Rolle eine Inferenzanfrage stellt, zeichnet Amazon Bedrock die Identität des Anrufers auf. Diese Informationen fließen in AWS Cost Explorer und AWS Cost and Usage Reports (CUR 2.0) ein, wo Sie die Kosten nach Identität filtern und gruppieren können. Es sind keine Änderungen an Ihren Amazon Bedrock API-Aufrufen erforderlich. Die Zuordnung basiert darauf, wer den Aufruf getätigt hat, nicht auf API-Parametern.
Optional können Sie Ihren IAM-Prinzipalen Tags hinzufügen, um Ihren Abrechnungsdaten organisatorische Dimensionen (Team, Abteilung, Kostenstelle) hinzuzufügen. Für die Zuordnung auf Identitätsebene sind keine Tags erforderlich. Die Identität des Anrufers wird immer erfasst.
## Die wichtigsten Typen
Amazon Bedrock erfasst Identität von jedem IAM-Prinzipaltyp. Die beiden häufigsten sind IAM-Benutzer und IAM-Rollen.
**IAM-Benutzer** rufen Amazon Bedrock direkt mit langlebigen Zugriffsschlüsseln auf. Der IAM-Benutzername und alle dem Benutzer zugewiesenen Tags werden in der Abrechnung aufgezeichnet. AWS
**IAM-Rollen** werden von Benutzern, Anwendungen oder föderierten Identitäten über übernommen. AWS STS Wenn ein Principal anruft`sts:AssumeRole`, enthalten die daraus resultierenden temporären Anmeldeinformationen die Identität der Rolle. Tags können aus zwei Quellen stammen:
+ **Haupt-Tags** — Tags, die direkt an die IAM-Rolle angehängt sind. Diese sind statisch und gelten für jede Sitzung.
+ **Sitzungs-Tags** — Tags, die zum Zeitpunkt der Rollenübernahme über übergeben wurden AWS STS. Diese sind dynamisch und können je nach Sitzung variieren. Sie sind daher nützlich, um benutzerspezifische Attribute wie E-Mail, Team oder Kostenstelle an eine gemeinsame Rolle weiterzugeben.
**Wichtig**
Wenn ein Sitzungs-Tag und ein Haupt-Tag denselben Schlüssel verwenden, hat der Sitzungs-Tag-Wert Vorrang vor dem Haupt-Tag-Wert für diese Sitzung. Weitere Informationen finden Sie unter [Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). AWS STS
Die meisten Organisationen verwenden Rollen anstelle von IAM-Benutzern für den Zugriff auf Amazon Bedrock. Wenn sich mehrere Benutzer dieselbe Rolle teilen, unterscheiden Sie sie anhand von Sitzungs-Tags bei der Abrechnung.
## Einrichtung der IAM-Prinzipalzuweisung
Identity-level Die Zuordnung (der IAM-Benutzer- oder Rollen-ARN des Anrufers) wird automatisch für jede Amazon Bedrock-Anfrage erfasst. Um Ihren Abrechnungsdaten organisatorische Dimensionen wie Team oder Kostenstelle hinzuzufügen, gehen Sie wie folgt vor, um Ihre Principals zu taggen und die Tags in Billing zu aktivieren. AWS
### Schritt 1: Wenden Sie Tags auf Ihre IAM-Prinzipale an (optional)
Tags fließen auf zwei Arten in Ihre Rechnungsdaten ein:
**Prinzipal-Tags** werden direkt an IAM-Benutzer oder -Rollen angehängt. Wenn Sie sie einmal festlegen, gelten sie für jede Anfrage dieses Prinzipals. Dies ist ideal, um einzelne Entwickler (IAM-Benutzer) oder Anwendungen (IAM-Rollen) zu taggen. Sie können Prinzipal-Tags mithilfe der IAM-Konsole, der AWS CLI (`aws iam tag-role`,`aws iam tag-user`) oder der IAM-API (`TagRole`,`TagUser`) anwenden.
Weitere Informationen über IAM-Tagging und bewährte Methoden finden Sie unter [Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) für IAM-Ressourcen.
**Sitzungs-Tags** werden dynamisch übergeben, wenn Sie eine IAM-Rolle über übernehmen. AWS STS Sie eignen sich ideal für Verbundbenutzer (Authentifizierung über einen Identitätsanbieter wie Okta, Auth0 oder Entra) und LLM-Gateways, die Anfragen im Namen mehrerer Benutzer oder Mandanten weiterleiten. Sitzungs-Tags können auf drei Arten übergeben werden:
+ **AssumeRole**— `--tags` Beim Anrufen übergeben `sts:AssumeRole` (z. B. ein LLM-Gateway, das pro Benutzer oder Mandant eine Amazon Bedrock-Rolle übernimmt).
+ **AssumeRoleWithWebIdentity (OIDC)** — Betten Sie Tags in den `https://aws.amazon.com/tags` Antrag in das von Ihrem Identitätsanbieter ausgestellte ID-Token ein.
+ **AssumeRoleWithSAML**— Ordnen Sie `PrincipalTag:*` Attribute der SAML-Assertion Ihres IdP zu.
Die Vertrauensrichtlinie der IAM-Rolle muss den Durchfluss von Sitzungs-Tags ermöglichen`sts:TagSession`. Weitere Informationen finden Sie unter [Sitzungs-Tags weitergeben in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Sowohl Principal- als auch Sitzungs-Tags werden in CUR 2.0 mit dem `iamPrincipal/` Präfix angezeigt.
### Schritt 2: Aktivieren der Kostenzuordnungs-Tags
Damit Ihre IAM-Prinzipal-Tags in AWS Cost Explorer und CUR 2.0 angezeigt werden, müssen Sie sie als Kostenzuordnungs-Tags aktivieren:
1. Öffnen Sie die AWS Billing and Cost Management-Konsole.
1. Wählen Sie im Navigationsbereich die Option **Cost Allocation Tags** (Kostenzuordnungs-Tags) aus.
1. Filtern Sie nach dem Typ **IAM-Principal**, um die Tags zu finden, die Sie Ihren Principals zugewiesen haben.
1. **Wählen Sie die Tags aus und klicken Sie auf Aktivieren.**
**Anmerkung**
Tags werden in AWS Billing erst angezeigt, nachdem der IAM-Principal mindestens einen Amazon Bedrock-API-Aufruf getätigt hat. Tags zur Kostenzuweisung gelten nicht rückwirkend — nur Kosten, die nach der Aktivierung entstanden sind, werden gekennzeichnet. Es kann bis zu 24 Stunden dauern, bis Tags nach der Aktivierung angezeigt werden.
### Schritt 3: Erstellen Sie einen CUR 2.0-Datenexport mit IAM-level Daten
Um Kostenaufschlüsselungen auf Identitätsebene zu sehen, erstellen Sie einen CUR 2.0-Datenexport, der die Identität des Anrufers enthält:
1. Öffnen Sie die AWS Billing and Cost Management-Konsole.
1. Wählen Sie im Navigationsbereich **Datenexporte** aus.
1. Wählen Sie **Erstellen**, um einen neuen CUR 2.0-Export zu erstellen.
1. Konfigurieren Sie den Export und stellen Sie sicher, dass Sie die Option zum Einschließen des ARN für die Anruferidentität auswählen.
**Wichtig**
Wenn Sie vor der Aktivierung der IAM-Prinzipalzuweisung einen CUR 2.0-Datenexport erstellt haben, müssen Sie einen neuen Export erstellen und die Option Anruferidentität auswählen. Bestehende Exporte enthalten keine Identitätsdaten rückwirkend. Sie müssen außerdem sicherstellen, dass Ihre Kostenzuordnungs-Tags aktiviert sind (Schritt 2), damit Tags im Export angezeigt werden.
Weitere Informationen finden Sie unter [Berichte erstellen](https://docs.aws.amazon.com/cur/latest/userguide/cur-create.html) im Benutzerhandbuch AWS für Kosten- und Nutzungsberichte.
## Dimensionen kennzeichnen
Sie können jeden Tag-Schlüssel verwenden, der Ihre Organisationsstruktur repräsentiert. Zu den gängigen Dimensionen gehören:
| Tag-Schlüssel | Zweck | Beispielwerte |
| --- | --- | --- |
| User | Individuelle Identität | jane@example.com, bob@example.com |
| Team | Ownership | PlatformEngineering, DataScience |
| Department | Organisatorische Einheit | Technik, Forschung, Marketing |
| CostCenter | Kartierung der Finanzen | CC-1001, CC-2002 |
| Environment | Phase des Lebenszyklus | Produktion, Entwicklung |
Sie können bis zu 50 Principal- oder Session-Tags pro IAM-Benutzer oder Rolle anwenden.
## Verbundzugriffs- und Sitzungs-Tags
Für Organisationen, die Federated Identity Provider (AWS IAM Identity Center, Okta, Entra, Ping) verwenden, können Sie mit Sitzungs-Tags Benutzerattribute von Ihrem IdP an diese weitergeben. AWS Wenn ein Verbundbenutzer eine Rolle übernimmt AWS STS, kann der IdP Attribute wie Benutzer-E-Mail, Team und Kostenstelle als Sitzungs-Tags übergeben. Diese Tags werden zusammen mit der Amazon Bedrock-Anfrage erfasst und an AWS CUR 2.0 und AWS Cost Explorer weitergeleitet.
So funktioniert die Einrichtung:
1. Konfigurieren Sie Ihren IdP so, dass er Benutzerattribute (E-Mail, Team, Kostenstelle) als SAML-Attribute oder OIDC-Ansprüche enthält.
1. Ordnen Sie diese Attribute den AWS Sitzungs-Tags in der Vertrauensrichtlinie Ihrer IAM-Rolle zu, indem Sie `sts:TagSession`
1. Die Sitzungs-Tags sind dann nach der Aktivierung als Kostenzuweisungs-Tags in der AWS Abrechnung verfügbar.
Weitere Informationen finden Sie unter [Übergeben von Sitzungs-Tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
## Aufrufmuster
Die IAM-Prinzipalzuweisung funktioniert unabhängig davon, wie Ihre Anwendung Amazon Bedrock aufruft:
| Muster | Wie Identität fließt |
| --- | --- |
| Direkter API-Aufruf | Automatisch erfasste IAM-Benutzer- oder Rollenidentität |
| API Gateway | Die Identität der Rolle, die Amazon Bedrock aufruft, wird erfasst |
| LLM-Gateway (liteLLM, benutzerdefiniert) | Die Identität der Ausführungsrolle des Gateways wird erfasst. Übergeben Sie Sitzungs-Tags vom Gateway, um die Zuordnung auf Benutzerebene beizubehalten. |
| Föderierte Identität (Okta, Entra) | Sitzungs-Tags vom IdP werden bei der Rollenübernahme erfasst |
Wenn Sie ein LLM-Gateway oder API-Gateway verwenden und in der AWS Abrechnung keine Identität auf Benutzerebene angezeigt wird, vergewissern Sie sich, dass das Gateway bei jeder Anfrage Sitzungs-Tags weitergibt.
## Kosten anzeigen
Nachdem Sie Ihre Kostenzuweisungs-Tags aktiviert haben, können Sie die Amazon Bedrock-Kosten mit den folgenden Tools nach Auftraggeber analysieren:
+ **AWS Cost Explorer** — Filtern Sie nach den wichtigsten Stichwörtern, um Kostentrends nach Benutzer, Team oder Abteilung anzuzeigen. Gruppieren Sie nach Tag, um die Kosten verschiedener Dimensionen zu vergleichen.
+ **AWS Kosten- und Nutzungsberichte (CUR 2.0)** — Abfragen von CUR-Daten zur Aufschlüsselung der Einzelkosten nach Haupttag.
Es kann bis zu 24 Stunden dauern, bis AWS Kostendaten in Cost Explorer und CUR 2.0 angezeigt werden, nachdem eine Anfrage gestellt wurde.
## Verwendung der IAM-Prinzipalzuweisung mit anderen Methoden
Die IAM-Prinzipalzuweisung kann zusammen mit Projekten und Anwendungs-Inferenzprofilen verwendet werden. Auf diese Weise erhalten Sie eine mehrdimensionale Kostentransparenz.
Wir empfehlen die Verwendung von Projekten für die Zuordnung auf Anwendungsebene und die IAM-Hauptzuweisung für die Zuordnung auf Benutzerebene innerhalb desselben Kontos.
| Methode | Attribute von | Unterstützte APIs | `bedrock-runtime` | `bedrock-mantle` |
| --- | --- | --- | --- | --- |
| IAM-Hauptzuweisung | Identität (Benutzer, Rolle, Team) | [InvokeModel API](inference-api.md)//[Converse API//API](conversation-inference.md) zum Abschließen von [Chats](inference-chat-completions.md) |  |  |
| Projekte (empfohlen) | Bewerbung oder Arbeitsaufwand | [API für Antworten/API](bedrock-mantle.md) für [Chat-Abschlüsse](bedrock-mantle.md) |  |  |
| Anwendungsinferenzprofile | Anwendung oder Arbeitslast | [InvokeModel API](inference-api.md)//[Converse API//API](conversation-inference.md) für [Chat-Abschlüsse](inference-chat-completions.md) |  |  |