View a markdown version of this page

Atribución principal de IAM - Amazon Bedrock
FuncionamientoTipos principalesConfiguración de la atribución principal de IAMDimensiones de etiquetadoEtiquetas de acceso federado y de sesiónPatrones de invocaciónVisualización de los costosUso de la atribución principal de IAM con otros métodos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Atribución principal de IAM

Amazon Bedrock captura automáticamente la identidad principal de IAM (usuarios y funciones de IAM) para cada solicitud de inferencia. Si lo desea, puede adjuntar etiquetas a sus directores para obtener dimensiones de costes adicionales, como el equipo, el departamento o el centro de costes. Esto le proporciona visibilidad de los costes por usuario y por función sin cambios de código ni recursos adicionales.

La atribución principal de IAM funciona actualmente con las API de Amazon Bedrock (bedrock-runtimeAPI, InvokeModel API de Converse y API de finalización de chat). El soporte para bedrock-mantle las API estará disponible próximamente.

Funcionamiento

Cuando un usuario o rol de IAM realiza una solicitud de inferencia, Amazon Bedrock registra la identidad de la persona que llama. Esta información se transfiere a AWS Cost Explorer y a AWS Cost and Usage Reports (CUR 2.0), donde puede filtrar y agrupar los costos por identidad. No es necesario realizar cambios en las llamadas a la API de Amazon Bedrock. La atribución se basa en quién realizó la llamada, no en los parámetros de la API.

Si lo desea, puede adjuntar etiquetas a sus directores de IAM para añadir dimensiones organizativas (equipo, departamento, centro de costes) a sus datos de facturación. Las etiquetas no son necesarias para la atribución a nivel de identidad. Siempre se captura la identidad de la persona que llama.

Tipos principales

Amazon Bedrock captura la identidad de cualquier tipo principal de IAM. Los dos más comunes son los usuarios de IAM y los roles de IAM.

Los usuarios de IAM llaman directamente a Amazon Bedrock mediante claves de acceso de larga duración. El nombre de usuario de IAM y cualquier etiqueta adjunta al usuario se registran en la facturación. AWS

Los usuarios, las aplicaciones o las identidades federadas asumen las funciones de IAM mediante. AWS STS Cuando un director llamasts:AssumeRole, las credenciales temporales resultantes contienen la identidad del rol. Las etiquetas pueden provenir de dos fuentes:

  • Etiquetas principales: etiquetas adjuntas directamente a la función de IAM. Son estáticas y se aplican a todas las sesiones.

  • Etiquetas de sesión: etiquetas que se transmiten al momento de asumir el rol mediante AWS STS. Son dinámicas y pueden variar según la sesión, lo que las hace útiles para transferir atributos específicos del usuario, como el correo electrónico, el equipo o el centro de costes, a través de un rol compartido.

importante

Si una etiqueta de sesión y una etiqueta principal comparten la misma clave, el valor de la etiqueta de sesión anula el valor de la etiqueta principal de esa sesión. Para obtener más información, consulte Transferir etiquetas de sesión. AWS STS

La mayoría de las organizaciones utilizan roles en lugar de usuarios de IAM para acceder a Amazon Bedrock. Si varios usuarios comparten el mismo rol, las etiquetas de sesión son la forma de distinguirlos en la facturación.

Configuración de la atribución principal de IAM

Identity-level la atribución (el ARN del rol o usuario de IAM de la persona que llama) se captura automáticamente para cada solicitud de Amazon Bedrock. Para añadir dimensiones organizativas como el equipo o el centro de costes a sus datos de facturación, siga estos pasos para etiquetar a sus directores y activar las etiquetas en Billing. AWS

Paso 1: Aplica etiquetas a tus directores de IAM (opcional)

Las etiquetas fluyen a sus datos de facturación de dos maneras:

Las etiquetas principales se adjuntan directamente a los usuarios o roles de IAM. Configúralas una vez y se aplicarán a todas las solicitudes de ese director. Esto es ideal para etiquetar desarrolladores individuales (usuarios de IAM) o aplicaciones (funciones de IAM). Puede aplicar etiquetas principales mediante la consola de IAM, la AWS CLI (aws iam tag-role,aws iam tag-user) o la API de IAM (TagRole,TagUser).

Para obtener más información sobre el etiquetado de IAM y las prácticas recomendadas, consulte Etiquetas para los recursos de IAM.

Las etiquetas de sesión se transfieren de forma dinámica cuando se asume una función de IAM mediante. AWS STS Son ideales para los usuarios federados (que se autentican a través de un proveedor de identidad como Okta, Auth0 o Entra) y para las pasarelas LLM que envían por proxy las solicitudes en nombre de varios usuarios o inquilinos. Las etiquetas de sesión se pueden transferir de tres maneras:

  • AssumeRole— Pase --tags al llamar sts:AssumeRole (por ejemplo, una puerta de enlace LLM que asume un rol de Amazon Bedrock por usuario o inquilino).

  • AssumeRoleWithWebIdentity (OIDC): inserta etiquetas en la https://aws.amazon.com/tags declaración en el token de identificación emitido por tu proveedor de identidad.

  • AssumeRoleWithSAML— Mapea PrincipalTag:* los atributos en la afirmación SAML de tu IdP.

La política de confianza del rol de IAM debe permitir que las etiquetas sts:TagSession de sesión fluyan. Para obtener más información, consulte Transferir etiquetas de sesión. AWS STS

Tanto las etiquetas principales como las etiquetas de sesión aparecen en CUR 2.0 con el iamPrincipal/ prefijo.

Paso 2: activar las etiquetas de asignación de costos

Para que sus etiquetas principales de IAM aparezcan en AWS Cost Explorer y CUR 2.0, debe activarlas como etiquetas de asignación de costes:

  1. Abra la consola AWS de Billing and Cost Management.

  2. En el panel de navegación, seleccione Cost Allocation Tags (Etiquetas de asignación de costos).

  3. Filtre por tipo de principal de IAM para encontrar las etiquetas que ha aplicado a sus principales.

  4. Seleccione las etiquetas y elija Activar.

nota

Las etiquetas solo aparecen en la AWS facturación después de que el director de IAM realice al menos una llamada a la API de Amazon Bedrock. Las etiquetas de asignación de costos no son retroactivas, solo se etiquetan los costos incurridos después de la activación. Las etiquetas pueden tardar hasta 24 horas en aparecer después de la activación.

Paso 3: Cree una exportación de datos CUR 2.0 con IAM-level datos

Para ver los desgloses de costos a nivel de identidad, cree una exportación de datos de CUR 2.0 que incluya la identidad de la persona que llama:

  1. Abra la consola AWS de Billing and Cost Management.

  2. En el panel de navegación, elija Exportación de datos.

  3. Seleccione Crear para crear una nueva exportación a CUR 2.0.

  4. Configure la exportación y asegúrese de seleccionar la opción para incluir el ARN de identidad de la persona que llama.

importante

Si creó una exportación de datos CUR 2.0 antes de habilitar la atribución principal de IAM, debe crear una nueva exportación y seleccionar la opción de identidad de la persona que llama. Las exportaciones existentes no incluyen datos de identidad de forma retroactiva. También debe asegurarse de que las etiquetas de asignación de costes estén activadas (paso 2) para que las etiquetas aparezcan en la exportación.

Para obtener más información, consulte Creación de informes en la Guía del usuario de informes de AWS costos y uso.

Dimensiones de etiquetado

Puede utilizar cualquier clave de etiqueta que represente su estructura organizativa. Las dimensiones más comunes incluyen:

Clave de etiqueta Finalidad Valores de ejemplo
User Identidad individual jane@example.com, bob@example.com
Team Ownership PlatformEngineering, DataScience
Department Unidad organizativa Ingeniería, investigación, marketing
CostCenter Cartografía financiera CC-1001, CC-2002
Environment Fase del ciclo de vida Producción, desarrollo

Puede aplicar hasta 50 etiquetas principales o de sesión por usuario o rol de IAM.

Etiquetas de acceso federado y de sesión

En el caso de las organizaciones que utilizan proveedores de identidad federados (AWS IAM Identity Center, Okta, Entra, Ping), las etiquetas de sesión le permiten pasar los atributos de usuario de su IdP a. AWS Cuando un usuario federado asume un rol AWS STS, el IdP puede pasar atributos como el correo electrónico del usuario, el equipo y el centro de costos como etiquetas de sesión. Estas etiquetas se capturan junto con la solicitud de Amazon Bedrock y pasan a AWS CUR 2.0 y AWS Cost Explorer.

Para configurarlo:

  1. Configure su IdP para incluir los atributos del usuario (correo electrónico, equipo, centro de costes) como atributos de SAML o afirmaciones de OIDC.

  2. Asigne esos atributos a las etiquetas de AWS sesión de la política de confianza de su función de IAM utilizando. sts:TagSession

  3. Después de la activación, las etiquetas de sesión estarán disponibles como etiquetas de asignación de costes en AWS Billing.

Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS.

Patrones de invocación

La atribución principal de IAM funciona independientemente de cómo su aplicación llame a Amazon Bedrock:

Patrón Cómo fluye la identidad
Llamada directa a la API La identidad del usuario o rol de IAM se captura automáticamente
API Gateway Se captura la identidad del rol que invoca a Amazon Bedrock
LLM Gateway (LitellM, personalizado) Se captura la identidad de la función de ejecución de la puerta de enlace. Transfiera las etiquetas de sesión desde la puerta de enlace para conservar la atribución a nivel de usuario.
Identidad federada (Okta, Entra) Las etiquetas de sesión del IdP se capturan durante la asunción del rol

Si utilizas una puerta de enlace LLM o una puerta de enlace API y no ves la identidad a nivel de usuario en la AWS facturación, confirma que la puerta de enlace pasa etiquetas de sesión con cada solicitud.

Visualización de los costos

Tras activar las etiquetas de asignación de costes, puede analizar los costes de Amazon Bedrock por capital en las siguientes herramientas:

  • AWS Cost Explorer: filtre por etiquetas principales para ver las tendencias de costos por usuario, equipo o departamento. Agrupe por etiqueta para comparar los costos en todas las dimensiones.

  • AWS Informes de costo y uso (CUR 2.0): consulte los datos de CUR para obtener un desglose de los costos de las partidas por etiqueta principal.

Los datos de costos pueden tardar hasta 24 horas en aparecer en AWS Cost Explorer y CUR 2.0 después de realizar una solicitud.

Uso de la atribución principal de IAM con otros métodos

La atribución principal de IAM se puede utilizar junto con los perfiles de inferencia de proyectos y aplicaciones. Esto le proporciona una visibilidad multidimensional de los costes.

Recomendamos usar Projects para la atribución a nivel de aplicación y la atribución principal de IAM para la atribución a nivel de usuario dentro de la misma cuenta.

Método Atributos por API de compatibles bedrock-runtime bedrock-mantle
Atribución principal de IAM Identidad (usuario, función, equipo) InvokeModel API, API de Converse, API de finalización de chat Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial.
Proyectos (recomendados) Aplicación o carga de trabajo API de respuestas/API de finalización de chats
Perfiles de inferencia de aplicaciones Aplicación o carga de trabajo InvokeModel API, API de Converse, API de finalización de chat