View a markdown version of this page

Attribution principale de l'IAM - Amazon Bedrock
Comment ça marchePrincipaux typesConfiguration de l'attribution principale IAMDimensions de marquageAccès fédéré et balises de sessionModèles d'invocationCoûts de visionnageUtilisation de l'attribution principale IAM avec d'autres méthodes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attribution principale de l'IAM

Amazon Bedrock capture automatiquement l'identité principale IAM (utilisateurs IAM et rôles IAM) pour chaque demande d'inférence. Vous pouvez éventuellement attacher des balises à vos principaux pour des dimensions de coûts supplémentaires telles que l'équipe, le département ou le centre de coûts. Cela vous donne une visibilité des coûts par utilisateur et par rôle sans modification du code ni ressources supplémentaires.

L'attribution principale IAM fonctionne actuellement avec les API Amazon Bedrock (bedrock-runtimeInvokeModel API/API Converse/API Chat Completions). Support pour bedrock-mantle les API bientôt disponible.

Comment ça marche

Lorsqu'un utilisateur ou un rôle IAM fait une demande d'inférence, Amazon Bedrock enregistre l'identité de l'appelant. Ces informations sont transmises à AWS Cost Explorer et à AWS Cost and Usage Reports (CUR 2.0), dans lesquels vous pouvez filtrer et regrouper les coûts par identité. Aucune modification de vos appels d'API Amazon Bedrock n'est requise. L'attribution est basée sur l'auteur de l'appel, et non sur les paramètres de l'API.

Vous pouvez éventuellement associer des balises à vos principaux IAM pour ajouter des dimensions organisationnelles (équipe, département, centre de coûts) à vos données de facturation. Les balises ne sont pas requises pour l'attribution au niveau de l'identité. L'identité de l'appelant est toujours enregistrée.

Principaux types

Amazon Bedrock capture l'identité de n'importe quel type principal IAM. Les deux plus courants sont les utilisateurs IAM et les rôles IAM.

Les utilisateurs d'IAM appellent Amazon Bedrock directement à l'aide de clés d'accès de longue durée. Le nom d'utilisateur IAM et toutes les balises associées à l'utilisateur sont enregistrés dans AWS Billing.

Les rôles IAM sont assumés par les utilisateurs, les applications ou les identités fédérées via. AWS STS Lorsqu'un principal appellests:AssumeRole, les informations d'identification temporaires qui en résultent portent l'identité du rôle. Les tags peuvent provenir de deux sources :

  • Balises principales : balises associées directement au rôle IAM. Ils sont statiques et s'appliquent à chaque session.

  • Balises de session : balises transmises au moment de l'attribution du rôle via AWS STS. Ils sont dynamiques et peuvent varier d'une session à l'autre, ce qui les rend utiles pour transmettre des attributs spécifiques à l'utilisateur tels que le courrier électronique, l'équipe ou le centre de coûts via un rôle partagé.

Important

Si un tag de session et un tag principal partagent la même clé, la valeur du tag de session remplace la valeur du tag principal pour cette session. Pour plus d'informations, consultez la section Transmettre les balises de session dans AWS STS.

La plupart des organisations utilisent des rôles plutôt que des utilisateurs IAM pour accéder à Amazon Bedrock. Si plusieurs utilisateurs partagent le même rôle, les balises de session vous permettent de les distinguer lors de la facturation.

Configuration de l'attribution principale IAM

Identity-level l'attribution (l'utilisateur IAM ou l'ARN du rôle de l'appelant) est capturée automatiquement pour chaque demande Amazon Bedrock. Pour ajouter des dimensions organisationnelles telles que l'équipe ou le centre de coûts à vos données de facturation, suivez ces étapes pour étiqueter vos principaux et activer les balises dans AWS Facturation.

Étape 1 : appliquer des balises à vos principaux IAM (facultatif)

Les tags sont acheminés vers vos données de facturation de deux manières :

Les balises principales sont associées directement aux utilisateurs ou aux rôles IAM. Ne les définissez qu'une seule fois et elles s'appliquent à toutes les demandes de ce principal. C'est idéal pour étiqueter des développeurs individuels (utilisateurs IAM) ou des applications (rôles IAM). Vous pouvez appliquer les balises principales à l'aide de la console IAM, de la AWS CLI (aws iam tag-role,aws iam tag-user) ou de l'API IAM (TagRole,TagUser).

Pour en savoir plus sur le balisage IAM et les meilleures pratiques, consultez la section Balises pour les ressources IAM.

Les balises de session sont transmises dynamiquement lorsque vous assumez un rôle IAM via AWS STS. Elles sont idéales pour les utilisateurs fédérés (s'authentifiant via un fournisseur d'identité tel qu'Okta, Auth0 ou Entra) et pour les passerelles LLM qui transmettent des demandes par proxy au nom de plusieurs utilisateurs ou locataires. Les balises de session peuvent être transmises de trois manières :

  • AssumeRole— Passez --tags lors de l'appel sts:AssumeRole (par exemple, une passerelle LLM assumant un rôle Amazon Bedrock par utilisateur ou locataire).

  • AssumeRoleWithWebIdentity (OIDC) — Intégrez des tags dans la https://aws.amazon.com/tags réclamation dans le jeton d'identification émis par votre fournisseur d'identité.

  • AssumeRoleWithSAML— Mappez PrincipalTag:* les attributs dans l'assertion SAML de votre IdP.

La politique de confiance du rôle IAM doit autoriser sts:TagSession le passage des balises de session. Pour en savoir plus, consultez la section Passer les tags de session dans AWS STS.

Les balises principales et les balises de session apparaissent dans CUR 2.0 avec le iamPrincipal/ préfixe.

Étape 2 : activer les balises de répartition des coûts

Pour que vos balises principales IAM apparaissent dans AWS Cost Explorer et CUR 2.0, vous devez les activer en tant que balises de répartition des coûts :

  1. Ouvrez la console AWS Billing and Cost Management.

  2. Dans le volet de navigation, choisissez Cost allocation tags (Balises de répartition des coûts).

  3. Filtrez par type IAM principal pour trouver les tags que vous avez appliqués à vos principaux.

  4. Sélectionnez les balises, puis sélectionnez Activer.

Note

Les balises n'apparaissent dans la AWS facturation qu'une fois que le principal IAM a effectué au moins un appel à l'API Amazon Bedrock. Les étiquettes de répartition des coûts ne sont pas rétroactives : seuls les coûts engagés après l'activation sont étiquetés. Les tags peuvent mettre jusqu'à 24 heures à apparaître après leur activation.

Étape 3 : Création d'une exportation de données CUR 2.0 avec IAM-level des données

Pour voir la ventilation des coûts par identité, créez une exportation de données CUR 2.0 qui inclut l'identité de l'appelant :

  1. Ouvrez la console AWS Billing and Cost Management.

  2. Dans le volet de navigation, sélectionnez Data Exports.

  3. Choisissez Create pour créer une nouvelle exportation CUR 2.0.

  4. Configurez l'exportation et assurez-vous de sélectionner l'option permettant d'inclure l'ARN de l'identité de l'appelant.

Important

Si vous avez créé une exportation de données CUR 2.0 avant d'activer l'attribution principale IAM, vous devez créer une nouvelle exportation et sélectionner l'option d'identité de l'appelant. Les exportations existantes n'incluent pas rétroactivement les données d'identité. Vous devez également vous assurer que vos balises de répartition des coûts sont activées (étape 2) pour que les balises apparaissent dans l'exportation.

Pour plus d'informations, consultez la section Création de rapports dans le Guide de l'utilisateur des rapports sur les AWS coûts et l'utilisation.

Dimensions de marquage

Vous pouvez utiliser n'importe quelle clé de balise représentant la structure de votre organisation. Les dimensions communes incluent :

Clé de balise Objectif Exemples de valeur
User Identité individuelle jane@example.com, bob@example.com
Team Ownership PlatformEngineering, DataScience
Department Unité organisationnelle Ingénierie, recherche, marketing
CostCenter Cartographie financière CC-1001, CC-2002
Environment Étape du cycle de vie Production, développement

Vous pouvez appliquer jusqu'à 50 balises principales ou de session par utilisateur ou rôle IAM.

Accès fédéré et balises de session

Pour les organisations utilisant des fournisseurs d'identité fédérés (AWS IAM Identity Center, Okta, Entra, Ping), les balises de session vous permettent de transmettre les attributs utilisateur de votre IdP à. AWS Lorsqu'un utilisateur fédéré assume un rôle AWS STS, l'IdP peut transmettre des attributs tels que l'adresse e-mail de l'utilisateur, l'équipe et le centre de coûts sous forme de balises de session. Ces balises sont capturées en même temps que la demande Amazon Bedrock et sont transmises à AWS CUR 2.0 et AWS Cost Explorer.

Pour configurer cela :

  1. Configurez votre IdP pour inclure les attributs utilisateur (e-mail, équipe, centre de coûts) sous forme d'attributs SAML ou de demandes OIDC.

  2. Associez ces attributs aux balises de AWS session de la politique de confiance de votre rôle IAM à l'aide sts:TagSession de.

  3. Les balises de session sont ensuite disponibles sous forme de balises de répartition des coûts dans AWS la facturation après activation.

Pour plus d’informations, consultez Transmission des balises de session dans AWS STS.

Modèles d'invocation

L'attribution principale IAM fonctionne quelle que soit la façon dont votre application appelle Amazon Bedrock :

Modèle Comment les identités circulent
Appel API direct Identité d'utilisateur ou de rôle IAM capturée automatiquement
API Gateway L'identité du rôle invoquant Amazon Bedrock est capturée
Passerelle LLM (LitellM, personnalisée) L'identité du rôle d'exécution de la passerelle est capturée. Transmettez les balises de session depuis la passerelle pour préserver l'attribution au niveau de l'utilisateur.
Identité fédérée (Okta, Entra) Les balises de session de l'IdP sont capturées lors de l'attribution du rôle

Si vous utilisez une passerelle LLM ou une passerelle API et que vous ne voyez pas d'identité au niveau de l'utilisateur dans AWS Billing, vérifiez que la passerelle transmet des balises de session à chaque demande.

Coûts de visionnage

Après avoir activé vos balises de répartition des coûts, vous pouvez analyser les coûts d'Amazon Bedrock par principal à l'aide des outils suivants :

  • AWS Cost Explorer : filtrez par balises principales pour afficher les tendances des coûts par utilisateur, équipe ou service. Regroupez par étiquette pour comparer les coûts entre les dimensions.

  • AWS Rapports sur les coûts et l'utilisation (CUR 2.0) : interrogez les données CUR pour obtenir la ventilation des coûts par article par balise principale.

Les données de coûts peuvent prendre jusqu'à 24 heures pour apparaître dans AWS Cost Explorer et CUR 2.0 après l'envoi d'une demande.

Utilisation de l'attribution principale IAM avec d'autres méthodes

L'attribution principale IAM peut être utilisée conjointement avec les profils d'inférence de projets et d'applications. Cela vous donne une visibilité multidimensionnelle des coûts.

Nous recommandons d'utiliser Projects pour l'attribution au niveau de l'application et l'attribution principale IAM pour l'attribution au niveau utilisateur au sein du même compte.

Method Attributs par API prises en charge bedrock-runtime bedrock-mantle
Attribution principale de l'IAM Identité (utilisateur, rôle, équipe) InvokeModel API/API Converse/API de complétion de chat Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial.
Projets (recommandés) Application ou charge de travail API de réponses/API de fin de chat
Profils d’inférence d’applications Application ou charge de travail InvokeModel API/API Converse/API de complétion de chat