View a markdown version of this page

Atribusi utama IAM - Amazon Bedrock
Cara kerjanyaJenis utamaMenyiapkan atribusi utama IAMDimensi penandaanAkses federasi dan tag sesiPola doaBiaya melihatMenggunakan atribusi utama IAM dengan metode lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Atribusi utama IAM

Amazon Bedrock secara otomatis menangkap identitas utama IAM (pengguna IAM dan peran IAM) untuk setiap permintaan inferensi. Anda dapat secara opsional melampirkan tag ke kepala sekolah Anda untuk dimensi biaya tambahan seperti tim, departemen, atau pusat biaya. Ini memberi Anda visibilitas biaya per pengguna dan per peran tanpa perubahan kode atau sumber daya tambahan.

Atribusi utama IAM saat ini berfungsi dengan Amazon Bedrock bedrock-runtime API (API/Converse InvokeModel API/Chat Completions API). Support for bedrock-mantle API akan segera hadir.

Cara kerjanya

Saat pengguna atau peran IAM membuat permintaan inferensi, Amazon Bedrock mencatat identitas pemanggil. Informasi ini mengalir ke AWS Cost Explorer dan AWS Cost and Usage Reports (CUR 2.0), di mana Anda dapat memfilter dan mengelompokkan biaya berdasarkan identitas. Tidak diperlukan perubahan pada panggilan Amazon Bedrock API. Atribusi didasarkan pada siapa yang melakukan panggilan, bukan pada parameter API.

Secara opsional, Anda dapat melampirkan tag ke kepala IAM Anda untuk menambahkan dimensi organisasi (tim, departemen, pusat biaya) ke data penagihan Anda. Tag tidak diperlukan untuk atribusi tingkat identitas. Identitas penelepon selalu ditangkap.

Jenis utama

Amazon Bedrock menangkap identitas dari tipe utama IAM apa pun. Dua yang paling umum adalah pengguna IAM dan peran IAM.

Pengguna IAM memanggil Amazon Bedrock secara langsung menggunakan kunci akses berumur panjang. Nama pengguna IAM dan tag apa pun yang dilampirkan ke pengguna dicatat dalam AWS Penagihan.

Peran IAM diasumsikan oleh pengguna, aplikasi, atau identitas federasi melalui. AWS STS Ketika kepala sekolah memanggilsts:AssumeRole, kredensil sementara yang dihasilkan membawa identitas peran. Tag dapat berasal dari dua sumber:

  • Tag utama — Tag yang dilampirkan langsung ke peran IAM. Ini statis dan berlaku untuk setiap sesi.

  • Tag sesi — Tag diteruskan pada saat asumsi peran melalui AWS STS. Ini dinamis dan dapat bervariasi per sesi, membuatnya berguna untuk meneruskan atribut khusus pengguna seperti email, tim, atau pusat biaya melalui peran bersama.

penting

Jika tag sesi dan tag utama berbagi kunci yang sama, nilai tag sesi akan menggantikan nilai tag utama untuk sesi tersebut. Untuk informasi selengkapnya, lihat Lulus tag sesi di AWS STS.

Sebagian besar organisasi menggunakan peran daripada pengguna IAM untuk akses Amazon Bedrock. Jika beberapa pengguna berbagi peran yang sama, tag sesi adalah cara Anda membedakannya dalam penagihan.

Menyiapkan atribusi utama IAM

Identity-level atribusi (pengguna IAM pemanggil atau ARN peran) ditangkap secara otomatis untuk setiap permintaan Amazon Bedrock. Untuk menambahkan dimensi organisasi seperti tim atau pusat biaya ke data penagihan Anda, ikuti langkah-langkah berikut untuk menandai prinsipal Anda dan mengaktifkan tag di Penagihan. AWS

Langkah 1: Terapkan tag ke prinsipal IAM Anda (opsional)

Tag mengalir ke data penagihan Anda dengan dua cara:

Tag utama dilampirkan langsung ke pengguna atau peran IAM. Tetapkan sekali dan mereka berlaku untuk setiap permintaan dari kepala sekolah itu. Ini sangat ideal untuk menandai pengembang individu (pengguna IAM) atau aplikasi (peran IAM). Anda dapat menerapkan tag utama menggunakan konsol IAM, AWS CLI aws iam tag-role (aws iam tag-user,), atau IAM API TagRole (,). TagUser

Untuk mempelajari selengkapnya tentang penandaan IAM dan praktik terbaik, lihat Tag untuk sumber daya IAM.

Tag sesi diteruskan secara dinamis saat mengasumsikan peran IAM melalui. AWS STS Mereka ideal untuk pengguna federasi (mengautentikasi melalui penyedia identitas seperti Okta, Auth0, atau Entra) dan gateway LLM yang meminta proxy atas nama beberapa pengguna atau penyewa. Tag sesi dapat dilewatkan dalam tiga cara:

  • AssumeRole— Lulus --tags saat menelepon sts:AssumeRole (misalnya, gateway LLM dengan asumsi peran Amazon Bedrock per pengguna atau penyewa).

  • AssumeRoleWithWebIdentity (OIDC) — Sematkan tag dalam https://aws.amazon.com/tags klaim dalam token ID yang dikeluarkan oleh penyedia identitas Anda.

  • AssumeRoleWithSAMLPrincipalTag:* Atribut peta dalam pernyataan SAMP IDP Anda.

Kebijakan kepercayaan peran IAM harus memungkinkan sts:TagSession tag sesi mengalir. Untuk mempelajari selengkapnya, lihat Lulus tag sesi di AWS STS.

Kedua tag utama dan tag sesi muncul di CUR 2.0 dengan iamPrincipal/ awalan.

Langkah 2: Aktifkan tag alokasi biaya

Untuk membuat tag utama IAM Anda muncul di AWS Cost Explorer dan CUR 2.0, Anda harus mengaktifkannya sebagai tag alokasi biaya:

  1. Buka konsol AWS Billing and Cost Management.

  2. Di panel navigasi, pilih Tag alokasi biaya.

  3. Filter berdasarkan jenis IAM principal untuk menemukan tag yang Anda terapkan pada prinsipal Anda.

  4. Pilih tag dan pilih Aktifkan.

catatan

Tag hanya muncul di AWS Penagihan setelah prinsipal IAM melakukan setidaknya satu panggilan Amazon Bedrock API. Tag alokasi biaya tidak berlaku surut — hanya biaya yang dikeluarkan setelah aktivasi ditandai. Tag dapat memakan waktu hingga 24 jam untuk muncul setelah aktivasi.

Langkah 3: Buat ekspor data CUR 2.0 dengan IAM-level data

Untuk melihat rincian biaya tingkat identitas, buat ekspor data CUR 2.0 yang menyertakan identitas pemanggil:

  1. Buka konsol AWS Billing and Cost Management.

  2. Di panel navigasi, pilih Ekspor Data.

  3. Pilih Buat untuk membuat ekspor CUR 2.0 baru.

  4. Konfigurasikan ekspor dan pastikan Anda memilih opsi untuk menyertakan ARN identitas pemanggil.

penting

Jika Anda membuat ekspor data CUR 2.0 sebelum mengaktifkan atribusi utama IAM, Anda harus membuat ekspor baru dan memilih opsi identitas pemanggil. Ekspor yang ada tidak secara surut menyertakan data identitas. Anda juga harus memastikan bahwa tag alokasi biaya Anda diaktifkan (Langkah 2) agar tag muncul di ekspor.

Untuk informasi selengkapnya, lihat Membuat laporan di Panduan Pengguna Laporan AWS Biaya dan Penggunaan.

Dimensi penandaan

Anda dapat menggunakan kunci tag apa pun yang mewakili struktur organisasi Anda. Dimensi umum meliputi:

Tombol tanda Tujuan Contoh nilai
User Identitas individu jane@example.com, bob@example.com
Team Kepemilikan PlatformEngineering, DataScience
Department Unit organisasi Teknik, Riset, Pemasaran
CostCenter Pemetaan keuangan CC-1001, CC-2002
Environment Tahap siklus hidup Produksi, Pengembangan

Anda dapat menerapkan hingga 50 tag utama atau sesi per pengguna atau peran IAM.

Akses federasi dan tag sesi

Untuk organisasi yang menggunakan penyedia identitas federasi (AWS IAM Identity Center, Okta, Entra, Ping), tag sesi memungkinkan Anda meneruskan atribut pengguna dari IDP Anda ke. AWS Ketika pengguna federasi mengambil peran melalui AWS STS, IDP dapat meneruskan atribut seperti email pengguna, tim, dan pusat biaya sebagai tag sesi. Tag ini diambil bersama permintaan Amazon Bedrock dan mengalir ke AWS CUR 2.0 dan AWS Cost Explorer.

Untuk mengatur ini:

  1. Konfigurasikan IDP Anda untuk menyertakan atribut pengguna (email, tim, pusat biaya) sebagai atribut SAMP atau klaim OIDC.

  2. Petakan atribut tersebut ke tag AWS sesi dalam kebijakan kepercayaan peran IAM Anda menggunakansts:TagSession.

  3. Tag sesi kemudian tersedia sebagai tag alokasi biaya di AWS Penagihan setelah aktivasi.

Untuk informasi selengkapnya, lihat Melewati tag sesi di AWS STS.

Pola doa

Atribusi utama IAM bekerja terlepas dari bagaimana aplikasi Anda memanggil Amazon Bedrock:

Pola Bagaimana identitas mengalir
Panggilan API langsung Identitas pengguna atau peran IAM ditangkap secara otomatis
API Gateway Identitas peran yang memanggil Amazon Bedrock ditangkap
LLM Gateway (LitellM, kustom) Identitas peran eksekusi gateway ditangkap. Lulus tag sesi dari gateway untuk mempertahankan atribusi tingkat pengguna.
Identitas federasi (Okta, Entra) Tag sesi dari iDP ditangkap selama asumsi peran

Jika Anda menggunakan gateway LLM atau gateway API dan tidak melihat identitas tingkat pengguna di AWS Penagihan, konfirmasikan bahwa gateway meneruskan tag sesi dengan setiap permintaan.

Biaya melihat

Setelah mengaktifkan tag alokasi biaya, Anda dapat menganalisis biaya Amazon Bedrock berdasarkan prinsipal di alat berikut:

  • AWS Cost Explorer — Filter berdasarkan tag utama untuk melihat tren biaya menurut pengguna, tim, atau departemen. Kelompokkan berdasarkan tag untuk membandingkan biaya lintas dimensi.

  • AWS Laporan Biaya dan Penggunaan (CUR 2.0) - Kueri data CUR untuk rincian biaya item baris dengan tag utama.

Data biaya dapat memakan waktu hingga 24 jam untuk muncul di AWS Cost Explorer dan CUR 2.0 setelah permintaan dibuat.

Menggunakan atribusi utama IAM dengan metode lain

Atribusi utama IAM dapat digunakan bersama Proyek dan profil inferensi aplikasi. Ini memberi Anda visibilitas biaya multi-dimensi.

Kami merekomendasikan penggunaan Project untuk atribusi tingkat aplikasi dan atribusi utama IAM untuk atribusi tingkat pengguna dalam akun yang sama.

Metode Atribut oleh API yang didukung bedrock-runtime bedrock-mantle
Atribusi utama IAM Identitas (pengguna, peran, tim) InvokeModel API/API Converse/API Penyelesaian Obrolan Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial.
Proyek (Direkomendasikan) Aplikasi atau beban kerja API Respons/API Penyelesaian Obrolan
Profil inferensi aplikasi Aplikasi atau beban kerja InvokeModel API/API Converse/API Penyelesaian Obrolan