View a markdown version of this page

IAM 보안 주체 속성 - Amazon Bedrock
작동 방식보안 주체 유형IAM 보안 주체 어트리뷰션 설정차원 태그 지정페더레이션 액세스 및 세션 태그호출 패턴비용 보기다른 메서드와 함께 IAM 보안 주체 어트리뷰션 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 보안 주체 속성

Amazon Bedrock은 모든 추론 요청에 대해 IAM 보안 주체 자격 증명(IAM 사용자IAM 역할)을 자동으로 캡처합니다. 팀, 부서 또는 비용 센터와 같은 추가 비용 차원을 위해 보안 주체에 태그를 선택적으로 연결할 수 있습니다. 이를 통해 코드 변경이나 추가 리소스 없이 사용자별 및 역할별 비용을 파악할 수 있습니다.

IAM 보안 주체 어트리뷰션은 현재 Amazon Bedrock bedrock-runtime APIs(InvokeModel API / Converse API / Chat Completions API)에서 작동합니다. bedrock-mantle APIs 대한 지원이 곧 제공될 예정입니다.

작동 방식

IAM 사용자 또는 역할이 추론 요청을 하면 Amazon Bedrock은 호출자의 자격 증명을 기록합니다. 이 정보는 AWS Cost Explorer 및 AWS Cost and Usage Reports(CUR 2.0)로 전달되며, 여기에서 자격 증명별로 비용을 필터링하고 그룹화할 수 있습니다. Amazon Bedrock API 호출은 변경할 필요가 없습니다. 속성은 API 파라미터가 아닌 호출을 수행한 사용자를 기반으로 합니다.

선택적으로 IAM 보안 주체에 태그를 연결하여 결제 데이터에 조직 차원(팀, 부서, 비용 센터)을 추가할 수 있습니다. 자격 증명 수준 어트리뷰션에는 태그가 필요하지 않습니다. 호출자 자격 증명은 항상 캡처됩니다.

보안 주체 유형

Amazon Bedrock은 모든 IAM 보안 주체 유형에서 자격 증명을 캡처합니다. 가장 일반적인 두 가지는 IAM 사용자와 IAM 역할입니다.

IAM 사용자는 수명이 긴 액세스 키를 사용하여 Amazon Bedrock을 직접 호출합니다. IAM 사용자 이름과 사용자에게 연결된 모든 태그는 AWS 결제에 기록됩니다.

IAM 역할은 사용자, 애플리케이션 또는 페더레이션 자격 증명이 수임합니다 AWS STS. 보안 주체가 sts:AssumeRole를 호출하면 결과 임시 자격 증명에 역할의 자격 증명이 포함됩니다. 태그는 다음 두 가지 소스에서 가져올 수 있습니다.

  • 보안 주체 태그 - IAM 역할에 직접 연결된 태그입니다. 이는 정적이며 모든 세션에 적용됩니다.

  • 세션 태그 - 역할 수임 시 전달되는 태그입니다 AWS STS. 이러한 속성은 동적이며 세션마다 다를 수 있으므로 공유 역할을 통해 이메일, 팀 또는 비용 센터와 같은 사용자별 속성을 전달하는 데 유용합니다.

중요

세션 태그와 보안 주체 태그가 동일한 키를 공유하는 경우 세션 태그 값은 해당 세션의 보안 주체 태그 값을 재정의합니다. 자세한 내용은 세션 태그 전달을 참조하세요 AWS STS.

대부분의 조직에서는 Amazon Bedrock 액세스에 IAM 사용자가 아닌 역할을 사용합니다. 여러 사용자가 동일한 역할을 공유하는 경우 세션 태그는 결제에서 사용자를 구분하는 방법입니다.

IAM 보안 주체 어트리뷰션 설정

자격 증명 수준 어트리뷰션(발신자의 IAM 사용자 또는 역할 ARN)은 모든 Amazon Bedrock 요청에 대해 자동으로 캡처됩니다. 팀 또는 비용 센터와 같은 조직 차원을 결제 데이터에 추가하려면 다음 단계에 따라 보안 주체에 태그를 지정하고 AWS 결제에서 태그를 활성화합니다.

1단계: IAM 보안 주체에 태그 적용(선택 사항)

태그는 다음 두 가지 방법으로 결제 데이터에 흐릅니다.

보안 주체 태그는 IAM 사용자 또는 역할에 직접 연결됩니다. 한 번 설정하면 해당 보안 주체의 모든 요청에 적용됩니다. 이는 개별 개발자(IAM 사용자) 또는 애플리케이션(IAM 역할)에 태그를 지정하는 데 적합합니다. IAM 콘솔, AWS CLI(aws iam tag-role, aws iam tag-user) 또는 IAM API(TagRole, )를 사용하여 보안 주체 태그를 적용할 수 있습니다TagUser.

IAM 태그 지정 및 모범 사례에 대한 자세한 내용은 IAM 리소스에 대한 태그를 참조하세요.

세션 태그는 IAM 역할을 수임할 때 동적으로 전달됩니다 AWS STS. 페더레이션 사용자( Okta, Auth0 또는 Entra와 같은 자격 증명 공급자를 통해 인증) 및 여러 사용자 또는 테넌트를 대신하여 요청을 프록시하는 LLM 게이트웨이에 적합합니다. 세션 태그는 다음 세 가지 방법으로 전달할 수 있습니다.

  • AssumeRole - 호출 --tags 시 전달합니다sts:AssumeRole(예: 사용자 또는 테넌트당 Amazon Bedrock 역할을 수임하는 LLM 게이트웨이).

  • AssumeRoleWithWebIdentity(OIDC) - 자격 증명 공급자가 발급한 ID 토큰의 https://aws.amazon.com/tags 클레임에 태그를 포함합니다.

  • AssumeRoleWithSAML - IdP의 SAML 어설션에 PrincipalTag:* 속성을 매핑합니다.

IAM 역할의 신뢰 정책은 sts:TagSession 세션 태그가 통과하도록 허용해야 합니다. 자세한 내용은 세션 태그 전달을 AWS STS 참조하세요.

보안 주체 태그와 세션 태그는 모두 iamPrincipal/ 접두사와 함께 CUR 2.0에 표시됩니다.

2단계: 비용 할당 태그 활성화

IAM 보안 주체 태그를 AWS Cost Explorer 및 CUR 2.0에 표시하려면 비용 할당 태그로 활성화해야 합니다.

  1. AWS Billing and Cost Management 콘솔을 엽니다.

  2. 탐색 창에서 비용 할당 태그(Cost allocation tags)를 선택합니다.

  3. 유형 IAM 보안 주체를 기준으로 필터링하여 보안 주체에 적용한 태그를 찾습니다.

  4. 태그를 선택하고 활성화를 선택합니다.

참고

태그는 IAM 보안 주체가 Amazon Bedrock API를 한 번 이상 호출한 후에만 AWS 결제에 표시됩니다. 비용 할당 태그는 소급되지 않으며 활성화 후 발생한 비용만 태그가 지정됩니다. 활성화 후 태그가 표시되는 데 최대 24시간이 걸릴 수 있습니다.

3단계: IAM 수준 데이터를 사용하여 CUR 2.0 데이터 내보내기 생성

자격 증명 수준 비용 내역을 보려면 호출자 자격 증명이 포함된 CUR 2.0 데이터 내보내기를 생성합니다.

  1. AWS Billing and Cost Management 콘솔을 엽니다.

  2. 탐색 창에서 데이터 내보내기를 선택합니다.

  3. 생성을 선택하여 새 CUR 2.0 내보내기를 생성합니다.

  4. 내보내기를 구성하고 호출자 자격 증명 ARN을 포함하는 옵션을 선택해야 합니다.

중요

IAM 보안 주체 어트리뷰션을 활성화하기 전에 CUR 2.0 데이터 내보내기를 생성한 경우 새 내보내기를 생성하고 발신자 자격 증명 옵션을 선택해야 합니다. 기존 내보내기에는 자격 증명 데이터가 소급하여 포함되지 않습니다. 또한 내보내기에 태그를 표시하려면 비용 할당 태그가 활성화되어 있는지(2단계) 확인해야 합니다.

자세한 내용은 AWS 비용 및 사용 보고서 사용 설명서의 보고서 생성을 참조하세요.

차원 태그 지정

조직 구조를 나타내는 모든 태그 키를 사용할 수 있습니다. 일반적인 차원은 다음과 같습니다.

태그 키 용도 예제 값
User 개별 자격 증명 jane@example.com, bob@example.com
Team Ownership PlatformEngineering, DataScience
Department 조직 단위 엔지니어링, 연구, 마케팅
CostCenter 재무 매핑 CC-1001, CC-2002
Environment 수명 주기 단계 프로덕션, 개발

IAM 사용자 또는 역할당 최대 50개의 보안 주체 또는 세션 태그를 적용할 수 있습니다.

페더레이션 액세스 및 세션 태그

페더레이션 ID 제공업체(AWS IAM Identity Center, Okta, Entra, Ping)를 사용하는 조직의 경우 세션 태그를 사용하면 사용자 속성을 IdP에서 로 전달할 수 있습니다 AWS. 페더레이션 사용자가 역할을 수임하면 IdP는 사용자 이메일 AWS STS, 팀 및 비용 센터와 같은 속성을 세션 태그로 전달할 수 있습니다. 이러한 태그는 Amazon Bedrock 요청과 함께 캡처되어 AWS CUR 2.0 및 AWS Cost Explorer로 흐릅니다.

설정하려면 다음을 수행합니다.

  1. 사용자 속성(이메일, 팀, 비용 센터)을 SAML 속성 또는 OIDC 클레임으로 포함하도록 IdP를 구성합니다.

  2. 를 사용하여 이러한 속성을 IAM 역할의 신뢰 정책의 AWS 세션 태그에 매핑합니다sts:TagSession.

  3. 그러면 활성화 후 AWS 결제에서 세션 태그를 비용 할당 태그로 사용할 수 있습니다.

자세한 내용은 AWS STS에서 세션 태그 전달을 참조하세요.

호출 패턴

IAM 보안 주체 어트리뷰션은 애플리케이션이 Amazon Bedrock을 호출하는 방식에 관계없이 작동합니다.

패턴 자격 증명 흐름
직접 API 호출 자동으로 캡처되는 IAM 사용자 또는 역할 자격 증명
API Gateway Amazon Bedrock을 호출하는 역할의 자격 증명이 캡처됩니다.
LLM 게이트웨이(LiteLLM, 사용자 지정) 게이트웨이 실행 역할의 자격 증명이 캡처됩니다. 게이트웨이에서 세션 태그를 전달하여 사용자 수준 어트리뷰션을 유지합니다.
페더레이션 자격 증명(Okta, Entra) IdP의 세션 태그는 역할 가정 중에 캡처됩니다.

LLM 게이트웨이 또는 API 게이트웨이를 사용하고 AWS 결제에 사용자 수준 자격 증명이 표시되지 않는 경우 게이트웨이가 각 요청과 함께 세션 태그를 전달하고 있는지 확인합니다.

비용 보기

비용 할당 태그를 활성화한 후 다음 도구에서 보안 주체별로 Amazon Bedrock 비용을 분석할 수 있습니다.

  • AWS Cost Explorer - 보안 주체 태그를 기준으로 필터링하여 사용자, 팀 또는 부서별로 비용 추세를 확인합니다. 태그별로 그룹화하여 차원 전반의 비용을 비교합니다.

  • AWS 비용 및 사용 보고서(CUR 2.0) - 보안 주체 태그별 항목 비용 내역에 대한 CUR 데이터를 쿼리합니다.

요청 후 비용 데이터가 AWS Cost Explorer 및 CUR 2.0에 표시되는 데 최대 24시간이 걸릴 수 있습니다.

다른 메서드와 함께 IAM 보안 주체 어트리뷰션 사용

IAM 보안 주체 어트리뷰션은 프로젝트 및 애플리케이션 추론 프로파일과 함께 사용할 수 있습니다. 이를 통해 다차원 비용 가시성을 확보할 수 있습니다.

애플리케이션 수준 어트리뷰션에는 Projects를 사용하고 동일한 계정 내의 사용자 수준 어트리뷰션에는 IAM 보안 주체 어트리뷰션을 사용하는 것이 좋습니다.

방법 의 속성 지원되는 API bedrock-runtime bedrock-mantle
IAM 보안 주체 속성 자격 증명(사용자, 역할, 팀) InvokeModel API / Converse API / Chat Completions API Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial.
프로젝트(권장) 애플리케이션 또는 워크로드 응답 API/채팅 완료 API
애플리케이션 추론 프로파일 애플리케이션 또는 워크로드 InvokeModel API / Converse API / Chat Completions API