View a markdown version of this page

Atribuição principal do IAM - Amazon Bedrock
Como funcionaTipos principaisConfigurando a atribuição principal do IAMDimensões de marcaçãoAcesso federado e tags de sessãoPadrões de invocaçãoVisualizando custosUsando a atribuição principal do IAM com outros métodos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atribuição principal do IAM

O Amazon Bedrock captura automaticamente a identidade principal do IAM (usuários do IAM e funções do IAM) para cada solicitação de inferência. Opcionalmente, você pode anexar etiquetas aos seus diretores para obter dimensões de custo adicionais, como equipe, departamento ou centro de custos. Isso oferece visibilidade de custo por usuário e por função, sem alterações no código ou recursos adicionais.

A atribuição principal do IAM atualmente funciona com as APIs do Amazon Bedrock (bedrock-runtimeAPI/Converse InvokeModel API/Chat Completions API). Support para bedrock-mantle APIs estará disponível em breve.

Como funciona

Quando um usuário ou função do IAM faz uma solicitação de inferência, o Amazon Bedrock registra a identidade do chamador. Essas informações fluem para o AWS Cost Explorer e o AWS Cost and Usage Reports (CUR 2.0), onde você pode filtrar e agrupar os custos por identidade. Nenhuma alteração em suas chamadas de API do Amazon Bedrock é necessária. A atribuição é baseada em quem fez a chamada, não nos parâmetros da API.

Opcionalmente, você pode anexar tags aos seus diretores do IAM para adicionar dimensões organizacionais (equipe, departamento, centro de custos) aos seus dados de faturamento. As tags não são necessárias para atribuição em nível de identidade. A identidade do chamador é sempre capturada.

Tipos principais

O Amazon Bedrock captura a identidade de qualquer tipo principal do IAM. Os dois mais comuns são usuários do IAM e funções do IAM.

Os usuários do IAM ligam diretamente para o Amazon Bedrock usando chaves de acesso de longa duração. O nome de usuário do IAM e todas as tags anexadas ao usuário são registrados no AWS Faturamento.

As funções do IAM são assumidas por usuários, aplicativos ou identidades federadas por meio de. AWS STS Quando um diretor ligasts:AssumeRole, as credenciais temporárias resultantes carregam a identidade da função. As tags podem vir de duas fontes:

  • Tags principais — Tags anexadas diretamente à função do IAM. Eles são estáticos e se aplicam a todas as sessões.

  • Tags de sessão — Tags passadas no momento da assunção da função por meio AWS STS de. Eles são dinâmicos e podem variar de acordo com a sessão, o que os torna úteis para transmitir atributos específicos do usuário, como e-mail, equipe ou centro de custos, por meio de uma função compartilhada.

Importante

Se uma tag de sessão e uma tag principal compartilharem a mesma chave, o valor da tag de sessão substituirá o valor da tag principal dessa sessão. Para obter mais informações, consulte Passar tags de sessão em AWS STS.

A maioria das organizações usa funções em vez de usuários do IAM para acessar o Amazon Bedrock. Se vários usuários compartilham a mesma função, as tags de sessão são como você os distingue no faturamento.

Configurando a atribuição principal do IAM

Identity-level a atribuição (o ARN do usuário do IAM ou da função do chamador) é capturada automaticamente para cada solicitação do Amazon Bedrock. Para adicionar dimensões organizacionais, como equipe ou centro de custos, aos seus dados de faturamento, siga estas etapas para marcar seus diretores e ativar as tags no AWS Faturamento.

Etapa 1: aplicar tags aos seus diretores do IAM (opcional)

As tags fluem para seus dados de faturamento de duas maneiras:

As tags principais são anexadas diretamente aos usuários ou funções do IAM. Defina-os uma vez e eles se aplicam a todas as solicitações desse diretor. Isso é ideal para marcar desenvolvedores individuais (usuários do IAM) ou aplicativos (funções do IAM). Você pode aplicar as tags principais usando o console do IAM, a AWS CLI (aws iam tag-role,aws iam tag-user) ou a API do IAM (TagRole,TagUser).

Para saber mais sobre a marcação e as melhores práticas do IAM, consulte Tags para recursos do IAM.

As tags de sessão são passadas dinamicamente ao assumir uma função do IAM via. AWS STS Eles são ideais para usuários federados (autenticados por meio de um provedor de identidade como Okta, Auth0 ou Entra) e gateways LLM que fazem solicitações por proxy em nome de vários usuários ou locatários. As tags de sessão podem ser passadas de três maneiras:

  • AssumeRole— Passe --tags ao ligar sts:AssumeRole (por exemplo, um gateway LLM assumindo uma função Amazon Bedrock por usuário ou inquilino).

  • AssumeRoleWithWebIdentity (OIDC) — Incorpore tags na https://aws.amazon.com/tags declaração no token de ID emitido pelo seu provedor de identidade.

  • AssumeRoleWithSAML— Mapeie PrincipalTag:* atributos na declaração SAML do seu IdP.

A política de confiança da função do IAM deve permitir que sts:TagSession as tags de sessão fluam. Para saber mais, consulte Passar tags de sessão em AWS STS.

Tanto as tags principais quanto as tags de sessão aparecem no CUR 2.0 com o iamPrincipal/ prefixo.

Etapa 2: ativar etiquetas da alocação de custos

Para fazer com que suas tags principais do IAM apareçam no AWS Cost Explorer e no CUR 2.0, você deve ativá-las como tags de alocação de custos:

  1. Abra o console AWS Billing and Cost Management.

  2. No painel de navegação, escolha Cost Allocation Tags (Tags de alocação de custo).

  3. Filtre por tipo IAM principal para encontrar as tags que você aplicou às suas entidades principais.

  4. Selecione as tags e escolha Ativar.

nota

As tags só aparecem no AWS Faturamento depois que o diretor do IAM faz pelo menos uma chamada à API Amazon Bedrock. As etiquetas de alocação de custos não são retroativas — somente os custos incorridos após a ativação são marcadas. As etiquetas podem levar até 24 horas para serem exibidas após a ativação.

Etapa 3: criar uma exportação de dados CUR 2.0 com IAM-level dados

Para ver os detalhamentos dos custos em nível de identidade, crie uma exportação de dados CUR 2.0 que inclua a identidade do chamador:

  1. Abra o console AWS Billing and Cost Management.

  2. No painel de navegação, selecione Exportações de dados.

  3. Escolha Criar para criar uma nova exportação CUR 2.0.

  4. Configure a exportação e certifique-se de selecionar a opção para incluir o ARN da identidade do chamador.

Importante

Se você criou uma exportação de dados CUR 2.0 antes de ativar a atribuição principal do IAM, deverá criar uma nova exportação e selecionar a opção de identidade do chamador. As exportações existentes não incluem retroativamente dados de identidade. Você também deve garantir que suas tags de alocação de custos estejam ativadas (Etapa 2) para que as tags apareçam na exportação.

Para obter mais informações, consulte Criação de relatórios no Guia do usuário de relatórios de AWS custo e uso.

Dimensões de marcação

Você pode usar qualquer chave de tag que represente sua estrutura organizacional. As dimensões comuns incluem:

Chave de tag Finalidade Exemplos de valores
User Identidade individual jane@example.com, bob@example.com
Team Ownership PlatformEngineering, DataScience
Department Unidade organizacional Engenharia, Pesquisa, Marketing
CostCenter Mapeamento financeiro CC-1001, CC-2002
Environment Estágio do ciclo de vida Produção, Desenvolvimento

Você pode aplicar até 50 tags principais ou de sessão por usuário ou função do IAM.

Acesso federado e tags de sessão

Para organizações que usam provedores de identidade federados (AWS IAM Identity Center, Okta, Entra, Ping), as tags de sessão permitem que você transmita atributos de usuário do seu IdP para o. AWS Quando um usuário federado assume uma função AWS STS, o IdP pode transmitir atributos como e-mail do usuário, equipe e centro de custos como tags de sessão. Essas tags são capturadas junto com a solicitação do Amazon Bedrock e fluem para o AWS CUR 2.0 e o AWS Cost Explorer.

Para configurar isso:

  1. Configure seu IdP para incluir atributos do usuário (e-mail, equipe, centro de custos) como atributos SAML ou declarações do OIDC.

  2. Mapeie esses atributos para tags de AWS sessão na política de confiança da sua função do IAM usandosts:TagSession.

  3. As tags de sessão ficam então disponíveis como tags de alocação de custos em AWS Faturamento após a ativação.

Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Padrões de invocação

A atribuição principal do IAM funciona independentemente de como seu aplicativo chama o Amazon Bedrock:

Padrão Como a identidade flui
Chamada direta de API Identidade de usuário ou função do IAM capturada automaticamente
API Gateway A identidade da função que invoca o Amazon Bedrock é capturada
Gateway LLM (LiteLM, personalizado) A identidade da função de execução do gateway é capturada. Passe as tags de sessão do gateway para preservar a atribuição em nível de usuário.
Identidade federada (Okta, Entra) As tags de sessão do IdP são capturadas durante a assunção da função

Se você usa um gateway LLM ou um gateway de API e não vê a identidade em nível de usuário no AWS Faturamento, confirme se o gateway está transmitindo tags de sessão com cada solicitação.

Visualizando custos

Depois de ativar suas tags de alocação de custos, você pode analisar os custos do Amazon Bedrock por princípio nas seguintes ferramentas:

  • AWS Cost Explorer — Filtre por tags principais para visualizar tendências de custo por usuário, equipe ou departamento. Agrupe por tag para comparar os custos em todas as dimensões.

  • AWS Relatórios de custo e uso (CUR 2.0) — Consulte os dados do CUR para obter detalhamentos de custos de itens de linha por tag principal.

Os dados de custo podem levar até 24 horas para aparecer no AWS Cost Explorer e no CUR 2.0 após a solicitação ser feita.

Usando a atribuição principal do IAM com outros métodos

A atribuição principal do IAM pode ser usada junto com projetos e perfis de inferência de aplicativos. Isso oferece visibilidade de custos multidimensional.

Recomendamos usar projetos para atribuição em nível de aplicativo e atribuição principal do IAM para atribuição em nível de usuário na mesma conta.

Método Atributos por APIs aceitas do : bedrock-runtime bedrock-mantle
Atribuição principal do IAM Identidade (usuário, função, equipe) InvokeModel API/API Converse//API de conclusão de bate-papo Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial.
Projetos (recomendados) Aplicação ou carga de trabalho API de respostas//API de conclusão de bate-papo
Perfis de inferência de aplicações Aplicação ou carga de trabalho InvokeModel API/API Converse//API de conclusão de bate-papo