本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # IAM 主體屬性 Amazon Bedrock 會自動擷取每個推論請求的 [IAM 主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)身分 ([IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)和 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html))。您可以選擇將標籤連接至委託人,以取得其他成本維度,例如團隊、部門或成本中心。這可讓您查看每個使用者和每個角色的成本,無需變更程式碼或其他資源。 IAM 主體屬性目前適用於 Amazon Bedrock `bedrock-runtime` APIs([InvokeModel API](inference-api.md)/[Converse API](conversation-inference.md)/[聊天完成 API](inference-chat-completions.md))。`bedrock-mantle` APIs的支援即將推出。 ## 運作方式 當 IAM 使用者或角色提出推論請求時,Amazon Bedrock 會記錄發起人的身分。此資訊會流入 AWS Cost Explorer管和 AWS 成本和用量報告 (CUR 2.0),您可以在其中依身分篩選和分組成本。您不需要變更 Amazon Bedrock API 呼叫。屬性是根據撥打電話的人員,而不是 API 參數。 或者,您可以將標籤連接至 IAM 主體,將組織維度 (團隊、部門、成本中心) 新增至帳單資料。身分層級屬性不需要標籤。一律會擷取發起人身分。 ## 主體類型 Amazon Bedrock 會從任何 IAM 主體類型擷取身分。最常見的兩個是 IAM 使用者和 IAM 角色。 **IAM 使用者**直接使用長期存取金鑰呼叫 Amazon Bedrock。IAM 使用者名稱和連接到使用者的任何標籤都會記錄在 AWS Billing 中。 **IAM 角色**由使用者、應用程式或聯合身分透過 擔任 AWS STS。當委託人呼叫 時`sts:AssumeRole`,產生的臨時登入資料會攜帶角色的身分。標籤可以來自兩個來源: + **主體標籤** – 直接連接到 IAM 角色的標籤。這些是靜態的,並適用於每個工作階段。 + **工作階段標籤** – 角色擔任時傳遞的標籤 AWS STS。這些是動態的,每個工作階段可能有所不同,因此它們有助於透過共用角色傳遞使用者特定的屬性,例如電子郵件、團隊或成本中心。 **重要** 如果工作階段標籤和主體標籤共用相同的金鑰,工作階段標籤值會覆寫該工作階段的主體標籤值。如需詳細資訊,請參閱[傳入工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。 大多數組織使用角色而非 IAM 使用者來存取 Amazon Bedrock。如果多個使用者共用相同的角色,工作階段標籤就是您在計費中區分它們的方式。 ## 設定 IAM 主體屬性 系統會為每個 Amazon Bedrock 請求自動擷取身分層級屬性 (發起人的 IAM 使用者或角色 ARN)。若要將團隊或成本中心等組織維度新增至帳單資料,請依照下列步驟標記您的委託人,並在 AWS 帳單中啟用標籤。 ### 步驟 1:將標籤套用至 IAM 主體 (選用) 標籤會以兩種方式流向帳單資料: **主體標籤**會直接連接到 IAM 使用者或角色。設定一次,它們適用於來自該委託人的每個請求。這非常適合標記個別開發人員 (IAM 使用者) 或應用程式 (IAM 角色)。您可以使用 IAM 主控台、CLI AWS (`aws iam tag-role`、`aws iam tag-user`) 或 IAM API (`TagRole`、) 來套用主體標籤`TagUser`。 若要進一步了解 IAM 標記和最佳實務,請參閱 [IAM 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 擔任 IAM 角色時,**工作階段標籤**會透過 動態傳遞 AWS STS。它們非常適合聯合身分使用者 (透過 Okta、Auth0 或 Entra 等身分提供者進行身分驗證),以及代表多個使用者或租用戶代理請求的 LLM 閘道。工作階段標籤可以透過三種方式傳遞: + **AssumeRole** – 呼叫`--tags`時傳遞 `sts:AssumeRole`(例如,每個使用者或租用戶擔任 Amazon Bedrock 角色的 LLM 閘道)。 + **AssumeRoleWithWebIdentity (OIDC)** – 在身分提供者發出的 ID 權杖中嵌入`https://aws.amazon.com/tags`宣告中的標籤。 + **AssumeRoleWithSAML** – 映射 IdP SAML 聲明中的`PrincipalTag:*`屬性。 IAM 角色的信任政策必須允許`sts:TagSession`工作階段標籤通過。若要進一步了解,請參閱[傳入工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。 主體標籤和工作階段標籤都會以 `iamPrincipal/`字首顯示在 CUR 2.0 中。 ### 步驟 2:啟用成本分配標籤 若要讓您的 IAM 主體標籤顯示在 AWS Cost Explorer 和 CUR 2.0 中,您必須將其啟用為成本分配標籤: 1. 開啟 AWS Billing and Cost Management 主控台。 1. 在導覽窗格中,選擇 **Cost allocation tags** (成本分配標籤)。 1. 依類型 **IAM 主體**篩選,以尋找您套用至主體的標籤。 1. 選取標籤,然後選擇**啟用**。 **注意** 只有在 IAM 主體發出至少一個 Amazon Bedrock API 呼叫之後,標籤才會出現在 AWS 帳單中。成本分配標籤不追溯 - 只有啟用後產生的成本才會加上標籤。標籤在啟用後最多可能需要 24 小時才會出現。 ### 步驟 3:使用 IAM 層級資料建立 CUR 2.0 資料匯出 若要查看身分層級成本明細,請建立包含發起人身分的 CUR 2.0 資料匯出: 1. 開啟 AWS Billing and Cost Management 主控台。 1. 在導覽窗格中,選擇**資料匯出**。 1. 選擇**建立**以建立新的 CUR 2.0 匯出。 1. 設定匯出,並確保您選取包含呼叫者身分 ARN 的選項。 **重要** 如果您在啟用 IAM 主體屬性之前建立了 CUR 2.0 資料匯出,則必須建立新的匯出並選擇發起人身分選項。現有的匯出不會追溯包含身分資料。您還必須確保成本分配標籤已啟用 (步驟 2),標籤才會出現在匯出中。 如需詳細資訊,請參閱《 AWS 成本和用量報告使用者指南》中的[建立](https://docs.aws.amazon.com/cur/latest/userguide/cur-create.html)報告。 ## 標記維度 您可以使用代表組織結構的任何標籤索引鍵。常見維度包括: | 標籤鍵 | 用途 | 範例值 | | --- | --- | --- | | User | 個別身分 | jane@example.com、bob@example.com | | Team | Ownership | PlatformEngineering、DataScience | | Department | 組織單位 | 工程、研究、行銷 | | CostCenter | 財務映射 | CC-1001、CC-2002 | | Environment | 生命週期階段 | 生產、開發 | 每個 IAM 使用者或角色最多可以套用 50 個主體或工作階段標籤。 ## 聯合存取和工作階段標籤 對於使用聯合身分提供者 (AWS IAM Identity Center、Okta、Entra、Ping) 的組織,工作階段標籤可讓您將使用者屬性從 IdP 傳遞至 AWS。當聯合身分使用者透過 擔任角色時 AWS STS,IdP 可以將使用者電子郵件、團隊和成本中心等屬性作為工作階段標籤傳遞。這些標籤會與 Amazon Bedrock 請求一起擷取,並流向 AWS CUR 2.0 和 AWS Cost Explorer。 若要設定此項目: 1. 設定您的 IdP,以包含使用者屬性 (電子郵件、團隊、成本中心) 做為 SAML 屬性或 OIDC 宣告。 1. 使用 將這些屬性映射至 IAM 角色信任政策中的 AWS 工作階段標籤`sts:TagSession`。 1. 然後,工作階段標籤可在啟用後於 AWS Billing 中做為成本分配標籤使用。 如需詳細資訊,請參閱[在 AWS STS中傳入工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。 ## 調用模式 無論您的應用程式如何呼叫 Amazon Bedrock,IAM 主體屬性都可以運作: | 模式 | 身分如何流動 | | --- | --- | | 直接 API 呼叫 | 自動擷取的 IAM 使用者或角色身分 | | API Gateway | 擷取叫用 Amazon Bedrock 的角色身分 | | LLM Gateway (LiteLLM、自訂) | 擷取閘道執行角色的身分。從閘道傳遞工作階段標籤,以保留使用者層級屬性。 | | 聯合身分 (Okta、Entra) | 在角色擔任期間擷取來自 IdP 的工作階段標籤 | 如果您使用 LLM 閘道或 API 閘道,但未在 AWS 帳單中看到使用者層級身分,請確認閘道在每個請求中傳遞工作階段標籤。 ## 檢視成本 啟用成本分配標籤後,您可以在下列工具中依委託人分析 Amazon Bedrock 成本: + **AWS Cost Explorer** – 依主體標籤篩選,以依使用者、團隊或部門檢視成本趨勢。依標籤分組以比較各個維度的成本。 + **AWS 成本和用量報告 (CUR 2.0)** – 依委託人標籤查詢明細項目成本的 CUR 資料。 提出請求後,成本資料最多可能需要 24 小時才會出現在 AWS Cost Explorer 和 CUR 2.0 中。 ## 搭配其他方法使用 IAM 主體屬性 IAM 主體屬性可與專案和應用程式推論設定檔搭配使用。這可讓您多維成本可見性。 我們建議將專案用於應用程式層級屬性,並將 IAM 主體屬性用於相同帳戶中的使用者層級屬性。 | Method | 屬性依據 | 支援的 API | `bedrock-runtime` | `bedrock-mantle` | | --- | --- | --- | --- | --- | | IAM 主體屬性 | Identity (使用者、角色、團隊) | [InvokeModel API](inference-api.md)/[Converse API](conversation-inference.md)/[聊天完成 API](inference-chat-completions.md) | ![Green circular icon with a white checkmark symbol inside.](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/images/icons/icon-yes.png) | ![Red circular icon with an X symbol, indicating cancellation or denial.](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/images/icons/icon-no.png) | | 專案 (建議) | 應用程式或工作負載 | [回應 API](bedrock-mantle.md)/[聊天完成 API](bedrock-mantle.md) | ![](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/images/icons/icon-no.png) | ![](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/images/icons/icon-yes.png) | | 應用程式推論設定檔 | 應用程式或工作負載 | [InvokeModel API](inference-api.md)/[Converse API](conversation-inference.md)/[聊天完成 API](inference-chat-completions.md) | ![](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/images/icons/icon-yes.png) | ![](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/images/icons/icon-no.png) |