新上线今天0 投票
Amazon Bedrock 托管授权:简化多账户模型访问的新方案
随着企业对 AI 模型的需求增长,跨多个 AWS 账户管理第三方模型(如 Anthropic Claude、Cohere)的访问权限成为一项挑战。传统做法要么为每个工作负载账户授予 AWS Marketplace 权限(增加治理风险),要么手动为每个账户订阅模型(操作繁琐)。针对这一痛点,AWS 推出了 Amazon Bedrock 托管授权(Managed Entitlements) 功能,允许组织从一个中央账户订阅模型,然后通过 AWS License Manager 将访问权限分发到整个组织的成员账户,而无需在工作负载账户中授予 AWS Marketplace 权限。
为什么需要托管授权?
要理解托管授权的价值,首先需要区分 Amazon Bedrock 上不同模型的获取方式。目前模型分为三类:
- Amazon 自研模型(如 Amazon Nova):可直接通过 Amazon Bedrock 权限调用,无需额外订阅。
- Amazon 代销模型(如 Meta、Mistral、DeepSeek):同样可直接调用,无需额外步骤。
- AWS Marketplace 第三方模型(如 Anthropic Claude、Cohere、Stability AI):每个账户需要单独订阅 AWS Marketplace 后才能调用。
对于前两类模型,AWS 近期已简化访问流程,用户可立即使用。但对于第三方模型,多账户场景下,要么为每个账户开放 Marketplace 权限(带来安全风险),要么由管理员逐个手动启用(效率低下)。托管授权正是为解决这一矛盾而生。
四步工作流
托管授权的使用流程分为四个步骤:
- 中央账户订阅:在中央管理账户中,通过 AWS Marketplace 订阅所需的第三方模型。
- 创建授权:在 AWS License Manager 中创建托管授权,指定要分发的模型和接收账户。
- 分配权限:将授权分配给组织内的成员账户或 OU(组织单元)。
- 成员账户使用:成员账户无需任何 Marketplace 权限,即可直接通过 Bedrock 控制台或 API 调用已授权的模型。
实际应用场景
- 大型企业:拥有数百个 AWS 账户,需要集中管控 AI 模型订阅费用和访问权限,同时确保各团队能快速获取最新模型。
- 合规要求严格的组织:不希望在工作负载账户中开放 Marketplace 权限,以减少攻击面和审计复杂度。
- 跨区域部署:托管授权支持跨区域分发,但需注意不同区域的市场可用性差异。
重要注意事项
- 私有产品(Private Offers):如果模型是通过私有协议购买的,托管授权的行为可能有所不同,建议先测试。
- 区域限制:某些模型仅在特定区域可用,授权分发时需确认目标区域是否支持。
- 成本归属:订阅费用仍由中央账户承担,但可通过成本标签进行内部分摊。
与 Bedrock 其他能力的协同
托管授权并非孤立功能,它与 Amazon Bedrock 的 模型评估、护栏(Guardrails) 等能力互补。通过集中授权,企业可以更高效地实施统一的模型治理策略——例如,在中央账户配置护栏规则后,所有通过授权访问模型的成员账户都会自动遵循这些规则。
小结
Amazon Bedrock 托管授权为多账户环境下的第三方模型管理提供了优雅的解决方案。它平衡了安全性与效率,让组织既能保持中央治理,又能灵活赋能各业务团队。对于正在扩张 AI 应用规模的企业而言,这一功能值得优先评估。