AWS uvodi granularnu atribuciju troškova za Amazon Bedrock po IAM principalima

Amazon Web Services objavio je 17. travnja 2026. novu funkcionalnost za Amazon Bedrock koja rješava jedan od glavnih enterprise problema korištenja hosted LLM usluga: tko je potrošio koliko. Autori Ba’Carri Johnson, Ajit Mahareddy, Sofian Hamiti i Vadim Omeltchenko detaljno pokrivaju četiri arhitekturna scenarija u kojima značajka donosi vrijednost.

Problem: jedan API, mnogo korisnika

Tipičan enterprise Bedrock deployment ima desetke timova i stotine aplikacija koje pozivaju iste modele. Klasičan AWS billing prikazuje ukupne troškove, ali ne i tko ih generira — što znači da CFO ne može odlučiti tko plaća što.

Nova značajka rješava to praćenjem IAM principala — specifičnog IAM korisnika, role ili federiranog identiteta koji je inicirao svaki inference poziv.

Kako radi

line_item_iam_principal kolumna u CUR 2.0 (Cost and Usage Reports) prikazuje ARN identiteta. Podaci idu direktno u AWS Cost Explorer gdje se mogu filtrirati, grupirati i vizualizirati.

Cijelo rješenje radi bez dodatne naplate i bez dodatne infrastrukture — koristi postojeće IAM mehanizme.

Opcionalno tagiranje

Za agregaciju na višoj razini, organizacije mogu dodati cost allocation tagove na IAM resurse:

• Principal tagovi — trajno dodijeljeni korisnicima ili rolama
• Session tagovi — dinamički prošani tijekom AssumeRole ili iz identity provider assertiona

Tagirani podaci teku u Cost Explorer s iamPrincipal/ prefiksom, što omogućuje grupiranje po timu, projektu, cost centru ili custom dimenzijama.

Četiri enterprise scenarija

Scenarij 1 — Direktan IAM pristup

Individualni razvijatelji koriste IAM credentials ili API ključeve. Atribucija je direktna. Timovi tagiraju korisnike s metadata (department, cost center) za departmentski chargeback.

Scenarij 2 — Aplikacijski pristup

Svaka usluga koja radi na AWS infrastrukturi (Lambda, EC2, ECS) preuzima vlastitu IAM rolu. Assumed-role ARN automatski bilježi per-application trošak, s opcionalnim tagovima za project rollup.

Scenarij 3 — Federalna autentikacija

Korisnici se autentikiraju kroz corporate identity providere (Okta, Azure AD, Auth0) i preuzimaju jednu zajedničku IAM rolu. Session names u ARN-u identificiraju pojedine korisnike. Session tagovi iz IdP-a donose team/cost-center informacije bez management-a per-user IAM resursa.

Scenarij 4 — LLM gateway proxy

Najkompleksniji. Kada API gateway sjedi između korisnika i Bedrocka, per-user vidljivost zahtijeva da gateway poziva AssumeRole za svakog korisnika s distinktnim session imenom i tagovima. Omogućuje tenant-level ili user-level cost izolaciju u multi-tenant SaaS deploymentima.

Ovo je pattern koji SaaS građevine zapravo trebaju — i do sada ga je trebalo rješavati custom rješenjima.

Implementacijski koraci

AWS dokumentira jasan pet-stepni tok:

1. Identificirajte arhitekturni pattern (Scenarios 1-4)
2. Uključite IAM principal data u CUR 2.0 konfiguraciju
3. Primijenite tagove na IAM resurse ili konfigurirajte IdP session tag passing
4. Aktivirajte cost allocation tagove u AWS Billing konzoli
5. Pregledajte troškove u Cost Exploreru unutar 24 do 48 sati

Značajke

• Bez dodatne infrastrukture — radi s postojećim IAM mehanizmima
• Multi-model podrška — Claude, Nova i drugi Bedrock modeli
• Token-level granularnost — odvojeni input i output token troškovi po caller-u
• SaaS-ready — multi-tenant kroz session-based identity

Dostupno je u svim komercijalnim AWS regijama bez dodatnih naknada.

Kontekst

Enterprise adopcija LLM-ova fundamentalno se zaustavljala na “tko plaća koje pozive” pitanju. Kada je kompletan finansijski tok nemjerljiv, teško je opravdati AI projekte pred financijskim odjelima. AWS ovime brine jedan od glavnih nontehničkih blokera — što je korisniji potez nego većina novih modela.