AWS为Amazon Bedrock引入按IAM主体进行细粒度成本归因
为什么重要
Amazon Bedrock现在按IAM主体——调用API的特定用户、角色或联合身份——跟踪推理成本。该功能无需额外付费即可与AWS Cost and Usage Reports(CUR 2.0)和Cost Explorer集成。支持四种访问场景:直接IAM用户、应用程序角色、联合身份验证和LLM网关代理模式。在所有商业AWS区域可用。
亚马逊网络服务于2026年4月17日发布了Amazon Bedrock的新功能,解决了使用托管LLM服务的主要企业问题之一:谁消费了多少。作者Ba’Carri Johnson、Ajit Mahareddy、Sofian Hamiti和Vadim Omeltchenko详细介绍了四种该功能带来价值的架构场景。
问题:一个API,多个用户
典型的企业Bedrock部署有数十个团队和数百个应用程序调用相同的模型。经典的AWS账单显示总成本,但不显示谁产生了这些成本——这意味着CFO无法决定谁支付什么。
新功能通过追踪IAM主体——发起每次推理调用的特定IAM用户、角色或联合身份——来解决这个问题。
工作原理
CUR 2.0(成本和使用报告)中的line_item_iam_principal列显示身份的ARN。数据直接流入AWS Cost Explorer,可在其中过滤、分组和可视化。
整个解决方案无额外费用且无需额外基础设施——使用现有的IAM机制。
可选标记
为了在更高层次上聚合,组织可以在IAM资源上添加成本分配标签:
- 主体标签 — 永久分配给用户或角色
- 会话标签 — 在AssumeRole期间动态传递或来自身份提供商断言
标记数据以iamPrincipal/前缀流入Cost Explorer,支持按团队、项目、成本中心或自定义维度分组。
四种企业场景
场景1——直接IAM访问
个人开发人员使用IAM凭证或API密钥。归因是直接的。团队为用户添加元数据标签(部门、成本中心)用于部门退款。
场景2——应用程序访问
每个在AWS基础设施上运行的服务(Lambda、EC2、ECS)都假设其自己的IAM角色。Assumed-role ARN自动记录每个应用程序的成本,带有可选标签用于项目汇总。
场景3——联合身份验证
用户通过企业身份提供商(Okta、Azure AD、Auth0)进行身份验证并假设一个共享的IAM角色。ARN中的会话名称标识各个用户。来自IdP的会话标签带来团队/成本中心信息,无需管理每个用户的IAM资源。
场景4——LLM网关代理
最复杂的情况。当API网关位于用户和Bedrock之间时,每用户可见性要求网关为每个具有不同会话名称和标签的用户调用AssumeRole。在多租户SaaS部署中实现租户级或用户级成本隔离。
这是SaaS构建实际需要的模式——到目前为止需要定制解决方案。
实施步骤
AWS记录了清晰的五步流程:
- 识别架构模式(场景1-4)
- 在CUR 2.0配置中启用IAM主体数据
- 在IAM资源上应用标签或配置IdP会话标签传递
- 在AWS Billing控制台中激活成本分配标签
- 在24至48小时内在Cost Explorer中查看成本
功能特性
- 无额外基础设施 — 使用现有IAM机制
- 多模型支持 — Claude、Nova及其他Bedrock模型
- 令牌级粒度 — 按调用者分别统计输入和输出令牌成本
- SaaS就绪 — 通过基于会话的身份实现多租户
在所有商业AWS区域无额外费用可用。
背景
企业LLM采用从根本上受到”谁支付哪些调用”问题的阻碍。当整个财务流程无法衡量时,很难在财务部门面前为AI项目辩护。AWS通过此举消除了主要的非技术障碍之一——这比大多数新模型更实用。
本文由人工智能基于一手来源生成。