Administrar el acceso al modelo de IA en docenas o cientos de cuentas de AWS crea un dilema. O otorga permisos amplios a AWS Marketplace, arriesgándose a problemas de gobernanza, o habilita manualmente las suscripciones en cada cuenta. Para las organizaciones que utilizan modelos de terceros como Anthropic Claude o Cohere, esta sobrecarga operativa ralentiza la adopción de la IA.
En esta publicación, le mostramos cómo utilizar derechos administrados para Amazon Bedrock para suscribirse una vez desde una cuenta central y distribuir el acceso al modelo en toda su organización. Este enfoque elimina la necesidad de permisos de AWS Marketplace en las cuentas de cargas de trabajo. Los derechos administrados complementan otras capacidades de Amazon Bedrock, como la evaluación de modelos y las barreras de seguridad, al garantizar que sus equipos puedan acceder a los modelos que necesitan mientras mantienen la gobernanza centralizada.
En esta publicación, explicamos cuándo los derechos administrados son la solución adecuada para su organización, recorremos el flujo de trabajo de cuatro pasos, demostramos escenarios del mundo real y cubrimos consideraciones importantes para ofertas privadas y comportamiento regional.
Comprender cómo se distribuyen los diferentes modelos es clave para saber cuándo necesita derechos administrados. La siguiente tabla muestra tres categorías:
Categoría de modelo Ejemplos Método de acceso Modelos de Amazon Amazon Nova Disponible inmediatamente con permisos de Amazon Bedrock Modelos vendidos por Amazon Meta, Mistral, DeepSeek Disponible inmediatamente con permisos de Amazon Bedrock Modelos de AWS Marketplace Anthropic Claude, Cohere, Stability AI Requiere suscripción a AWS Marketplace
Tanto para los modelos de Amazon como para los vendidos por Amazon, el acceso simplificado recientemente introducido significa que puede comenzar a invocarlos inmediatamente sin necesidad de configuración adicional. Los modelos de terceros distribuidos a través de AWS Marketplace funcionan de manera diferente. Cada cuenta necesita una suscripción antes de invocar estos modelos, lo que significa que cada cuenta necesita permisos de AWS Marketplace. Para las organizaciones que administran muchas cuentas, esto genera una sobrecarga operativa. O otorga permisos amplios a AWS Marketplace o hace que alguien habilite manualmente los modelos en cada cuenta.
Los derechos administrados para Amazon Bedrock cierran esta brecha. Suscríbase una vez desde una cuenta central y luego distribuya el acceso en toda su organización mediante AWS License Manager. No se necesitan permisos de AWS Marketplace en las cuentas de miembros.
¿Cuándo necesita derechos administrados?
Los derechos administrados están diseñados para organizaciones que ejecutan cargas de trabajo en varias cuentas de AWS, desean evitar otorgar permisos de AWS Marketplace a cuentas de cargas de trabajo, han negociado precios de ofertas privadas y desean tarifas consistentes en todas las cuentas, o necesitan visibilidad centralizada del acceso a los modelos en toda su organización. Se aplica solo cuando se utilizan modelos de AWS Marketplace de terceros, como Anthropic Claude, AI21 Labs, Cohere y Stability AI.
Es posible que no necesite derechos administrados si solo utiliza modelos de Amazon y socios (como Amazon Titan, Llama, Mistral o DeepSeek), opera en una única cuenta de AWS o si cada equipo de cuentas ya administra sus propias suscripciones a AWS Marketplace de forma independiente.
Requisitos previos
Antes de implementar derechos administrados, verifique que tenga implementado lo siguiente:
AWS Organizations con todas las funciones habilitadas: los derechos administrados requieren que AWS Organizations esté configurado con todas las funciones habilitadas. Acceso a la cuenta de administración: necesita acceso a su cuenta de administración con permisos tanto para AWS Marketplace como para AWS License Manager. Cuentas de miembros: las cuentas donde desea distribuir el acceso al modelo. Roles vinculados a servicios (SLR): roles predefinidos de AWS Identity and Access Management (IAM) que están vinculados directamente a los servicios de AWS. Para derechos administrados, debe crear SLR tanto para AWS License Manager como para AWS Marketplace. Estos roles incluyen todos los permisos que los servicios requieren para llamar a otros servicios de AWS en su nombre.
como funciona
Piense en una licencia como el derecho de su organización a utilizar un modelo y en las concesiones como el mecanismo para compartir ese derecho con cuentas específicas. Una licencia puede tener varias concesiones, por lo que puedes distribuir el acceso a muchas cuentas desde una única suscripción.
El flujo de trabajo de derechos administrados consta de cuatro pasos principales, como se muestra en el siguiente diagrama:
Para implementar derechos administrados:
Suscríbase a un modelo: desde su cuenta de administración, se suscribe a un modelo de Amazon Bedrock de terceros a través de AWS Marketplace. Esto sucede cuando se suscribe al modelo a través de AWS Marketplace. Puede suscribirse a través de la consola de AWS Marketplace o aceptando una oferta privada. Después de suscribirse, AWS License Manager crea automáticamente una licencia. Verificar la creación de la licencia: AWS License Manager crea automáticamente una licencia para su suscripción. Esta licencia representa su derecho a utilizar el modelo y sirve como base para la distribución a otras cuentas. Crear subvenciones: con AWS License Manager, puede crear subvenciones para compartir la licencia con cuentas de miembros específicas en sus AWS Organizations. Tú controlas exactamente qué cuentas reciben acceso a cada modelo. Activar y usar: las cuentas de los miembros reciben notificaciones de sus subvenciones. Después de activar la concesión, pueden comenzar inmediatamente a invocar el modelo. No se necesitan permisos de AWS Marketplace ni suscripciones adicionales.
Una cuenta de miembro aún puede invocar un modelo sin suscribirse a una oferta privada o una subvención activada, pero se facturará a un precio público.
Escenarios del mundo real
Escenario 1: habilitar un modelo en toda su organización
Situación: sus equipos necesitan acceso a un nuevo modelo de Anthropic Claude en 50 cuentas de carga de trabajo. No desea otorgar permisos aws-marketplace:Subscribe a cada cuenta y no desea habilitar manualmente los modelos, una cuenta a la vez.
Solución: desde su cuenta de administración (que tiene permisos de AWS Marketplace), suscríbase a la oferta privada de AWS Marketplace. AWS License Manager crea automáticamente una licencia. Cree subvenciones para sus 50 cuentas de carga de trabajo y distribúyalas entre cuentas individuales, una organización o una unidad organizativa (OU). Cada cuenta puede activar su subvención individualmente o las subvenciones se pueden activar a nivel de organización. Luego, los equipos pueden invocar el modelo sin permisos de AWS Marketplace en sus cuentas.
Resultado: suscripción central, acceso distribuido, sin permisos de AWS Marketplace en cuentas de carga de trabajo.
Escenario 2: Implementación del modelo por fases
Situación: desea probar un nuevo modelo con equipos seleccionados antes de que esté disponible en toda la organización. Necesita visibilidad sobre quién usa qué y la capacidad de ampliar el acceso de forma incremental.
Solución: Suscríbase desde su cuenta de administración y luego cree subvenciones solo para cuentas piloto. A medida que el piloto tenga éxito, ampliar las subvenciones a cuentas adicionales. AWS License Manager proporciona visibilidad del estado de las concesiones en toda su organización.
Resultado: Implementación controlada con un registro de auditoría claro de qué cuentas tienen acceso y cuándo lo activaron.
Escenario 3: Distribución de ofertas privadas
Situación: ha negociado precios personalizados con un proveedor de modelos a través de AWS Marketplace. Necesita que cada cuenta utilice este precio en lugar de crear sus propias suscripciones.
Solución: Pídale al proveedor que extienda la oferta privada a la cuenta de administración. Acepta la oferta privada desde tu cuenta de gestión. La licencia creada refleja los términos negociados. Distribuya el acceso mediante subvenciones para verificar que el uso entre las cuentas de los miembros fluya a través de su acuerdo.
Resultado: precios consistentes en toda su organización con asignación de costos simplificada.
Escenario 4: implementación rápida en toda la organización
Situación: Su organización ha estandarizado un modelo para cargas de trabajo de IA. Quiere que todas las cuentas de sus organizaciones de AWS tengan acceso de inmediato.
Solución: Suscríbase desde su cuenta de administración y luego distribúyala a toda su organización en un solo paso distribuyendo la subvención a todas las organizaciones de AWS (en lugar de cuentas seleccionadas) como objetivo.
Eso es todo. Las cuentas de miembros reciben automáticamente la subvención. Para las organizaciones con todas las funciones habilitadas, la organización acepta subvenciones automáticamente, pero aparecen en estado Deshabilitado hasta que el administrador de la cuenta las activa explícitamente. Esto proporciona un punto de control final antes de que comience el uso del modelo.
Resultado: todas las cuentas de su organización obtienen acceso al modelo con una única concesión. Las nuevas cuentas agregadas a la organización heredan automáticamente el acceso sin necesidad de crear subvenciones adicionales.
Consideraciones
Antes de implementar derechos administrados, tenga en cuenta lo siguiente para asegurarse de que su implementación se realice sin problemas.
Asignación de costos
Los costos de uso del modelo se facturan a la cuenta de administración que posee la suscripción. Utilice etiquetas de asignación de costos de AWS para realizar un seguimiento del uso por cuenta de miembro o equipo.
ofertas privadas
Cuando se trabaja con ofertas privadas negociadas a través de AWS Marketplace, el flujo de trabajo de derechos administrados sigue siendo el mismo. Acepte la oferta privada desde su cuenta de administración y la licencia se creará automáticamente. Luego puede distribuir el acceso a las cuentas de los miembros mediante subvenciones.
Las ofertas privadas suelen incluir precios personalizados, condiciones de pago o acuerdos de soporte adicionales. Estos términos se aplican al uso del modelo por parte de su organización, independientemente de qué cuentas de miembros lo invoquen. Revise atentamente los términos de la oferta antes de aceptar y distribuir el acceso.
Suscripciones existentes
Cuando las cuentas de miembros tienen modelos activos de Amazon Bedrock y su cuenta de pago les distribuye una suscripción al mismo modelo, los derechos a la primera suscripción se desactivan y ahora tienen derechos sobre la nueva subvención distribuida.
Comportamiento regional
Si bien puede invocar modelos en regiones de AWS admitidas, AWS License Manager crea licencias en us-east-1. La creación y activación de concesiones también se realizan a través del punto final us-east-1 para AWS License Manager, incluso si sus cargas de trabajo se ejecutan en otras regiones.
Limpiar recursos
Si ya no necesitas una suscripción modelo:
Elimine concesiones de cuentas de miembros en AWS License Manager. Cancele la suscripción a AWS Marketplace desde su cuenta de administración. Verifique que las cuentas de los miembros ya no se facturen con tarifas privadas.
Nota: Cancelar una suscripción no elimina automáticamente las subvenciones. Debe eliminar las subvenciones por separado para revocar los precios privados.
Conclusión
En esta publicación, le mostramos cómo utilizar derechos administrados para Amazon Bedrock para centralizar suscripciones de modelos de terceros y distribuir el acceso en toda su organización sin otorgar permisos de AWS Marketplace a las cuentas de carga de trabajo.
Los derechos administrados para Amazon Bedrock representan una mejora significativa en la forma en que las organizaciones administran el acceso a modelos de terceros a escala. Sus suscripciones existentes continúan funcionando sin interrupciones y puede comenzar a utilizar inmediatamente el flujo de trabajo de distribución centralizado para nuevas suscripciones mientras mantiene los controles de gobierno de su organización.
Al centralizar la administración de suscripciones y evitar la necesidad de permisos de AWS Marketplace por cuenta, puede concentrarse en crear aplicaciones de IA en lugar de administrar la infraestructura de acceso.
Próximos pasos
¿Listo para implementar derechos administrados? Empiece por:
Identificar qué modelos de terceros utiliza su organización. Revisar su enfoque de suscripción actual en todas las cuentas. Implementar derechos administrados para un modelo como piloto. Ampliando a modelos y cuentas adicionales según sus resultados.
También puede explorar la combinación de derechos administrados con AWS Service Catalog para crear flujos de trabajo de acceso a modelos de autoservicio para sus equipos.
Si tiene preguntas o desea compartir cómo administra el acceso a los modelos en sus cuentas de AWS, deje un comentario.