So teilst du Amazon Bedrock KI-Modelle in deiner Organisation mit verwalteten Berechtigungen
Hook: Stell dir vor, du richtest ein neues KI-gestütztes Feature für deinen Kundensupport-Chatbot ein. Du möchtest, dass dasselbe Sprachmodell sowohl dem Entwicklungsteam als auch den Data-Science-Experten und den Marketinganalysten zur Verfügung steht – ohne dass jeder es einzeln kaufen muss. Mit verwalteten Berechtigungen kannst du genau das tun: Aus einem einzigen Abo wird eine gemeinsame Ressource für alle deine AWS-Konten.
1. Warum verwaltete Berechtigungen wichtig sind
Amazon Bedrock ist Amazons gehosteter Dienst für große Sprachmodelle (LLM – stell dir sie wie die Motoren hinter ChatGPT oder Claude vor). Normalerweise muss jedes AWS-Konto, das ein Bedrock-Modell nutzen möchte, über den AWS Marketplace eine Berechtigung erhalten. Das kann schnell zu einem undurchsichtigen Geflecht aus Lizenzen und Rechnungen werden. Verwaltete Berechtigungen ermöglichen es einem zentralen („Master“-)Konto, ein Modell einmalig zu erwerben und dann Nutzungsrechte an beliebig viele Mitgliedskonten innerhalb derselben Organisation zu verteilen.
2. Richte dein zentrales Konto ein
- Wähle ein „Hub“-Konto – dieses sollte das Konto sein, das bereits für Abrechnung und Compliance in deiner Organisation zuständig ist.
- Aktiviere Amazon Bedrock im Hub:
- Melde dich in der AWS Management Console an.
- Suche nach „Bedrock“ und klicke auf Aktivieren.
- Abonniere das gewünschte Modell über die Bedrock-Konsole oder den AWS Marketplace. Dadurch wird die erste Lizenz („Berechtigung“) für das Modell erstellt.
Berechtigung = eine Erlaubnis, die besagt: „Dieses Konto darf dieses Modell nutzen“. Stell dir das wie einen Bibliotheksausweis vor, mit dem du ein bestimmtes Buch ausleihen darfst.
3. Erstelle und konfiguriere verwaltete Berechtigungen
- Öffne im Hub-Konto die Seite Bedrock → Berechtigungen.
- Klicke auf Verwaltete Berechtigung erstellen.
- Wähle das Modell aus, für das du dich abonniert hast, und gib der Berechtigung einen klaren Namen (z. B. „Kundensupport-LLM“).
- Definiere den Geltungsbereich – du kannst die Berechtigung auf bestimmte AWS-Organisationen, Organisationseinheiten (OU) oder sogar einzelne Konto-IDs beschränken.
- Lege Nutzungslimits fest (optional): Du kannst z. B. die Anzahl der Anfragen pro Monat begrenzen, um die Kosten zu kontrollieren.
Organisationseinheit (OU) = eine ordnerähnliche Gruppierung von Konten innerhalb von AWS Organisationen, nützlich, um z. B. Finanzen, Entwicklung oder Marketing zu trennen.
4. Teile die Berechtigung mit Mitgliedskonten
- Wähle auf der Berechtigungen-Seite die neu erstellte Berechtigung aus und klicke auf Teilen.
- Wähle die Zielkonten oder OUs aus. Du kannst sie einzeln hinzufügen oder eine CSV-Liste mit Konto-IDs einfügen.
- Bestätige das Teilen. Die ausgewählten Konten sehen das Modell nun in ihrer Bedrock-Konsole – ohne dass sie den Marketplace-Zulassungsschritt durchlaufen müssen.
Quick Tip
Falls ein Team das Modell später nicht mehr benötigt, widerrufe einfach die Freigabe im Hub. Das Modell verschwindet automatisch aus der Konsole der betroffenen Konten – ohne manuelles Aufräumen.
5. Verwende das Modell in deinen Anwendungen
Sobald die Berechtigung eingerichtet ist, können Entwickler das Modell wie jede andere Bedrock-API aufrufen:
import boto3
client = boto3.client('bedrock-runtime')
response = client.invoke_model(
modelId='arn:aws:bedrock:us-east-1::foundation-model/customer-support-llm',
body='{"prompt":"Wie kann ich mein Passwort zurücksetzen?"}'
)
print(response['body'])
- boto3 ist das AWS SDK für Python (stell es dir wie eine Werkzeugkiste vor, die deinen Code mit AWS-Diensten verbindet).
- modelId verweist auf das geteilte Modell; die ARN (Amazon Resource Name) enthält den Namen der Berechtigung, die du vergeben hast.
- Das SDK berücksichtigt automatisch die Berechtigung, sodass keine zusätzlichen Authentifizierungsschritte nötig sind – außer den üblichen IAM-Rollen oder Benutzeranmeldedaten.
6. Überwachung und Kostenmanagement
Da die gesamte Nutzung über das zentrale Konto abgerechnet wird, kannst du:
- Einen einzigen Kostenbericht in der AWS-Abrechnungskonsole einsehen.
- Budgets einrichten, die dich warnen, wenn das Modell mehr Anfragen stellt als geplant.
- CloudWatch-Metriken (z. B. Anfrageanzahl, Latenz) nutzen, um die Leistung über alle Teams hinweg zu überwachen.
Was das für dich bedeutet
- Für IT-Manager: Eine Lizenz, viele Nutzer. Du behältst die Compliance einfach, vermeidest doppelte Käufe und behältst die volle Kontrolle darüber, wer das Modell nutzen darf.
- Für Entwicklungsteams: Kein Warten auf Marketplace-Freigaben. Starte direkt mit Tests und Iterationen auf demselben LLM, das später in deiner Produktions-App eingesetzt wird.
- Für Finanzverantwortliche: Konsolidierte Abrechnung macht es einfach, die KI-Ausgaben auf Projekte oder Abteilungen zu verteilen.
- Wenn du gerade erst startest: Probiere ein Testmodell im Hub-Konto aus, erstelle eine verwaltete Berechtigung und teile sie mit einem Sandbox-Konto. Du wirst den gesamten Ablauf in unter einer Stunde durchlaufen.
Fazit
Verwaltete Berechtigungen verwandeln eine potenziell unübersichtliche KI-Bereitstellung über mehrere Konten in ein sauberes, zentral verwaltetes System. Durch ein einziges Abo im Hub-Konto ermöglichst du jedem Team die Nutzung desselben Amazon Bedrock-Modells – während Kosten, Lizenzen und Sicherheit unter einem Dach bleiben.
Nächster Schritt: Öffne deine AWS-Konsole, aktiviere Bedrock in einem zentralen Konto und erstelle eine Testberechtigung für ein Modell deiner Wahl. Teile es mit einem Kollegenkonto und führe den oben stehenden Beispielcode aus – du wirst sofort den Vorteil eines einheitlichen KI-Zugriffs erleben.
