View a markdown version of this page

モデルへのアクセスをリクエストする - Amazon Bedrock
製品 ID を使用して基盤モデルへのアクセスをリクエストするアクセス許可を付与するSDK と CLI を使用してモデルアクセスを管理するAWS GovCloud (米国) で Amazon Bedrock 基盤モデルにアクセスする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

モデルへのアクセスをリクエストする

すべての Amazon Bedrock 基盤モデルへのアクセスは、適切な AWS Marketplace アクセス許可でデフォルトで有効になっています。開始するには、Amazon Bedrock コンソールのモデルカタログからモデルを選択してプレイグラウンドで開くか、InvokeModel または Converse API オペレーションを使用してモデルを呼び出します。Amazon Bedrock でサポートされているさまざまなモデルの詳細については、「Amazon Bedrock 基盤モデルの情報」を参照してください。モデルの料金の詳細については、「Amazon Bedrock の料金」を参照してください。

すべての Amazon Bedrock 基盤モデルへのアクセスは、すべての商用 AWS リージョンで適切な AWS Marketplace アクセス許可を使用するとデフォルトで有効になります。サードパーティーモデルへのプログラムによるアクセスについては、「」を参照してくださいSDK と CLI を使用してモデルアクセスを管理する

自動モデルアクセスについて

アカウントで初めてサードパーティーモデルを呼び出すと、Amazon Bedrock はバックグラウンドでサブスクリプションプロセスを自動的に開始します。この設定期間中 (最大 15 分)、サブスクリプションの確定中に API コールが一時的に成功することがあります。前提条件がない場合、サブスクリプションの試行は失敗し、後続の API コールは を返しますAccessDeniedException。必要なアクセス許可を付与した後、サブスクリプションが完了するまでに最大 2 分かかる場合があります。この間、API コールは引き続き を返す可能性がありますAccessDeniedException。サブスクリプションが完了すると、それ以降のすべての呼び出しは成功します。これを完全に回避するには、本番環境でモデルを呼び出す前に、すべての前提条件を確認してください。

モデルへのアクセスを成功させるための前提条件:

  1. AWS Marketplace アクセス許可: IAM ロールには、aws-marketplace:Subscribeaws-marketplace:Unsubscribe、および アクセスaws-marketplace:ViewSubscriptions許可が必要です。詳細については、「製品 ID を使用して Amazon Bedrock 基盤モデルへのアクセスをリクエストする IAM アクセス許可を付与する」を参照してください。

  2. Anthropic モデル: Anthropic モデルの場合、モデルを呼び出す前に初回使用 (FTU) フォームを完了する必要があります。

  3. 有効な支払い方法: AWS アカウントには、AWS Marketplace の購入用に有効な支払い方法が設定されている必要があります。

注記

Anthropic では、初めてのお客様は、アカウントごとに 1 回、または組織の管理アカウントで 1 回、モデルを呼び出す前にユースケースの詳細を送信する必要があります。Amazon Bedrock コンソールでモデルカタログから Anthropic モデルを選択するか、PutUseCaseForModelAccess API コマンドを呼び出すと、ユースケースの詳細を送信できます。モデルへのアクセスは、ユースケースの詳細が正常に送信された直後に付与されます。ルートアカウントのフォーム送信は、同じ AWS Organization 内の他のアカウントによって継承されます。

注記

3P モデルの場合、モデルを初めて呼び出し/使用することで、該当するエンドユーザーライセンス契約に同意したことになります。詳細については、「AWS のサービス条件」および「サーバーレスサードパーティーモデルライセンス契約」を参照してください。

モデルの使用を許可する前に EULA を確認して同意する必要がある組織は、以下を行う必要があります。

  1. サービスコントロールポリシー (SCP) または IAM ポリシーを使用して、最初にモデルへのアクセスをブロックする

  2. EULA の条件を確認する

  3. EULA 条件に同意する場合にのみ、SCP/IAM ポリシーを通じてモデルへのアクセスを有効にする

トピック

製品 ID を使用して Amazon Bedrock 基盤モデルへのアクセスをリクエストする IAM アクセス許可を付与する

カスタム IAM ポリシーを作成することで、モデルへのアクセス許可を管理できます。Amazon Bedrock 基盤モデルへのアクセスを変更するには、まず、Amazon Bedrock へのアクセスを許可する IAM ロールに、以下のAWS Marketplace アクションを含むアイデンティティベースの IAM ポリシーをアタッチする必要があります。

アカウント AWS Marketplace で から提供される Amazon Bedrock サーバーレスモデルを初めて呼び出すと、Bedrock はアカウントのモデルを自動的に有効にしようとします。この自動有効化を機能させるには、 AWS Marketplace アクセス許可が必要です。

アクセス AWS Marketplace 許可を引き受けることができない場合、アクセス AWS Marketplace 許可を持つユーザーは、アカウントのモデルを 1 回限りのステップ (手動または自動有効化) として有効にする必要があります。有効にすると、アカウントのすべてのユーザーは、アクセス許可を必要と AWS Marketplace せずにモデルを呼び出すことができます。ユーザーは、有効にした後でモデルを呼び出すために AWS Marketplace サブスクリプションのアクセス許可を必要としません。これらのアクセス許可は、モデルがアカウントで初めて使用される場合にのみ必要です。

製品 ID を使用した Amazon Bedrock サーバーレス基盤モデルへのアクセスは、次の IAM アクションによって制御されます。

IAM アクション 説明 適用するモデル
aws-marketplace:Subscribe

IAM エンティティが Amazon Bedrock 基盤モデルなどの AWS Marketplace 製品をサブスクライブできるようにします。

 AWS Marketplace.の製品 ID を持つ Amazon Bedrock サーバーレスモデルのみ
aws-marketplace:Unsubscribe IAM アイデンティティが Amazon Bedrock 基盤モデルを含む AWS Marketplace 製品のサブスクリプションを解除できるようにします。 AWS Marketplace.の製品 ID を持つ Amazon Bedrock サーバーレスモデルのみ
aws-marketplace:ViewSubscriptions IAM アイデンティティが Amazon Bedrock 基盤モデルを含む AWS Marketplace 製品のリストを返すことを許可します。 AWS Marketplace.の製品 ID を持つ Amazon Bedrock サーバーレスモデルのみ
注記

aws-marketplace:Subscribe アクションでのみ、aws-marketplace:ProductId 条件キーを使用して、特定のモデルへのサブスクリプションを制限できます。

IAM ID が製品 ID を持つモデルへのアクセスをリクエストする場合

ID には、aws-marketplace:Subscribe を許可するポリシーがアタッチされている必要があります。

注記

ID が 1 つの AWS リージョンのモデルに既にサブスクライブしている場合、 が他の AWS リージョンでaws-marketplace:Subscribe拒否されていても、そのモデルは、そのモデルが利用可能なすべてのリージョンでアクセスをリクエストできるようになります。

ポリシーの作成については、「クイックスタート」を参照してください。

aws-marketplace:Subscribe アクションでのみ、aws-marketplace:ProductId 条件キーを使用して、特定のモデルへのサブスクリプションを制限できます。

注記

次のプロバイダーのモデルは販売されておらず AWS Marketplace 、製品キーがないため、aws-marketplaceアクションの範囲を設定することはできません。

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

ただし、Amazon Bedrock アクションを拒否し、Resource フィールドにこれらのモデル ID を指定することで、これらのモデルの使用を防ぐことができます。例については、アクセスが既に付与された後に ID がモデルを使用できないようにするを参照してください。

セクションを選択すると、特定のユースケースの IAM ポリシーの例が表示されます。

ID が製品 ID を持つモデルへのアクセスをリクエストしないようにする

IAM エンティティが製品 ID を持つ特定のモデルへのアクセスをリクエストしないようにするには、aws-marketplace:Subscribe アクションを拒否する IAM ポリシーをユーザーにアタッチし、Condition フィールドのスコープをモデルの製品 ID に設定します。

例えば、次のポリシーを ID にアタッチして、Anthropic Claude 3.5 Sonnet モデルへのサブスクライブを防ぐことができます。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
注記

Amazon Bedrock はバックグラウンドでサブスクリプションを自動的に開始するため、aws-marketplace:Subscribe単独で拒否しても最初のモデル呼び出しはブロックされません

最初からモデルアクセスをブロックするには、組織 (SCP) またはアカウント (IAM) レベルで拒否ポリシーを適用しますbedrock:InvokeModel

注記

このポリシーでは、IAM エンティティはデフォルトで新しく追加されたすべてのモデルにアクセスできます。

ID が少なくとも 1 つのリージョンで既にモデルをサブスクライブしている場合、このポリシーは他のリージョンでのアクセスを妨げません。代わりに、アクセスが既に付与された後に ID がモデルを使用できないようにする の例を参照することで、その使用を防ぐことができます。

アクセスが既に付与された後に ID がモデルを使用できないようにする

IAM ID にモデルへのアクセス権が既に付与されている場合は、すべての Amazon Bedrock アクションを拒否し、Resource フィールドのスコープを基盤モデルの ARN に設定することで、モデルの使用を防ぐことができます。

たとえば、次のポリシーを ID にアタッチして、すべての AWS リージョンでAnthropicClaude 3.5 Sonnetモデルが使用されないようにできます。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

SDK と CLI を使用してモデルアクセスを管理する

モデルへのアクセスは、モデルの呼び出しに加えて SDK を使用して管理できます。以下のステップを使用して、モデルアクセスを作成/削除したり、アクセスが既に存在するかどうかを確認したりできます。これはサードパーティーモデルにのみ適用されます。

プログラムでモデルアクセスを管理するには、次の手順に従います。

前提条件

  • SDK/CLI に使用される IAM ユーザー/ロールに AmazonBedrockFullAccess ポリシーをアタッチします。

  • Bedrock SDK のセットアップ: Amazon Bedrock 用の AWS SDK のセットアップ

    注: 以下の手順では、例に python3 を使用します。

  • を使用している場合 AWS CLI、これらのコマンドには AWS CLI バージョン 2.27.42 以降が必要です。aws --version を実行してバージョンを確認し、必要に応じて更新します。

  • アクセスを管理する必要があるモデルの modelId を書き留めます。

ステップ 1: 基盤モデル契約オファーを一覧表示する

この API を使用して、特定のモデルの契約オファーを取得します。これにより、次のステップでモデルアクセスを作成するために使用される offerToken が提供されます。

ドキュメント

AWS CLI
aws bedrock list-foundation-model-agreement-offers --model-id <ModelId>
Python
# Placeholder for modelId
model_id = "<enter model id here>" 
# Placeholder for offerId
offer_id = "<enter offer id here>"
try:
    # offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
    model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
    print(model_agreement_offers_response)
except ClientError as e:
    print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")

ステップ 2: [Anthropic モデルでのみ 1 回のみ必要] 初めて使用するユーザーのユースケースを設定する

Anthropic モデルにのみ必要な初めてのユーザーユースケースフォームを配置するために使用されます。これは、アカウントの Anthropic モデルにアクセスするための前提条件です。この API は、このフォームを再度入力する必要があるオプトインリージョンを除き、すべての商用リージョンでアカウントまたは AWS 組織ごとに 1 回のみ必要です。

ドキュメント

AWS CLI
aws bedrock put-use-case-for-model-access \
  --form-data <Base64EncodedFormData>
Python
# Placeholder for form data, replace the names
COMPANY_NAME = "<enter company name here>"
COMPANY_WEBSITE = "<enter company website here>"
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = "<enter industry option here>"
OTHER_INDUSTRY_OPTION = "<enter other industry option here>"
USE_CASES = "<enter use cases here>"
form_data = {
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)

CLI の場合、フォームデータは base64 でエンコードされた以下の形式の JSON です。

{
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}

  • COMPANY_NAME: 最大長が 128 の文字列

  • COMPANY_WEBSITE: 最大長が 128 の文字列

  • 意図されたユーザー: 0、1、または 2。0: 内部、1: 外部、2: Internal_and_External

  • INDUSTRY_OPTION: 最大長が 128 の文字列

  • OTHER_INDUSTRY_OPTION: 最大長が 128 の文字列

  • USE_CASES: 最大長が 8192 の文字列

ステップ 3: 基盤モデル契約を作成する

基盤モデルの契約 (アクセス) を作成するために使用されます。上記のオファートークンと modelId を使用します。

ドキュメント

AWS CLI
aws bedrock create-foundation-model-agreement \
  --model-id <ModelId> \
  --offer-token <OfferToken>
Python
offer_token= ''

for agreement_offer in model_agreement_offers_response['offers']:
    if  agreement_offer['offerId'] == offer_id:
            
            offer_token = agreement_offer['offerToken']
            print(f"offer token found. Offer token is {offer_token}")
            break


if(not offer_token):
    print(f"Offer token for  modelId: {model_id} is not found")
    
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)

ステップ 4: 基盤モデルの可用性を取得する

基盤モデルに現在アクセス権があるかどうかを確認するために使用されます。上記の modelId を使用します。

ドキュメント

AWS CLI
aws bedrock get-foundation-model-availability \
  --model-id <ModelId>
Python
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
予想されるレスポンス

agreementAvailability - アクセスが存在するAVAILABLE場合、NOT_AVAILABLEアクセスは存在しません。

{
  "modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
  "agreementAvailability": {
    "status": "AVAILABLE"
  },
  "authorizationStatus": "AUTHORIZED",
  "entitlementAvailability": "AVAILABLE",
  "regionAvailability": "AVAILABLE"
}

[オプション] ステップ 5: 基盤モデル契約を削除する

基盤モデル契約 (アクセス) を削除するために使用します。上記の modelId を使用します。

注記

モデルアクセスを削除すると、モデルを呼び出すと再びアクセスが作成されるため、今後アクセスをブロックするには不十分です。アクセスが再度作成されないようにするには、制限付き拒否 IAM ポリシーをモデルに適用します。

ドキュメント

AWS CLI
aws bedrock delete-foundation-model-agreement \
  --model-id <ModelId>
Python
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)

AWS GovCloud (米国) で Amazon Bedrock 基盤モデルにアクセスする

AWS GovCloud (米国) アカウントは、標準の AWS 商用アカウントと one-to-one でリンクされます。このリンクされた商用アカウントは、請求、サービスアクセス、サポート目的、Amazon Bedrock Model Marketplace へのアクセスに使用されます。GovCloud と商用アカウントの関係の詳細については、「AWS GovCloud (米国) での標準アカウントのリンク」を参照してください。

サードパーティーモデルの場合、AWS GovCloud アカウントに加えて、リンクされた AWS 商用アカウントの両方でモデルアクセスを有効にする必要があります。Amazon Bedrock が提供するモデルの場合、モデルアクセスは GovCloud アカウントでのみ有効にする必要があります。これは手動プロセスです。

リンクされた AWS 商用アカウントで AWS GovCloud のモデルアクセスを有効にする (サードパーティーモデルのみ)

モデルアクセスは、次の 2 つの方法で AWS 商用アカウントで有効にできます。

  1. us-east-1 またはus-west-2リージョンで AWS 商用アカウントに必要なモデルを呼び出します。

  2. us-east-1 またはus-west-2リージョンの AWS 商用アカウントの SDK/CLI を使用して、モデルへのアクセスをプログラムで有効にします。これを行うには、前のセクションで説明したステップに従います。

AWS GovCloud アカウントのモデルアクセスの有効化

AWS GovCloud (米国) では、us-gov-west-1リージョンの Amazon Bedrock コンソールのモデルアクセスページを使用して、以下に示すように基盤モデルを有効にします。

  1. Amazon Bedrock 基盤モデルへのアクセスをリクエストしたり、アクセスを変更したりするためのモデルアクセスをリクエストするアクセス許可があることを確認してください。使用するユーザー/ロールに AmazonBedrockFullAccess ポリシーをアタッチすることをお勧めします。

  2. https://console.aws.amazon.com/bedrock/us-gov-west-1リージョンで Amazon Bedrock コンソールにサインインします。

  3. 左側のナビゲーションペインの [Bedrock 設定] で、[モデルアクセス] を選択します。

  4. [モデルアクセス] ページで、[モデルアクセスを変更] を選択します。

  5. アカウントにアクセス権を付与するモデルを選択し、アカウントにアクセス権を付与しないモデルの選択を解除します。次のオプションがあります。

    1. モデルへのアクセスをリクエストする前に、End User License Agreement (EULA) でモデルの使用条件を確認します。

    2. 個々のモデルの横にあるチェックボックスを選択して、チェックボックスをオンまたはオフにします。

    3. 上部のチェックボックスを選択すると、すべてのモデルのチェックボックスをオン/オフにできます。

    4. モデルをグループ化する方法を選択し、グループの横にあるチェックボックスをオンにして、グループ内のすべてのモデルをオン/オフにします。たとえば、プロバイダー別にグループ化を選択し、Cohere の横にあるチェックボックスを選択して、すべての Cohere モデルをオンまたはオフにすることができます。

  6. [次へ] を選択します。

  7. Anthropic モデルへのアクセスを追加する場合は、ユースケースの詳細を記述する必要があります。[ユースケースの詳細の送信] を選択し、フォームを入力したら、[フォームを送信] を選択します。プロバイダーのフォームに入力すると、回答に基づいてアクセスの通知が付与または拒否されます。

  8. アクセスの変更を確認したら、[条件] を読みます。

  9. 条件に同意する場合は、[送信] を選択します。変更がコンソールに反映されるまで数分かかる場合があります。

  10. リクエストが成功すると、[アクセス状態][アクセス許可済み] または [リクエストで利用可能] になります。