AWS Bedrock 推出托管授权，简化多账户模型访问

AWS 近日为其全托管基础模型服务 Amazon Bedrock 推出「托管授权」（managed entitlements）功能，旨在帮助企业在多账户环境下集中管理第三方模型的访问权限，降低运维开销，同时保持统一的治理与计费控制。

在传统模式下，Anthropic Claude、Cohere、Stability AI 等通过 AWS Marketplace 分发的第三方模型，需要每个工作负载账户单独订阅并具备 Marketplace 权限。对于拥有数十乃至数百个 AWS 账户的企业来说，这要么意味着放宽权限管控带来合规风险，要么意味着运维人员逐个账户手动开通，效率低下。

功能原理：从中心账户一次订阅，多账户共享

托管授权功能借助 AWS License Manager 实现授权分发。其核心思路是将「订阅」与「使用」解耦：在管理账户（management account）中完成一次第三方模型订阅，AWS License Manager 会自动生成对应许可证（license），管理员再通过创建「授权」（grant）将许可证分发给组织内的指定成员账户。成员账户激活授权后，即可直接调用模型，无需具备 Marketplace 权限或自行订阅。

这一机制覆盖以下关键流程：

• 订阅模型：在管理账户中通过 AWS Marketplace 控制台或接受私有报价（private offer）完成订阅。
• 自动生成许可证：订阅完成后，AWS License Manager 自动创建许可证，作为后续分发的依据。
• 创建授权：管理员按账户维度配置授权，精确控制哪些成员账户可访问特定模型。
• 激活与调用：成员账户收到通知后激活授权，即可立即调用模型。

值得注意的是，若成员账户未接受私有报价或激活授权，仍可调用模型，但将按公开定价计费。

适用场景与前提条件

托管授权主要面向以下企业需求：

• 在多个 AWS 账户中运行工作负载，需要统一模型访问策略。
• 希望避免向工作负载账户授予 Marketplace 权限，强化安全治理。
• 已与模型供应商协商私有报价，希望在各账户中保持一致的定价。
• 需要集中可视化地管理整个组织的模型访问情况。

若企业仅使用 Amazon 自有模型（Amazon Nova 等）或由 Amazon 代售的合作伙伴模型（Meta Llama、Mistral、DeepSeek 等），由于这些模型已可通过 Bedrock 权限直接调用，无需额外订阅，因此托管授权并非必需。同样地，单账户环境或各团队已独立管理自身订阅的组织也无需启用该功能。

实施前需确认以下前提：

• AWS Organizations 已启用全部功能（all features enabled）。
• 具备管理账户的访问权限，同时拥有 AWS Marketplace 与 AWS License Manager 的操作权限。
• 已为目标成员账户创建 AWS License Manager 与 AWS Marketplace 的服务关联角色（SLR）。

实际应用示例

以一个典型场景为例：某企业希望在 50 个工作负载账户中启用一款新的 Anthropic Claude 模型，同时不希望向这些账户授予 aws-marketplace:Subscribe 权限。借助托管授权，管理员只需在管理账户中接受私有报价，AWS License Manager 将自动创建许可证，再批量向 50 个成员账户创建授权，成员账户激活后即可立即调用，整个过程无需逐个账户手动操作。

此外，对于已签署企业级私有报价的客户，托管授权还能确保各账户适用一致的折扣价格，避免因账户分散订阅导致的定价不一致问题。