发生了什么
据 AWS Machine Learning Blog 发布的
公告,AWS 即日起为 Amazon Bedrock 推理服务推
出细粒度成本归因功能。该功能可自动将 Bedrock API 调用映射至发起请
求的 IAM 主体(principal),无需修改任何代码,也无需新
增任何资源。归因数据通过一个新增
字段 line_item_iam_principal 呈现于 AWS Cost and
Usage Reports 2.0(CUR 2.0)中,前提是在
数据导出配置中启用 IAM principal 数据选项。
该功能覆盖所有 IAM 身份类型:IA
M 用户、IAM 角色(包括 Lambda 执行角色)、映射至
IAM 用户的 Bedrock API 密钥,以及来自 Okta、Microsoft
Entra ID 等身份提供商的联合身份(federated identity)。对于联合用户,principal 字
段将以 assumed-role/Role/user
@acme.org 的格式呈现,完整保
留经 STS 角色扮演链追溯的原
始身份信息。
AWS 公布的
CUR 2.0 示例数据展示了按用户、按
模型拆分的 Token 费用明细——例如,
arn:aws:iam::123456789012:user/alice 在 Claude 4.
6 Sonnet 的输入 Token 上产
生了 $0.069 的费用,输出 Token 产生了 $0.214
;而 user/bob 在 Claude 4.6 Opus 上的
对应费用分别为 $0.198 和 $0.990。
为何重要
AI 推理成本正逐渐成为企业云支出中不可 忽视的重要组成部分。此前,Bedrock 的费用以账户级别的汇总形 式呈现,缺乏拆分维度,导致团队级成 本分摊(chargeback)模型和针对性优化几 乎无法实现,必须依赖定制化的日志采集管道。此 次更新将这一负担直接转移至 AWS 原 生计费基础设施。
- 成本分摊与 展示(Chargeback & Showback):财务团队和 平台团队现在可以直接基于 CUR 2.0 生成部门级 AI 支出报告,无需构建代理层或解析 CloudWatch 日志。
- 模型级成本问责:由
于使用类型(usage type)字段同时编码了模型信息(如
Claude4. 6Opus)和 Token 方向(input-tokens、output-tokens),团队可以清 晰识别哪些 principal 在调用高成本模型,并判 断输出密集型工作负载(通常比输入贵 3 至 5 倍)是否具 备合理性。 - 联合身份支持:使用 Okta 或 Entra ID 进行员 工身份管理的企业,无需为每位员工单独创建 AWS IAM 用 户即可实现个人级成本归因——对于已有 SSO 体 系的大型组织而言,这意味着显著降低运维复杂度。
对于平台工程团队而言,这一变化带来的深远影响在于:AI 的成本治理现在可以在 IAM 策略层面直接执行,而不 再依赖应用层面繁琐的标签规范。
技术细节
成本归因通过两种机制实现,且二者可以组合使用:
Principal Tags(主体标签)
直接附加在 IAM 用户或角色上的标签,
会自动传播至该 principal 发
起的每一个请求。只需在身份层面配
置一次,无需对每个请求进行单独埋点。在 AWS
Billing 中激活为成本分配标签(cost allocation tags)后,这些标签将以
iamPrincipal/ 前缀出现在 CUR 2.0 的标签列中。
Session Tags(会话标签)
在角色扮演(role assumption)时通
过 AWS STS 动态传递,或嵌入在身份提供商的
SAML/OIDC 断言中。这一机制支持针对临时性工
作负载的基于属性的成本分配(attribute-based cost allocation)——例如,CI/CD 流水线在
扮演某角色时携带 project=inference-api 会话标签,即可将
该次运行产生的 Bedrock 费用自动归入
Cost Explorer 中对应的项目桶。
两
种标签类型均可在 AWS Cost Explorer 和 CUR 2.0 中进行查询,支持按团队、成
本中心、环境或任意自定义维度进行分组。line_item_iam_principal 字
段只需在 CUR 2.0 导出设置中启用 IAM principal 数据即
可使用,无需额外配置;标签则需要在 AWS Billing 中额
外完成激活步骤。
一个值
得注意的实现细节:Bedrock API 密钥会映射至底层 IAM 用户(
如 user/BedrockAPIKey-234s),因此使用 API 密钥访问而非角色
扮演的团队仍然能够获得成本归因,但归因粒度停
留在密钥层面,而非最终用户层面。若需实现 API
密钥访问下的真正用户级归因,会话
标签或角色扮演仍是推荐的实现模式。
值得持 续关注的动向
- Cost Explorer 控制台更新:AWS 尚未确认 Cost Explorer 是否会推出专门的 Bedrock-by-principal 视图。 建议关注未来 30 天内的控制台变化,以确 认是否可以无需编写原始 CUR 查询即 可直接查看该数据。
- 竞争云厂商的 应对:Azure AI Foundry 和 Google Vertex AI 目前均不具备同等的原生按 身份推理成本归因能力。若企业采购团队开 始将此功能列为选型要求,预计 Microsoft 和 Google 将在一到两个季度内跟进发布相 关公告。
- FinOps 工具集成:CloudHealth、Apptio、Spot.io 等
FinOps 厂商需要接入新的
line_item_iam_principal字段和iamPrincipal/标签前缀。建议关注主流 FinOps 平台推出的解析 器更新和仪表盘模板。 - 策略执行模 式的演进:随着支出可以归因至具体 principal, 预计 AWS 将发布 IAM 策略模板,支持按角色设置 Bedrock 支 出上限——这是迈向程序化成本护 栏的逻辑性下一步,且无需借助 Service Control Policies。