Trong thực tế triển khai Generative AI tại các doanh nghiệp hiện nay, việc thử nghiệm một mô hình AI trên một tài khoản đơn lẻ rất dễ dàng. Thế nhưng, câu chuyện sẽ hoàn toàn thay đổi khi hệ thống bước vào giai đoạn mở rộng quy mô sản xuất (Production). Để phục vụ nhiều phòng ban hoặc các môi trường phát triển khác nhau, hạ tầng bắt buộc phải phình to thành cấu trúc đa tài khoản AWS.
Thử thách lớn nhất lúc này cho đội ngũ Cloud Ops là làm sao cấp quyền truy cập nhanh các mô hình AI bên thứ ba hàng đầu như Anthropic Claude hay Cohere cho các đội dự án, mà không làm rò rỉ dữ liệu hay mất kiểm soát chi phí do phải cấp quyền aws-marketplace:Subscribe bừa bãi. Nhằm tháo gỡ triệt để nút thắt vận hành thực tế này, AWS đã ra mắt tính năng Managed Entitlements. Bài viết này sẽ mổ xẻ chi tiết giải pháp quản lý đa tài khoản Amazon Bedrock tập trung, giúp bạn tối ưu hóa hạ tầng Cloud an toàn và hiệu quả.
Thách thức lớn trong quản trị AI đa môi trường truyền thống
Trước khi đi sâu vào giải pháp cốt lõi, chúng ta cần nhìn nhận thực trạng khó khăn khi quản trị cấu trúc đa tài khoản AWS đối với các dịch vụ AI. Amazon Bedrock cung cấp một danh mục tài nguyên phong phú bao gồm các Amazon Bedrock models tự phát triển và các mô hình thương mại từ đối tác bên thứ ba. Cách thức phân phối và đăng ký quyền truy cập của các nhóm mô hình này hoàn toàn khác nhau, dẫn đến sự phức tạp trong quá trình quản lý hệ thống.
Thông thường, các mô hình được chia thành ba phân khúc quản lý chính:
| Phân loại mô hình AI | Ví dụ tiêu biểu | Cơ chế kiểm soát quyền truy cập truyền thống |
| Mô hình do Amazon phát triển | Amazon Titan, Amazon Nova | Sử dụng ngay lập tức qua chính sách phân quyền IAM của Amazon Bedrock. |
| Mô hình do Amazon phân phối | Meta Llama, Mistral AI, DeepSeek | Kích hoạt trực tiếp thông qua bảng điều khiển Amazon Bedrock bằng quyền IAM đơn giản. |
| Mô hình từ AWS Marketplace | Anthropic Claude, Cohere, Stability AI | Bắt buộc phải thực hiện thủ công quy trình đăng ký mua (Subscription) qua AWS Marketplace trên từng tài khoản. |
Xem thêm: Các mô hình học máy được đào tạo sẵn có trên AWS Marketplace
Đối với hai nhóm mô hình đầu tiên, nhờ có cơ chế đơn giản hóa quyền truy cập (Simplified Access) vừa được cập nhật, các kỹ sư hệ thống có thể lập tức gọi mô hình (invoke model) chỉ bằng cấu hình IAM cơ bản. Tuy nhiên, rào cản lớn nhất lại nằm ở nhóm thứ ba – các mô hình độc quyền hàng đầu phân phối qua nền tảng thương mại của AWS.
Nếu không ứng dụng giải pháp chuyên biệt, mỗi tài khoản thành viên (member account) trong tổ chức đều yêu cầu phải có quyền aws-marketplace:Subscribe để kích hoạt mô hình AI mong muốn. Việc phân rã quyền hạn như vậy tạo ra hai hệ lụy nghiêm trọng: Một là vi phạm nguyên tắc đặc quyền tối thiểu (Least Privilege) trong bảo mật AWS khi để các tài khoản phát triển (development) có quyền mua sắm tài nguyên; hai là gánh nặng vận hành đè nặng lên vai bộ phận Cloud Ops khi phải phê duyệt và lặp lại thao tác cấu hình cho hàng trăm môi trường riêng biệt.
Giải pháp Managed Entitlements: Bước ngoặt trong quản lý đa tài khoản Amazon Bedrock
Tính năng Managed Entitlements (Cấp quyền được quản lý) ra đời như một vị cứu tinh, xóa bỏ hoàn toàn khoảng cách giữa yêu cầu quản lý tập trung và nhu cầu sử dụng phi tập trung. Bản chất của công nghệ này là sự kết hợp chặt chẽ giữa ba dịch vụ cốt lõi: AWS Organizations, AWS Marketplace và AWS License Manager. Giờ đây, doanh nghiệp chỉ cần thực hiện đăng ký mua mô hình AI một lần duy nhất tại tài khoản tổng (Management Account), sau đó phân phối quyền sử dụng đó xuống các tài khoản nhánh một cách tự động và an toàn.
Bằng cách dịch chuyển trọng tâm quản trị về tài khoản trung tâm, quy trình quản lý đa tài khoản Amazon Bedrock loại bỏ hoàn toàn yêu cầu cấp quyền AWS Marketplace cho các tài khoản con. Các đội ngũ phát triển dự án giờ đây chỉ cần tập trung vào việc tối ưu câu lệnh (Prompt Engineering) và xây dựng logic ứng dụng, trong khi toàn bộ hạ tầng bản quyền mô hình đã được xử lý tự động ở tầng quản trị nền tảng.
Cơ chế quản lý đa tài khoản Amazon Bedrock này áp dụng lý tưởng cho những doanh nghiệp lớn đang vận hành các hệ thống tài khoản phức tạp, các tổ chức đã đàm phán thành công các gói giá ưu đãi riêng (Private Offers) với nhà cung cấp phần mềm độc lập (ISV) và mong muốn áp dụng mức giá ưu đãi đó một cách nhất quán trên toàn bộ tổng thể hạ tầng Cloud của mình.
Kiến trúc vận hành và điều kiện tiên quyết hệ thống
Để triển khai thành công hệ thống quản lý đa tài khoản Amazon Bedrock thông qua cơ chế phân phối bản quyền số, hạ tầng AWS của doanh nghiệp cần phải đáp ứng một số tiêu chuẩn kỹ thuật bắt buộc sau:
- AWS Organizations ở trạng thái kích hoạt toàn diện: Tổ chức của bạn phải được cấu hình ở chế độ “All features enabled” chứ không chỉ dừng lại ở tính năng thanh toán tập trung (Consolidated Billing).
- Quyền quản trị tối cao: Bạn cần có quyền truy cập vào tài khoản Root hoặc tài khoản Quản trị cấp cao (Management Account) để thực hiện các thao tác trên AWS Marketplace và thiết lập cấu hình phân phối.
- Vai trò liên kết dịch vụ (Service-Linked Roles – SLR): Hệ thống yêu cầu khởi tạo các SLR chuyên dụng cho cả AWS License Manager và AWS Marketplace. Đây là các định danh IAM được cấu hình sẵn, cho phép các dịch vụ của AWS tự động tương tác và ủy quyền lẫn nhau một cách an toàn tuyệt đối.
Quy trình 4 bước thiết lập quản lý đa tài khoản Amazon Bedrock
Việc hiện thực hóa mô hình quản trị tập trung nhằm quản lý đa tài khoản Amazon Bedrock hiệu quả được đơn giản hóa tối đa qua sơ đồ vận hành 4 bước chuẩn hóa, đảm bảo tính chặt chẽ từ khâu mua sắm đến khâu tiêu dùng tài nguyên:

Bước 1: Đăng ký mô hình AI từ tài khoản trung tâm
Người quản trị sử dụng tài khoản Management Account truy cập vào AWS Marketplace để tiến hành đăng ký các Amazon Bedrock models của bên thứ ba (ví dụ: Anthropic Claude 3.5 Sonnet). Quá trình này có thể thực hiện thông qua biểu giá công khai hoặc bằng cách chấp thuận một Thỏa thuận giá riêng (Private Offer) được thiết kế riêng cho doanh nghiệp của bạn.
Bước 2: Tự động khởi tạo và xác minh giấy phép
Ngay sau khi lệnh đăng ký hoàn tất, dịch vụ AWS License Manager tại tài khoản gốc sẽ tự động biên dịch và tạo ra một giấy phép kỹ thuật số (License). Giấy phép này đóng vai trò chứng chỉ số, đại diện cho toàn bộ quyền hạn hợp pháp của doanh nghiệp đối với việc khai thác mô hình AI đã mua, làm nền tảng cốt lõi cho việc quản lý đa tài khoản Amazon Bedrock.
Bước 3: Khởi tạo các lượt cấp quyền (Grants) đến hệ thống tài khoản con
Tại giao diện của AWS License Manager, người quản trị tiến hành cấu hình tạo các lệnh cấp quyền (Grants). Điểm ưu việt của giải pháp quản lý đa tài khoản Amazon Bedrock là bạn có thể linh hoạt chỉ định đối tượng nhận quyền: Chia sẻ chính xác cho từng ID tài khoản cụ thể, phân phối cho một Đơn vị tổ chức (OU – Organizational Unit) đại diện cho một phòng ban, hoặc áp dụng đồng loạt cho toàn bộ các tài khoản thuộc AWS Organizations.
Bước 4: Kích hoạt quyền truy cập và đưa vào sử dụng
Hệ thống sẽ gửi thông báo cấp quyền đến các tài khoản đích. Đối với mô hình tổ chức bật đầy đủ tính năng, các lượt cấp quyền này sẽ tự động được tiếp nhận ở trạng thái chờ kích hoạt (Disabled). Quản trị viên của tài khoản con chỉ cần thực hiện một thao tác bấm chọn “Kích hoạt” (Activate) duy nhất để chính thức mở cổng kết nối API đến mô hình AI. Từ thời điểm này, mọi mã nguồn ứng dụng chạy trên tài khoản con đều có thể thực hiện lệnh gọi mô hình một cách mượt mà.
Những lưu ý kỹ thuật quan trọng khi triển khai
Trước khi tiến hành cấu hình hệ thống quản lý đa tài khoản Amazon Bedrock, bạn cần ghi nhớ các yếu tố kỹ thuật sau từ bài blog của AWS để quá trình triển khai diễn ra mượt mà nhất:
Phân bổ chi phí
Chi phí phát sinh từ việc gọi mô hình (model usage costs) sẽ luôn được tính hóa đơn (billed) trực tiếp về tài khoản quản lý (management account) – nơi đang nắm giữ gói đăng ký gốc. Để theo dõi sát sao và phân tách dòng tiền chính xác cho từng tài khoản con hoặc từng đội ngũ phát triển, doanh nghiệp bắt buộc phải sử dụng Thẻ phân bổ chi phí AWS (AWS Cost Allocation Tags). Điều này đóng vai trò quyết định trong việc giúp doanh nghiệp tối ưu chi phí AWS.
Thỏa thuận gói giá riêng
Khi bạn làm việc với các gói giá ưu đãi riêng (Private Offers) được thương lượng trực tiếp với nhà cung cấp mô hình thông qua AWS Marketplace, quy trình quản lý đa tài khoản Amazon Bedrock bằng Managed Entitlements vẫn được giữ nguyên không đổi. Bạn chỉ cần chấp nhận Private Offer từ tài khoản quản lý, hệ thống sẽ tự động tạo giấy phép (license) tương ứng với các điều khoản ưu đãi, thời hạn thanh toán hay cam kết hỗ trợ đã ký kết. Toàn bộ các tài khoản con khi được phân phối grant sẽ mặc định được áp dụng mức giá chiết khấu này.
Các gói đăng ký hiện có
Một tình huống thực tế rất hay xảy ra là một vài tài khoản con trước đó đã tự kích hoạt gói đăng ký riêng cho một mô hình Amazon Bedrock nào đó. Khi tài khoản thanh toán tổng (payer account) tiến hành phân phối một lệnh cấp quyền (grant) mới cho chính mô hình đó xuống, hệ thống AWS sẽ tự động vô hiệu hóa (disabled) quyền hạn từ gói đăng ký cũ của tài khoản con và chuyển đổi hoàn toàn sang sử dụng quyền lợi của grant mới được chia sẻ.
Hành vi khu vực
Mặc dù các ứng dụng của bạn có toàn quyền gọi và khai thác mô hình tại bất kỳ AWS Region nào được hỗ trợ, bạn cần lưu ý rằng AWS License Manager luôn khởi tạo các giấy phép (licenses) tại vùng us-east-1 (N. Virginia). Do đó, tất cả các thao tác liên quan đến việc tạo lập và kích hoạt lệnh cấp quyền (grant) đều phải được thực hiện thông qua endpoint của vùng us-east-1, bất kể workload của bạn có đang chạy ở vùng khác đi chăng nữa.
![]()
Quy trình dọn dẹp tài nguyên an toàn
Nếu doanh nghiệp không còn nhu cầu sử dụng một gói đăng ký mô hình AI cụ thể, để đảm bảo hệ thống không phát sinh chi phí ngoài ý muốn, bạn cần thực hiện theo đúng các bước sau:
- Truy cập vào AWS License Manager và tiến hành xóa bỏ hoàn toàn các lệnh cấp quyền (Grants) đã phân phối ở các tài khoản thành viên.
- Thực hiện hủy gói đăng ký mô hình (Cancel Subscription) trên nền tảng AWS Marketplace từ tài khoản quản lý gốc.
- Kiểm tra và xác nhận lại các tài khoản thành viên không còn bị tính phí theo các biểu phí riêng biệt. (Lưu ý: Việc hủy đăng ký gốc không tự động xóa các grant ở tài khoản con. Bạn phải chủ động xóa grant để thu hồi hoàn toàn quyền truy cập giá ưu đãi).
Tìm hiểu thêm: Simplify multi-account access to Amazon Bedrock models with managed entitlements
Khám phá 5 trụ cột tối ưu chi phí AWS cho doanh nghiệp
Kết luận
Ứng dụng cơ chế Managed Entitlements vào quy trình quản lý đa tài khoản Amazon Bedrock giúp doanh nghiệp giải quyết triệt để bài toán dung hòa giữa tốc độ đổi mới sáng tạo và tính kỷ luật. Giải pháp này vừa củng cố vững chắc nền tảng bảo mật AWS, vừa đảm bảo tính minh bạch về tài chính và tối ưu chi phí vận hành ở quy mô lớn. Hãy bắt đầu rà soát các mô hình AI bên thứ ba trong hệ thống và triển khai thử nghiệm (Pilot) cơ chế này cho một nhóm nhỏ tài khoản ngay hôm nay!
Nếu doanh nghiệp của bạn đang gặp khó khăn trong việc vận hành hệ thống AI đa môi trường, hãy liên hệ với OSAM – Đối tác ủy quyền của AWS ngay hôm nay để nhận tư vấn chuyên sâu và giải pháp tối ưu hóa hạ tầng đám mây toàn diện từ các chuyên gia hàng đầu!
