Was an der nativen Bedrock-Integration anders ist
Hermes spricht Bedrock über boto3 und die Converse API an. Authentifizierung folgt damit der AWS-Credential-Chain: Instance Role, ECS Task Role, Lambda Role, SSO-Profil oder Umgebungsvariablen. Für produktive Workloads sind kurzlebige Rollen-Credentials fast immer besser als langfristige Access Keys in einer Datei.
IAM statt API-Key
Rollen und Policies lassen sich nach Umgebung und Workload begrenzen sowie zentral widerrufen.
Ein Cloud-Katalog
Claude, Amazon Nova, Llama, DeepSeek und weitere Modelle über Bedrock-Verfügbarkeit und Region.
Guardrails
Bedrock Guardrails können auf Modellaufrufe angewendet werden; sie ersetzen aber keine Tool- und Prozessfreigabe.
Inference Profiles
US- oder globale Profile verteilen Anfragen und sind für viele On-Demand-Modelle der korrekte Identifier.
IAM-Rechte minimal planen
Die offizielle Hermes-Anleitung nennt für Inferenz bedrock:InvokeModel und bedrock:InvokeModelWithResponseStream. Für automatische Modellentdeckung kommen bedrock:ListFoundationModels und bedrock:ListInferenceProfiles hinzu. Verwende in Produktion eine eigene Policy mit benötigten Ressourcen statt pauschalem Vollzugriff.
- EC2: Instance Role an die Instanz hängen; keine Access Keys auf die Platte schreiben.
- ECS: Task Role für den Hermes-Container verwenden, nicht die Execution Role verwechseln.
- Lokale Entwicklung: AWS SSO oder ein benanntes Profil statt langlebiger Default-Keys bevorzugen.
- Regionen und erlaubte Inference Profiles in Policy und Hermes-Konfiguration konsistent halten.
- CloudTrail, Kosten-Tags und Budgets bereits im Pilot aktivieren.
Bedrock-Provider installieren und auswählen
cd ~/.hermes/hermes-agent
uv pip install -e ".[bedrock]" hermes model
# More providers → AWS Bedrock
# Region und verfügbares Inference Profile wählen
hermes doctor model:
default: us.anthropic.claude-sonnet-4-6
provider: bedrock
base_url: https://bedrock-runtime.us-east-2.amazonaws.com
bedrock:
region: us-east-2 Guardrails sinnvoll einsetzen
Bedrock Guardrails filtern oder klassifizieren Modell-Ein- und Ausgaben. Ein Agent kann jedoch auch über Tools handeln. Deshalb muss eine Guardrail-Strategie durch Terminalisolation, Rollen, Netzwerkregeln, Freigaben und Datenklassifikation ergänzt werden.
- Guardrail-Versionen wie Code behandeln und Änderungen gegen echte Aufgaben testen.
- Trace-Daten nur mit passender Aufbewahrung und Zugriffssteuerung aktivieren.
- Sensible Aktionen außerhalb des Modells über Freigaben und IAM begrenzen.
- Blockierte Antworten beobachten, damit fachlich notwendige Arbeit nicht still ausfällt.
bedrock:
region: us-east-2
guardrail:
guardrail_identifier: "abc123def456"
guardrail_version: "1"
stream_processing_mode: "async"
trace: "disabled" Gateway, Kosten und Fehlersuche in AWS
Telegram, Discord und andere Gateway-Plattformen verwenden dieselbe Bedrock-Konfiguration. Dadurch muss die IAM-Rolle dort verfügbar sein, wo der Gateway-Prozess läuft. Ein lokal funktionierendes AWS-Profil hilft einem systemd-Dienst nicht, wenn dessen Benutzer oder Umgebung anders ist.
| Fehler | Typische Ursache |
|---|---|
| No AWS credentials | Keine Rolle, kein gültiges Profil oder Credential-Chain im Service-Kontext |
| On-demand throughput isn't supported | Nackte Model-ID statt us.- oder global.-Inference-Profile |
| AccessDeniedException | IAM-Action, Modellressource oder Region nicht erlaubt |
| ThrottlingException | Modell-/Account-Quote erreicht; Parallelität und Quota prüfen |
| Modell fehlt im Picker | Region, Modellzugang oder Discovery-Berechtigung |
Verknüpfe Bedrock-Kosten mit Agent, Umgebung und Workflow. Die AWS-Rechnung sagt sonst nur, welches Modell genutzt wurde – nicht, welcher Cron-Job oder welches Geschäftsziel den Verbrauch ausgelöst hat.
Häufige Fragen
Nutzt Hermes die Bedrock Converse API?
Brauche ich statische AWS-Keys?
Warum funktioniert die Foundation-Model-ID nicht?
us. oder global.. Ersetzen Bedrock Guardrails menschliche Freigaben?
Quellen, Methodik und Aktualität
Dieser Beitrag wurde aus praktischer Arbeit mit Hermes Agent und den unten verlinkten Primärquellen erstellt. Produktstände ändern sich schnell; Versions- und Befehlsangaben wurden zuletzt am geprüft.
- AWS Bedrock Guide – Nous Research
- Amazon Bedrock Converse API – AWS
- IAM for Amazon Bedrock – AWS
- Bedrock Guardrails – AWS