Wenden Sie kontoübergreifende Schutzmaßnahmen mit den Durchsetzungsmaßnahmen von Amazon Bedrock Guardrails an - Amazon Bedrock
Leitfaden zur ImplementierungÜberwachenPreisgestaltungHäufig gestellte Fragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenden Sie kontoübergreifende Schutzmaßnahmen mit den Durchsetzungsmaßnahmen von Amazon Bedrock Guardrails an

Anmerkung

Amazon Bedrock Guardrails Enforcements befindet sich in der Vorschauversion und kann sich ändern.

Mit den Durchsetzungsmaßnahmen von Amazon Bedrock Guardrails können Sie bei allen Modellaufrufen mit Amazon Bedrock automatisch Sicherheitskontrollen auf AWS Kontoebene und AWS Organizations auf bestimmter Ebene (kontenübergreifend) anwenden. Dieser zentralisierte Ansatz sorgt für konsistente Sicherheitsvorkehrungen für mehrere Konten und Anwendungen, sodass keine Guardrails für einzelne Konten und Anwendungen konfiguriert werden müssen.

Die wichtigsten Funktionen

Im Folgenden sind die wichtigsten Fähigkeiten von Guardrails Enforces aufgeführt:

  • Durchsetzung auf Organisationsebene — Wenden Sie Leitplanken für alle Modellaufrufe mit Amazon Bedrock über Organisationseinheiten (OUs), einzelne Konten oder Ihre gesamte Organisation hinweg an, indem Sie die Amazon Bedrock-Richtlinien (in der Vorschauversion) mit verwenden. AWS Organizations

  • Durchsetzung auf Kontoebene — Geben Sie eine bestimmte Version einer Guardrail innerhalb eines AWS Kontos für alle Amazon Bedrock-Modellaufrufe von diesem Konto aus an.

  • Mehrschichtiger Schutz — Kombinieren Sie unternehmens- und anwendungsspezifische Schutzmaßnahmen, wenn beide vorhanden sind. Bei der effektiven Sicherheitskontrolle werden beide Leitplanken zusammengeführt, wobei die restriktivsten Kontrollen Vorrang haben, wenn dieselbe Steuerung von beiden Leitplanken aus erfolgt.

In den folgenden Themen wird beschrieben, wie Amazon Bedrock Guardrails Enforcements verwendet wird:

Leitfaden zur Implementierung

In den folgenden Tutorials werden die Schritte beschrieben, die zur Durchsetzung von Schutzmaßnahmen für Konten bei einer AWS Organisation und für ein einzelnes AWS Konto erforderlich sind. Mit diesen Durchsetzungsmaßnahmen werden bei allen Modellaufrufen bei Amazon Bedrock die Sicherheitsvorkehrungen durchgesetzt, die innerhalb der festgelegten Leitplanke konfiguriert wurden.

Tutorial: Durchsetzung auf Organisationsebene

Dieses Tutorial führt Sie durch die Einrichtung der Durchsetzung von Leitplanken in Ihrer gesamten Organisation. AWS Am Ende verfügen Sie über eine Leitplanke, die automatisch für alle Amazon Bedrock-Modellaufrufe für bestimmte Konten oder gilt. OUs

Wer sollte diesem Tutorial folgen

AWSOrganisationsadministratoren (mit Zugriff auf das Verwaltungskonto) mit Berechtigungen zum Erstellen von Leitplanken und zum Verwalten von AWS Organizations Richtlinien.

Was du benötigst

Folgendes ist erforderlich, um dieses Tutorial abzuschließen:

Um die Durchsetzung von Leitplanken auf Organisationsebene einzurichten
  1. Planen Sie Ihre Guardrail-Konfiguration

    1. Definieren Sie Ihre Sicherheitsvorkehrungen:

      • Sehen Sie sich die verfügbaren Guardrails-Filter in der Amazon Bedrock Guardrails-Dokumentation an

      • Identifizieren Sie, welchen Filter Sie benötigen. Derzeit werden Inhaltsfilter, abgelehnte Themen, Wortfilter, Filter für vertrauliche Informationen und kontextuelle Grundprüfungen unterstützt.

      • Hinweis: Schließen Sie die Richtlinie zur automatischen Argumentation nicht ein, da sie bei der Durchsetzung von Guardrails nicht unterstützt wird und zu Laufzeitausfällen führen kann.

    2. Identifizieren Sie die Zielkonten:

      • Legen Sie fest OUs, für welche Konten oder für Ihr gesamtes Unternehmen diese Schutzmaßnahme durchgesetzt werden soll

  2. Erstellen Sie Ihre Leitplanke im Verwaltungskonto

    Erstellen Sie in jeder Region, in der Sie sie durchsetzen möchten, eine Leitplanke mit einer der folgenden Methoden:

    • Mit dem: AWS-Managementkonsole

      1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

      2. Wählen Sie im linken Navigationsbereich Guardrails

      3. Wählen Sie „Leitplanke erstellen“

      4. Folgen Sie dem Assistenten, um die gewünschten Filter oder Schutzmaßnahmen zu konfigurieren (Inhaltsfilter, abgelehnte Themen, Wortfilter, Filter für vertrauliche Informationen, kontextuelle Grundprüfungen)

      5. Aktivieren Sie nicht die Richtlinie für automatisiertes Denken

      6. Füllen Sie den Assistenten aus, um Ihre Leitplanke zu erstellen

    • Verwenden der API: Verwenden Sie die API CreateGuardrail

    Verify

    Nach der Erstellung solltest du sie in der Liste der Leitplanken auf der Landingpage von Guardrails sehen oder in der Liste der Leitplanken nach ihr suchen, indem du den Namen der Leitplanke verwendest

  3. Erstellen Sie eine Guardrail-Version

    Erstellen Sie eine numerische Version, um sicherzustellen, dass die Guardrail-Konfiguration unveränderlich bleibt und nicht von Mitgliedskonten geändert werden kann.

    • Verwenden von: AWS-Managementkonsole

      1. Wählen Sie die im vorherigen Schritt erstellte Leitplanke auf der Seite Guardrails in der Amazon Bedrock-Konsole aus.

      2. Wählen Sie Version erstellen

      3. Notieren Sie sich den ARN der Leitplanke und die Versionsnummer (z. B. „1", „2" usw.)

    • Verwenden der API: Verwenden Sie die API CreateGuardrailVersion

    Verify

    Vergewissern Sie sich, dass die Version erfolgreich erstellt wurde, indem Sie die Liste der Versionen auf der Guardrail-Detailseite überprüfen.

  4. Hängen Sie eine ressourcenbasierte Richtlinie an

    Ermöglichen Sie den kontoübergreifenden Zugriff, indem Sie Ihrer Leitplanke eine ressourcenbasierte Richtlinie hinzufügen.

    • Verwenden von AWS-Managementkonsole — So hängen Sie mithilfe der Konsole eine ressourcenbasierte Richtlinie an:

      1. Wählen Sie in der Amazon Bedrock Guardrails-Konsole Ihre Leitplanke aus

      2. Klicken Sie auf Hinzufügen, um eine ressourcenbasierte Richtlinie hinzuzufügen

      3. Fügen Sie eine Richtlinie hinzu, die allen Mitgliedskonten oder Organisationen bedrock:ApplyGuardrail Berechtigungen gewährt. Weitere Informationen finden Sie unter Teilen Sie die Leitplanke mit Ihrer Organisation in Verwendung ressourcenbasierter Richtlinien für Leitplanken.

      4. Speichern Sie die Richtlinie

    Verify

    Testen Sie den Zugriff von einem Mitgliedskonto aus mithilfe der ApplyGuardrailAPI, um sicherzustellen, dass die Autorisierung korrekt konfiguriert ist.

  5. Konfigurieren Sie IAM-Berechtigungen in Mitgliedskonten

    Stellen Sie sicher, dass alle Rollen in Mitgliedskonten über IAM-Berechtigungen für den Zugriff auf die erzwungene Guardrail verfügen.

    Erforderliche Berechtigungen

    Für Rollen mit Mitgliedskonten ist eine bedrock:ApplyGuardrail Genehmigung für die Guardrail des Verwaltungskontos erforderlich. Ausführliche Beispiele So richten Sie Berechtigungen für die Nutzung von Integritätsschutz für Amazon Bedrock ein für IAM-Richtlinien finden Sie unter

    Verify

    Vergewissern Sie sich, dass Rollen mit eingeschränkten Berechtigungen in Mitgliedskonten die ApplyGuardrail API mit der Guardrail erfolgreich aufrufen können.

  6. Aktivieren Sie den Amazon Bedrock-Richtlinientyp in AWS Organizations

    • Verwenden von AWS-Managementkonsole — Um den Amazon Bedrock-Richtlinientyp über die Konsole zu aktivieren:

      1. Navigieren Sie zur Konsole AWS Organizations

      2. Wählen Sie Richtlinien

      3. Wählen Sie die Amazon Bedrock-Richtlinien (derzeit in der Vorschauversion)

      4. Wählen Sie Amazon Bedrock-Richtlinien aktivieren, um den Amazon Bedrock-Richtlinientyp für Ihre Organisation zu aktivieren.

    • Verwenden der API — Verwenden Sie die AWS Organizations EnablePolicyTypeAPI mit dem Richtlinientyp BEDROCK_POLICY

    Verify

    Vergewissern Sie sich, dass der Amazon Bedrock-Richtlinientyp in der AWS Organizations Konsole als aktiviert angezeigt wird.

  7. Eine Richtlinie erstellen und AWS Organizations anhängen

    Erstellen Sie eine Verwaltungsrichtlinie, die Ihre Leitplanke spezifiziert, und fügen Sie sie Ihren Zielkonten hinzu oder. OUs

    • Verwenden von AWS-Managementkonsole — Um eine AWS Organizations Richtlinie mithilfe der Konsole zu erstellen und anzuhängen:

      1. Navigieren Sie in der AWS Organizations Konsole zu Policies > Amazon Bedrock-Richtlinien

      2. Wählen Sie Richtlinie erstellen aus

      3. Geben Sie den ARN und die Version Ihrer Leitplanke an

      4. Konfigurieren Sie die input_tags Einstellung (stellen Sie sie auf Ignorieren, um zu verhindern, dass Mitgliedskonten die Guardrail bei der Eingabe über Guardrails-Eingabe-Tags umgehen).

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. Speichern Sie die Richtlinie

      6. Ordnen Sie die Richtlinie den gewünschten Zielen (Stammkonten der Organisation oder Einzelkonten) zu OUs, indem Sie zur Registerkarte Ziele navigieren und Anhängen wählen

    • API verwenden — Verwenden Sie die AWS Organizations CreatePolicyAPI mit RichtlinientypBEDROCK_POLICY. Wird AttachPolicyzum Anhängen an Ziele verwendet

    Weitere Informationen: Amazon Bedrock-Richtlinien in AWS Organizations

    Verify

    Vergewissern Sie sich, dass die Richtlinie an die richtigen Ziele in der AWS Organizations Konsole angehängt ist.

  8. Testen und verifizieren Sie die Durchsetzung

    Testen Sie, ob die Leitplanke für Mitgliedskonten durchgesetzt wird.

    Prüfen Sie, welche Leitplanke durchgesetzt wird

    • Navigieren Sie mit dem AWS-Managementkonsole — Von einem Mitgliedskonto aus zur Amazon Bedrock-Konsole und klicken Sie im linken Bereich auf Guardrails. Auf der Guardrails-Startseite sollten Sie die von der Organisation erzwungene Guardrail im Abschnitt Durchsetzungskonfigurationen auf Organisationsebene im Verwaltungskonto und erzwungene Guardrails auf Organisationsebene im Mitgliedskonto sehen

    • Verwenden der API — Rufen Sie von einem Mitgliedskonto aus mit Ihrer Mitgliedskonto-ID als Ziel-ID an DescribeEffectivePolicy

    Testen Sie von einem Mitgliedskonto aus

    1. Führen Sie mit,, Converse oder einen Amazon Bedrock-Inferenzanruf durch InvokeModel. InvokeModelWithResponseStreamConverseStream

    2. Die erzwungene Leitplanke sollte automatisch sowohl für Eingänge als auch für Ausgänge gelten

    3. Informationen zur Bewertung der Leitplanke finden Sie in der Antwort. Die Antwort auf die Leitplanke wird Informationen zur Einhaltung der Leitplanken enthalten.

Tutorial: Durchsetzung auf Kontoebene

In diesem Tutorial erfahren Sie, wie Sie die Durchsetzung von Schutzmaßnahmen innerhalb eines einzigen Kontos einrichten. AWS Am Ende haben Sie eine Leitplanke, die automatisch für alle Amazon Bedrock-Modellaufrufe in Ihrem Konto gilt.

Wer sollte diesem Tutorial folgen

AWSKontoadministratoren mit der Berechtigung, Leitplanken zu erstellen und Einstellungen auf Kontoebene zu konfigurieren.

Was du benötigst

Folgendes ist erforderlich, um dieses Tutorial abzuschließen:

  • Ein AWS Konto mit entsprechenden IAM-Berechtigungen

  • Verständnis der Sicherheitsanforderungen Ihres Kontos

Um die Durchsetzung von Schutzmaßnahmen auf Kontoebene einzurichten
  1. Planen Sie Ihre Guardrail-Konfiguration
    Definieren Sie Ihre Sicherheitsvorkehrungen

    So definieren Sie Ihre Schutzmaßnahmen:

    • Sehen Sie sich die verfügbaren Guardrails-Filter in der Amazon Bedrock Guardrails-Dokumentation an

    • Identifizieren Sie, welchen Filter Sie benötigen. Derzeit werden Inhaltsfilter, abgelehnte Themen, Wortfilter, Filter für vertrauliche Informationen und kontextuelle Grundprüfungen unterstützt.

    • Hinweis: Schließen Sie die Richtlinie zur automatischen Argumentation nicht ein, da sie bei der Durchsetzung von Guardrails nicht unterstützt wird und zu Laufzeitausfällen führen kann

  2. So erstellen Sie Ihren Integritätsschutz

    Erstellen Sie in jeder Region, in der Sie sie durchsetzen möchten, eine Leitplanke.

    Über AWS-Managementkonsole

    Um mit der Konsole eine Leitplanke zu erstellen:

    1. Melden Sie sich bei der AWS-Managementkonsole mit einer IAM-Identität an, die berechtigt ist, die Amazon Bedrock-Konsole zu verwenden. Öffnen Sie dann die Amazon Bedrock-Konsole unter https://console.aws.amazon.com/bedrock.

    2. Wählen Sie im linken Navigationsbereich Guardrails

    3. Wählen Sie „Leitplanke erstellen“

    4. Folgen Sie dem Assistenten, um die gewünschten Richtlinien zu konfigurieren (Inhaltsfilter, abgelehnte Themen, Wortfilter, Filter für vertrauliche Informationen)

    5. Aktivieren Sie nicht die Richtlinie für automatisiertes Denken

    6. Füllen Sie den Assistenten aus, um Ihre Leitplanke zu erstellen

    Über API

    Verwenden der CreateGuardrail-API.

    Verify

    Nach der Erstellung sollten Sie es in der Liste der Leitplanken auf der Guardrails-Landingpage sehen oder in der Liste der Leitplanken anhand des Namens der Leitplanke danach suchen

  3. Erstellen Sie eine Version für die Leitplanke

    Erstellen Sie eine numerische Version, um sicherzustellen, dass die Guardrail-Konfiguration unveränderlich bleibt und nicht von Mitgliedskonten geändert werden kann.

    Über AWS-Managementkonsole

    Um eine Guardrail-Version mit der Konsole zu erstellen:

    1. Wählen Sie die im vorherigen Schritt erstellte Leitplanke auf der Seite Guardrails in der Amazon Bedrock-Konsole aus.

    2. Wählen Sie Version erstellen

    3. Notieren Sie sich den ARN der Leitplanke und die Versionsnummer (z. B. „1", „2" usw.)

    Über die API

    Verwenden der CreateGuardrailVersion-API.

    Verify

    Vergewissern Sie sich, dass die Version erfolgreich erstellt wurde, indem Sie die Liste der Versionen auf der Guardrail-Detailseite überprüfen.

  4. Hängen Sie eine ressourcenbasierte Richtlinie an (optional)

    Wenn Sie die Leitplanke mit bestimmten Rollen in Ihrem Konto teilen möchten, fügen Sie eine ressourcenbasierte Richtlinie bei.

    Über AWS-Managementkonsole

    So hängen Sie mithilfe der Konsole eine ressourcenbasierte Richtlinie an:

    1. Wählen Sie in der Amazon Bedrock Guardrails-Konsole Ihre Leitplanke aus

    2. Klicken Sie auf Hinzufügen, um eine ressourcenbasierte Richtlinie hinzuzufügen

    3. Fügen Sie eine Richtlinie hinzu, die den bedrock:ApplyGuardrail gewünschten Rollen Berechtigungen gewährt

    4. Speichern Sie die Richtlinie

  5. Aktivieren Sie die Durchsetzung auf Kontoebene

    Konfigurieren Sie das Konto so, dass es Ihre Guardrail für alle Amazon Bedrock-Aufrufe verwendet. Dies muss in jeder Region geschehen, in der Sie eine Durchsetzung wünschen.

    Über AWS-Managementkonsole

    So aktivieren Sie die Durchsetzung auf Kontoebene mithilfe der Konsole:

    1. Navigieren Sie zur Amazon Bedrock-Konsole

    2. Wählen Sie im linken Navigationsbereich Guardrails

    3. Wählen Sie im Abschnitt Durchsetzungskonfigurationen auf Kontoebene die Option Hinzufügen

    4. Wählen Sie Ihre Leitplanke und Ihre Version aus

    5. Konfigurieren Sie die input_tags Einstellung (stellen Sie sie auf IGNORE ein, um zu verhindern, dass Mitgliedskonten die Guardrail bei der Eingabe über Guardrails-Eingabe-Tags umgehen)

    6. Reichen Sie die Konfiguration ein

    7. Wiederholen Sie den Vorgang für jede Region, in der Sie eine Durchsetzung wünschen

    Über API

    Verwenden Sie die PutEnforcedGuardrailConfiguration API in jeder Region, in der Sie die Leitplanke durchsetzen möchten

    Verify

    Auf der Seite „Guardrails“ sollte im Abschnitt Konfiguration der erzwungenen Guardrail für das Konto die für das Konto erzwungene Guardrail angezeigt werden. Sie können die ListEnforcedGuardrailsConfigurationAPI aufrufen, um sicherzustellen, dass die erzwungene Leitplanke aufgeführt ist

  6. Testen und verifizieren Sie die Durchsetzung
    Testen Sie mit einer Rolle in Ihrem Konto

    So testen Sie die Durchsetzung von Ihrem Konto aus:

    1. Führen Sie einen Amazon Bedrock-Inferenzanruf mitInvokeModel,Converse, oder InvokeModelWithResponseStream ConverseStream

    2. Die vom Konto erzwungene Schutzmaßnahme sollte automatisch sowohl für Eingaben als auch für Ausgaben gelten

    3. Informationen zur Bewertung der Leitplanken finden Sie in der Antwort. Die Antwort auf die Leitplanke wird Informationen zur Einhaltung der Leitplanken enthalten.

Überwachen

  • Verfolgen Sie Leitplankeneingriffe und Kennzahlen mithilfe von CloudWatch Kennzahlen für Amazon Bedrock Guardrails

  • Überprüfen Sie die CloudTrail Protokolle für ApplyGuardrail API-Aufrufe, um Nutzungsmuster zu überwachen, z. B. AccessDenied Ausnahmen, die auf Probleme mit der Konfiguration von IAM-Berechtigungen hinweisen. Sehen Sie sich Amazon Bedrock-Datenereignisse an in CloudTrail

Preisgestaltung

Die Durchsetzung von Amazon Bedrock Guardrails folgt dem aktuellen Preismodell für Amazon Bedrock Guardrails, das auf der Anzahl der pro konfigurierten Schutzmaßnahme verbrauchten Texteinheiten basiert. Für jede durchgesetzte Schutzplanke fallen Gebühren entsprechend den konfigurierten Schutzmaßnahmen an. Detaillierte Preisinformationen zu den einzelnen Schutzmaßnahmen finden Sie unter Amazon Bedrock Pricing.

Häufig gestellte Fragen

Wie wird der Verbrauch im Verhältnis zu den Quoten berechnet, wenn durchgesetzte Leitplanken gelten?

Der Verbrauch wird pro Guardrail-ARN berechnet, der jeder Anfrage zugeordnet ist, und wird auf das AWS Konto angerechnet, das den API-Aufruf durchführt. Beispiel: Ein ApplyGuardrail Aufruf mit 1000 Zeichen Text und 3 Leitplanken würde 3 Texteinheiten des Verbrauchs pro Leitplanke und Schutzmaßnahme in der Leitplanke generieren.

Anrufe von Mitgliedskonten, die die Amazon Bedrock-Richtlinie verwenden, werden auf die Servicekontingente für das Mitgliedskonto angerechnet. Lesen Sie die Service Quotas Console oder die Dokumentation zu Service Quotas und stellen Sie sicher, dass Ihre Guardrails-Laufzeitlimits für Ihr Anrufvolumen ausreichend sind.

Wie verhindere ich mithilfe von Eingabe-Tags, dass Mitgliedskonten Guardrails umgehen?

Verwenden Sie das input_tags Steuerelement, das verfügbar ist in:

Stellen Sie den Wert auf Ignorieren ein, um zu verhindern, dass Mitgliedskonten unvollständige Inhalte taggen.

Was passiert, wenn meine Anfrage sowohl auf Organisations- als auch auf Kontoebene erzwungene Schutzmaßnahmen sowie eine Schutzplanke enthält?

Alle 3 Leitplanken werden zur Laufzeit durchgesetzt. Der Nettoeffekt ist eine Vereinigung aller Leitplanken, wobei die restriktivste Kontrolle Vorrang hat.

Was passiert mit Modellen, die keine Leitplanken unterstützen?

Bei Modellen, bei denen Leitplanken nicht unterstützt werden (z. B. beim Einbetten von Modellen), wird ein Laufzeitvalidierungsfehler ausgelöst.

Kann ich eine Leitplanke löschen, die in einer Erzwingungskonfiguration verwendet wird?

Nein. Standardmäßig verhindert die DeleteGuardrailAPI das Löschen von Schutzmaßnahmen, die mit Durchsetzungskonfigurationen auf Konto- oder Organisationsebene verknüpft sind.