Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Aplica medidas de seguridad entre cuentas con las medidas de seguridad de Amazon Bedrock Guardrails
nota
Las medidas de cumplimiento de Amazon Bedrock Guardrails están en versión preliminar y están sujetas a cambios.
Las medidas de seguridad de Amazon Bedrock Guardrails le permiten aplicar automáticamente controles de seguridad a nivel de AWS cuenta y a AWS Organizations nivel (en todas las cuentas) para todas las invocaciones de modelos con Amazon Bedrock. Este enfoque centralizado mantiene medidas de protección uniformes en varias cuentas y aplicaciones, lo que elimina la necesidad de configurar barreras de protección para cuentas y aplicaciones individuales.
Capacidades clave
Las principales funciones de los dispositivos de protección son las siguientes:
-
Aplicación a nivel de la organización: aplique barreras a todas las invocaciones de modelos con Amazon Bedrock en todas las unidades organizativas (OUs), las cuentas individuales o toda la organización mediante las políticas de Amazon Bedrock (en versión preliminar) con. AWS Organizations
-
Aplicación a nivel de cuenta: designe una versión concreta de una barrera de protección dentro de una cuenta AWS para todas las invocaciones del modelo Amazon Bedrock desde esa cuenta.
-
Protección por capas: combine barreras de protección específicas de la organización y de la aplicación cuando ambas estén presentes. El control de seguridad efectivo consistirá en la unión de ambas barandillas, y prevalecerán los controles más restrictivos en caso de que se controle el mismo nivel desde ambas barandillas.
En los siguientes temas se describe cómo utilizar las medidas de seguridad de Amazon Bedrock Guardrails:
Guía de implementación
En los tutoriales que aparecen a continuación, se explican los pasos necesarios para aplicar barreras de protección a las cuentas de una AWS organización y a las cuentas individuales. AWS Con estas medidas, todas las invocaciones modelo a Amazon Bedrock aplicarán las protecciones configuradas dentro de la barandilla designada.
Tutorial: Aplicación a nivel de la organización
En este tutorial, se explica cómo configurar la aplicación de las barreras de seguridad en toda la organización. AWS Al final, dispondrá de una barrera de protección que se aplicará automáticamente a todas las invocaciones del modelo Amazon Bedrock en cuentas específicas o. OUs
¿Quién debería seguir este tutorial
AWSAdministradores de la organización (con acceso a la cuenta de administración) con permisos para crear barreras y administrar AWS Organizations políticas.
Lo que necesitarás
Se requiere lo siguiente para completar este tutorial:
-
Una AWSorganización con acceso a una cuenta de administración
-
Permisos de IAM para crear barreras y gestionar políticas AWS Organizations
-
Comprensión de los requisitos de seguridad de su organización
Para configurar la aplicación de las barandillas a nivel de la organización
-
Planifique la configuración de la barandilla
-
Defina sus medidas de protección:
-
Consulte los filtros de barandilla disponibles en la documentación de Amazon Bedrock Guardrails
-
Identifique qué filtro necesita. Actualmente, se admiten los filtros de contenido, los temas rechazados, los filtros de palabras, los filtros de información confidencial y las comprobaciones contextuales.
-
Nota: No incluyas la política de razonamiento automatizado, ya que no es compatible con las medidas cautelares y provocará errores en el tiempo de ejecución.
-
-
Identifique las cuentas objetivo:
-
Determine a qué OUs cuentas o a toda la organización se les aplicará esta barrera
-
-
-
Cree su barrera en la cuenta de administración
Cree una barandilla en cada región en la que desee reforzarla con uno de los siguientes métodos:
-
Usando: Consola de administración de AWS
-
Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock.
-
En el panel de navegación izquierdo, selecciona Guardrails
-
Elija Crear barandilla
-
Siga las instrucciones del asistente para configurar los filtros o medidas de seguridad que desee (filtros de contenido, temas rechazados, filtros de palabras, filtros de información confidencial, comprobaciones contextuales)
-
No habilite la política de razonamiento automático
-
Complete el asistente para crear su barandilla
-
-
Uso de la API: utilice la API CreateGuardrail
Verificar
Una vez creada, debería verla en la lista de barandas de la página de inicio o buscarla en la lista de barandillas por el nombre de la barandilla
-
-
Cree una versión de barandilla
Cree una versión numérica para garantizar que la configuración de la barandilla permanezca inmutable y las cuentas de los miembros no puedan modificarla.
-
Uso de: Consola de administración de AWS
-
Seleccione la barandilla creada en el paso anterior en la página Guardrails de la consola Amazon Bedrock
-
Seleccione Crear versión
-
Anote el ARN de la barandilla y el número de versión (p. ej., «1", «2", etc.)
-
-
Uso de la API: utilice la API CreateGuardrailVersion
Verificar
Confirme que la versión se creó correctamente consultando la lista de versiones en la página de detalles de Guardrail.
-
-
Adjunte una política basada en recursos
Habilite el acceso entre cuentas adjuntando una política basada en recursos a su barandilla.
-
Uso deConsola de administración de AWS: para adjuntar una política basada en recursos mediante la consola:
-
En la consola Amazon Bedrock Guardrails, selecciona tu barandilla
-
Haga clic en Agregar para agregar una política basada en recursos
-
Agregue una política que conceda
bedrock:ApplyGuardrailpermisos a todas las cuentas u organizaciones de los miembros. Consulte Comparta la barandilla con su organización en Uso de políticas basadas en recursos para barandas. -
Guarde la política
-
Verificar
Pruebe el acceso desde la cuenta de un miembro mediante la ApplyGuardrailAPI para asegurarse de que la autorización esté configurada correctamente.
-
-
Configure los permisos de IAM en las cuentas de los miembros
Asegúrese de que todos los roles de las cuentas de los miembros tengan permisos de IAM para acceder a la barrera obligatoria.
Permisos necesarios
Los roles de las cuentas de los miembros necesitan
bedrock:ApplyGuardrailpermiso para la barrera de protección de la cuenta de administración. Consulte Configuración de permisos para usar Barreras de protección para Amazon Bedrock para ver ejemplos detallados de políticas de IAMVerificar
Confirma que los roles con permisos limitados en las cuentas de los miembros puedan llamar correctamente a la
ApplyGuardrailAPI sin problemas. -
Habilita el tipo de política de Amazon Bedrock en AWS Organizations
-
Uso del Consola de administración de AWS — Para habilitar el tipo de política Amazon Bedrock mediante la consola:
-
Navegue hasta la consola AWS Organizations
-
Elija políticas
-
Elige las políticas de Amazon Bedrock (actualmente en versión preliminar)
-
Seleccione Habilitar políticas de Amazon Bedrock para habilitar el tipo de política de Amazon Bedrock para su organización.
-
-
Uso de la API: utilice la AWS Organizations EnablePolicyTypeAPI con el tipo de política
BEDROCK_POLICY
Verificar
Confirma que el tipo de política de Amazon Bedrock aparece como activado en la AWS Organizations consola.
-
-
Cree y adjunte una política AWS Organizations
Cree una política de administración que especifique su barrera de protección y adjúntela a sus cuentas de destino o. OUs
-
Uso deConsola de administración de AWS: para crear y adjuntar una AWS Organizations política mediante la consola:
-
En la AWS Organizations consola, vaya a Políticas > Políticas de Amazon Bedrock
-
Elija Create Policy
-
Especifique el ARN y la versión de la barandilla
-
{ "bedrock": { "guardrail_inference": { "us-east-1": { "config_1": { "identifier": { "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1" }, "input_tags": { "@@assign": "honor" } } } } } } -
Guarde la política
-
Adjunta la política a los objetivos que desees (organización OUs, raíz o cuentas individuales) accediendo a la pestaña Objetivos y seleccionando Adjuntar
-
-
Uso de la API: utilice la AWS Organizations CreatePolicyAPI con el tipo
BEDROCK_POLICYde política. Se usa AttachPolicypara adjuntar a los objetivos
Más información: Políticas de Amazon Bedrock en AWS Organizations
Verificar
Comprueba que la política esté asociada a los objetivos correctos de la AWS Organizations consola.
-
-
Pruebe y verifique su cumplimiento
Compruebe que se aplique la barrera de seguridad en las cuentas de los miembros.
Compruebe qué barandilla se aplica
-
ConConsola de administración de AWS: Desde una cuenta de miembro, navegue hasta la consola de Amazon Bedrock y haga clic en Guardrails en el panel izquierdo. En la página de inicio de Guardrails, deberías ver la barrera de protección reforzada por la organización en la sección Configuraciones de aplicación a nivel de organización en la cuenta de administración y Barreras de protección forzadas a nivel de organización en la cuenta de miembro
-
Uso de la API: desde una cuenta de miembro, llame con su ID de cuenta de miembro como ID de destino DescribeEffectivePolicy
Realiza la prueba desde una cuenta de miembro
-
Realice una llamada de inferencia de Amazon Bedrock mediante InvokeModelInvokeModelWithResponseStream, Converse o. ConverseStream
-
La barandilla reforzada debería aplicarse automáticamente tanto a las entradas como a las salidas
-
Compruebe la respuesta para obtener información sobre la evaluación de la barandilla. La respuesta sobre la barandilla incluirá información sobre la barandilla forzada.
-
Tutorial: Aplicación de normas a nivel de cuenta
En este tutorial, se explica cómo configurar la aplicación de medidas cautelares en una sola cuenta. AWS Al final, dispondrá de una barrera de protección que se aplicará automáticamente a todas las invocaciones del modelo Amazon Bedrock en su cuenta.
¿Quién debería seguir este tutorial
AWSadministradores de cuentas con permisos para crear barandas y configurar los ajustes a nivel de cuenta.
Lo que necesitarás
Se requiere lo siguiente para completar este tutorial:
-
Una AWS cuenta con los permisos de IAM adecuados
-
Comprensión de los requisitos de seguridad de su cuenta
Para configurar la aplicación de medidas cautelares a nivel de cuenta
-
Planifique la configuración de la barandilla
Defina sus medidas de seguridad
Para definir sus medidas de protección:
-
Consulte los filtros de barandilla disponibles en la documentación de Amazon Bedrock Guardrails
-
Identifique qué filtro necesita. Actualmente, se admiten los filtros de contenido, los temas rechazados, los filtros de palabras, los filtros de información confidencial y las comprobaciones contextuales.
-
Nota: No incluyas la política de razonamiento automatizado, ya que no es compatible con las normas de seguridad y provocará fallos en el tiempo de ejecución
-
-
Creación de una barrera de protección
Cree una barrera de protección en cada región en la que desee aplicarla.
Vía Consola de administración de AWS
Para crear una barandilla con la consola:
-
Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en https://console.aws.amazon.com/bedrock.
-
En el panel de navegación izquierdo, selecciona Guardrails
-
Elija Crear barandilla
-
Siga las instrucciones del asistente para configurar las políticas que desee (filtros de contenido, temas rechazados, filtros de palabras, filtros de información confidencial)
-
No habilite la política de razonamiento automatizado
-
Complete el asistente para crear su barandilla
A través de la API
Uso de la API de
CreateGuardrail.Verificar
Una vez creada, deberías verla en la lista de barandas de la página de inicio o buscarla en la lista de barandillas con el nombre de la barandilla
-
-
Cree una versión de barandilla
Cree una versión numérica para garantizar que la configuración de la barandilla permanezca inmutable y las cuentas de los miembros no puedan modificarla.
A través de Consola de administración de AWS
Para crear una versión de barandilla mediante la consola:
-
Seleccione la barandilla creada en el paso anterior en la página Guardrails de la consola Amazon Bedrock
-
Seleccione Crear versión
-
Anote el ARN de la barandilla y el número de versión (p. ej., «1", «2", etc.)
A través de la API
Uso de la API de
CreateGuardrailVersion.Verificar
Compruebe que la versión se ha creado correctamente consultando la lista de versiones en la página de detalles de Guardrail.
-
-
Adjunte una política basada en recursos (opcional)
Si quieres compartir la barrera con funciones específicas de tu cuenta, adjunta una política basada en recursos.
A través de Consola de administración de AWS
Para adjuntar una política basada en recursos mediante la consola:
-
En la consola Amazon Bedrock Guardrails, selecciona tu barandilla
-
Haga clic en Agregar para agregar una política basada en recursos
-
Agregue una política que conceda
bedrock:ApplyGuardrailpermisos a las funciones deseadas -
Guarde la política
-
-
Habilite la aplicación a nivel de cuenta
Configure la cuenta para usar su barandilla en todas las invocaciones de Amazon Bedrock. Esto debe hacerse en todas las regiones en las que desee hacer cumplir la ley.
Vía Consola de administración de AWS
Para habilitar la aplicación a nivel de cuenta mediante la consola:
-
Navegue hasta la consola Amazon Bedrock
-
Seleccione Guardrails en el panel de navegación izquierdo
-
En la sección de configuraciones de aplicación a nivel de cuenta, elija Agregar
-
Seleccione su barandilla y su versión
-
Configura la
input_tagsconfiguración (ajústala en IGNORAR para evitar que las cuentas de los miembros pasen por alto la barandilla de entrada a través de las etiquetas de entrada de la barandilla) -
Envíe la configuración
-
Repita el procedimiento para cada región en la que desee que se aplique
A través de la API
Utilice la
PutEnforcedGuardrailConfigurationAPI en todas las regiones en las que desee reforzar la barandillaVerificar
Deberías ver la barrera de protección reforzada por la cuenta en la sección Configuración de la barrera de protección forzada por la cuenta en la página de barreras de protección. Puedes llamar a la ListEnforcedGuardrailsConfigurationAPI para asegurarte de que la barandilla forzada aparezca en la lista
-
-
Pruebe y verifique la aplicación
Prueba a usar un rol en tu cuenta
Para probar el cumplimiento desde tu cuenta, sigue estos pasos:
-
Realice una llamada de inferencia de Amazon Bedrock utilizando
InvokeModel,Converse,InvokeModelWithResponseStreamoConverseStream -
La barrera impuesta por la cuenta debería aplicarse automáticamente tanto a las entradas como a las salidas
-
Compruebe la respuesta para obtener información sobre la evaluación de la barandilla. La respuesta sobre la barandilla incluirá información sobre la barandilla forzada.
-
Supervisión
-
Realice un seguimiento de las intervenciones y las métricas de las barandillas mediante las métricas de Amazon CloudWatch Bedrock Guardrails
-
Revise CloudTrail los registros de las llamadas a la
ApplyGuardrailAPI para monitorear los patrones de uso, como las AccessDenied excepciones que indiquen problemas de configuración de los permisos de IAM. Consulte los eventos de datos de Amazon Bedrock en CloudTrail
Precios
La aplicación de Amazon Bedrock Guardrails sigue el modelo de precios actual de Amazon Bedrock Guardrails en función del número de unidades de texto consumidas por dispositivo de protección configurado. Se aplican cargos a cada barandilla reforzada de acuerdo con las protecciones configuradas. Para obtener información detallada sobre los precios y las medidas de seguridad individuales, consulta Amazon Bedrock Pricing
Preguntas frecuentes
- ¿Cómo se calcula el consumo con arreglo a las cuotas cuando se aplican barreras obligatorias?
-
El consumo se calculará por cada ARN de barandilla asociado a cada solicitud y se tendrá en cuenta para la AWS cuenta que realiza la llamada a la API. Por ejemplo: una
ApplyGuardrailllamada con 1000 caracteres de texto y 3 barandillas generaría 3 unidades de texto de consumo por barandilla y por salvaguarda de la barandilla.Las llamadas a cuentas de miembros que utilicen la Política de Amazon Bedrock se tendrán en cuenta a efectos de los Service Quotas de la cuenta de miembro. Revise la documentación de Service Quotas Console o Service Quotas y asegúrese de que los límites de tiempo de ejecución de sus Guardrails sean suficientes para su volumen de llamadas.
- ¿Cómo puedo evitar que las cuentas de los miembros pasen por alto las barreras mediante etiquetas de entrada?
-
Utilice el
input_tagscontrol disponible en:-
Políticas de Amazon Bedrock AWS Organizations
-
La API de PutEnforcedGuardrailConfiguration
Establezca el valor en ignorar para evitar que las cuentas de los miembros etiqueten contenido parcial.
-
- ¿Qué sucede si mi solicitud incluye barreras de seguridad obligatorias tanto a nivel de organización como de cuenta?
-
Las tres barandillas se aplicarán durante el tiempo de ejecución. El efecto neto es la unión de todas las barandillas, prevaleciendo el control más restrictivo.
- ¿Qué ocurre con los modelos que no admiten barandas?
-
En el caso de los modelos en los que no se admiten barandas (como los modelos integrados), se generará un error de validación en tiempo de ejecución.
- ¿Puedo eliminar una barandilla que se esté utilizando en una configuración de cumplimiento?
-
No. De forma predeterminada, la DeleteGuardrailAPI impide la eliminación de las barreras asociadas a las configuraciones de aplicación a nivel de cuenta o de organización.
