Appliquez des mesures de protection entre comptes grâce aux mesures d'application d'Amazon Bedrock Guardrails - Amazon Bedrock
Guide de mise en œuvreContrôleTarificationQuestions fréquentes (FAQ)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appliquez des mesures de protection entre comptes grâce aux mesures d'application d'Amazon Bedrock Guardrails

Note

Amazon Bedrock Guardrails Enforcements est en cours de prévisualisation et peut faire l'objet de modifications.

Les applications Amazon Bedrock Guardrails vous permettent d'appliquer automatiquement des contrôles de sécurité au niveau du AWS compte et à un AWS Organizations niveau (entre les comptes) pour toutes les invocations de modèles avec Amazon Bedrock. Cette approche centralisée assure des garanties cohérentes sur plusieurs comptes et applications, éliminant ainsi le besoin de configurer des garde-fous pour des comptes et applications individuels.

Capacités clés

Les principales capacités de l'application des garde-corps sont les suivantes :

  • Application au niveau de l'organisation — Appliquez des garde-fous à tous les modèles d'invocation avec Amazon Bedrock au sein des unités organisationnelles (OUs), des comptes individuels ou de l'ensemble de votre organisation en utilisant les politiques d'Amazon Bedrock (en version préliminaire) avec. AWS Organizations

  • Application au niveau du compte — Désignez une version particulière d'un garde-corps au sein d'un compte AWS pour toutes les invocations du modèle Amazon Bedrock provenant de ce compte.

  • Protection par couches : combinez des garde-fous spécifiques à l'organisation et à l'application lorsque les deux sont présents. Le contrôle de sécurité efficace sera une union des deux garde-corps, les contrôles les plus restrictifs ayant préséance en cas de même commande depuis les deux garde-corps.

Les rubriques suivantes décrivent comment utiliser les outils d'application d'Amazon Bedrock Guardrails :

Guide de mise en œuvre

Les didacticiels ci-dessous décrivent les étapes nécessaires pour appliquer des mesures de protection aux comptes appartenant à une AWS organisation et à un compte uniqueAWS. Grâce à ces mesures, toutes les invocations de modèles adressées à Amazon Bedrock appliqueront les mesures de protection configurées dans le garde-corps désigné.

Tutoriel : Application de la loi au niveau de l'organisation

Ce didacticiel vous explique comment configurer l'application des garde-fous au sein de votre AWS organisation. À la fin, vous aurez un garde-fou qui s'appliquera automatiquement à toutes les invocations du modèle Amazon Bedrock sur des comptes spécifiques ou. OUs

Qui devrait suivre ce tutoriel

AWSAdministrateurs de l'organisation (ayant accès à un compte de gestion) autorisés à créer des garde-fous et à gérer AWS Organizations les politiques.

Ce dont vous aurez besoin

Les éléments suivants sont nécessaires pour suivre ce didacticiel :

Pour configurer l'application des garde-fous au niveau de l'organisation
  1. Planifiez la configuration de votre garde-corps

    1. Définissez vos mesures de protection :

      • Consultez les filtres de garde-corps disponibles dans la documentation Amazon Bedrock Guardrails

      • Identifiez le filtre dont vous avez besoin. Actuellement, les filtres de contenu, les sujets refusés, les filtres de mots, les filtres d'informations sensibles et les vérifications contextuelles de base sont pris en charge.

      • Remarque : N'incluez pas la politique de raisonnement automatique, car elle n'est pas prise en charge pour l'application des garde-fous et peut entraîner des échecs d'exécution.

    2. Identifiez les comptes cibles :

      • Déterminez quels OUs comptes ou l'ensemble de votre organisation feront appliquer ce garde-fou

  2. Créez votre garde-corps dans le compte de gestion

    Créez un garde-corps dans chaque région où vous souhaitez le renforcer à l'aide de l'une des méthodes suivantes :

    • En utilisant AWS Management Console :

      1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

      2. Dans le panneau de navigation de gauche, choisissez Guardrails

      3. Choisissez Créer un garde-corps

      4. Suivez l'assistant pour configurer les filtres ou les mesures de protection souhaités (filtres de contenu, sujets refusés, filtres de mots, filtres d'informations sensibles, vérifications contextuelles de base)

      5. Ne pas activer la politique de raisonnement automatique

      6. Complétez l'assistant pour créer votre garde-corps

    • Utilisation de l'API : utilisez l'CreateGuardrailAPI

    Vérification

    Une fois créé, vous devriez le voir dans la liste des rambardes sur la page d'accueil des rambardes ou le rechercher dans la liste des rambardes en utilisant le nom du garde-corps

  3. Création d'une version de garde-corps

    Créez une version numérique pour garantir que la configuration du garde-corps reste immuable et ne peut pas être modifiée par les comptes des membres.

    • En utilisant AWS Management Console :

      1. Sélectionnez le garde-corps créé à l'étape précédente sur la page Gardrails de la console Amazon Bedrock.

      2. Choisissez Créer une version

      3. Notez l'ARN du garde-corps et le numéro de version (par exemple, « 1 », « 2 », etc.)

    • Utilisation de l'API : utilisez l'CreateGuardrailVersionAPI

    Vérification

    Vérifiez que la version a été créée avec succès en consultant la liste des versions sur la page détaillée de Guardrail.

  4. Joindre une politique basée sur les ressources

    Activez l'accès entre comptes en attachant une politique basée sur les ressources à votre garde-fou.

    Vérification

    Testez l'accès depuis un compte membre à l'aide de l'ApplyGuardrailAPI pour vous assurer que l'autorisation est correctement configurée.

  5. Configuration des autorisations IAM dans les comptes membres

    Assurez-vous que tous les rôles des comptes membres disposent des autorisations IAM pour accéder au garde-fou imposé.

    Autorisations requises

    Les rôles des comptes membres nécessitent une bedrock:ApplyGuardrail autorisation pour assurer le garde-fou du compte de gestion. Voir Configuration d’autorisations pour utiliser les barrières de protection Amazon Bedrock pour des exemples de politiques IAM détaillés

    Vérification

    Vérifiez que les rôles dotés d'autorisations limitées dans les comptes membres peuvent appeler correctement l'ApplyGuardrailAPI à l'aide du garde-fou.

  6. Activez le type de politique Amazon Bedrock dans AWS Organizations

    • Utilisation de AWS Management Console — Pour activer la politique Amazon Bedrock, tapez à l'aide de la console :

      1. Accédez à la AWS Organizations console

      2. Choisissez les politiques

      3. Choisissez les politiques d'Amazon Bedrock (actuellement en version préliminaire)

      4. Choisissez Activer les politiques Amazon Bedrock pour activer le type de politique Amazon Bedrock pour votre organisation.

    • Utilisation de l'API — Utiliser l'AWS OrganizationsEnablePolicyTypeAPI avec le type de politique BEDROCK_POLICY

    Vérification

    Vérifiez que le type de politique Amazon Bedrock est activé dans la AWS Organizations console.

  7. Créer et joindre une AWS Organizations politique

    Créez une politique de gestion qui spécifie votre garde-fou et attachez-la à vos comptes cibles ou. OUs

    • À l'aide de AWS Management Console — Pour créer et associer une AWS Organizations politique à l'aide de la console, procédez comme suit :

      1. Dans la AWS Organizations console, accédez à Politiques > Politiques d'Amazon Bedrock

      2. Choisir Create policy (Créer une stratégie)

      3. Spécifiez l'ARN et la version de votre garde-corps

      4. Configurez le input_tags paramètre (défini sur ignorer pour empêcher les comptes membres de contourner le garde-corps lors de l'entrée via les balises de saisie Guardrails).

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. Enregistrez la politique

      6. Associez la politique aux cibles souhaitées (racine de l'organisation ou comptes individuels) en accédant à l'onglet Cibles et en choisissant Joindre OUs

    • Utilisation de l'API — Utilisez l'AWS OrganizationsCreatePolicyAPI avec le type de politiqueBEDROCK_POLICY. AttachPolicyÀ utiliser pour attacher à des cibles

    Pour en savoir plus : Politiques d'Amazon Bedrock dans AWS Organizations

    Vérification

    Vérifiez que la politique est attachée aux bonnes cibles dans la AWS Organizations console.

  8. Tester et vérifier l'application

    Vérifiez que le garde-fou est appliqué sur les comptes des membres.

    Vérifiez quel garde-corps est appliqué

    • À l'aide de AWS Management Console — Depuis un compte membre, accédez à la console Amazon Bedrock, cliquez sur Guardrails dans le panneau de gauche. Sur la page d'accueil de Guardrails, vous devriez voir le garde-corps appliqué par l'organisation dans la section Configurations d'application au niveau de l'organisation dans le compte de gestion et Garde-corps appliqués au niveau de l'organisation dans le compte membre.

    • Utilisation de l'API — À partir d'un compte membre, appelez DescribeEffectivePolicyavec votre identifiant de compte membre comme identifiant cible

    Tester depuis un compte membre

    1. Passez un appel d'inférence Amazon Bedrock en utilisant InvokeModel, InvokeModelWithResponseStream, Converse ou. ConverseStream

    2. Le garde-corps imposé devrait s'appliquer automatiquement aux entrées et aux sorties

    3. Consultez la réponse pour obtenir des informations sur l'évaluation du garde-corps. La réponse du garde-corps comprendra des informations sur le garde-corps imposé.

Tutoriel : Application au niveau du compte

Ce didacticiel vous explique comment configurer l'application des garde-fous au sein d'un seul AWS compte. À la fin, vous disposerez d'un garde-fou qui s'appliquera automatiquement à toutes les invocations du modèle Amazon Bedrock sur votre compte.

Qui devrait suivre ce tutoriel

AWSadministrateurs de comptes autorisés à créer des garde-fous et à configurer les paramètres au niveau du compte.

Ce dont vous aurez besoin

Les éléments suivants sont nécessaires pour suivre ce didacticiel :

  • Un AWS compte doté des autorisations IAM appropriées

  • Compréhension des exigences de sécurité de votre compte

Pour configurer l'application des garde-fous au niveau du compte
  1. Planifiez la configuration de votre garde-corps
    Définissez vos mesures de protection

    Pour définir vos mesures de protection :

    • Consultez les filtres de garde-corps disponibles dans la documentation Amazon Bedrock Guardrails

    • Identifiez le filtre dont vous avez besoin. Actuellement, les filtres de contenu, les sujets refusés, les filtres de mots, les filtres d'informations sensibles et les vérifications contextuelles de base sont pris en charge.

    • Remarque : n'incluez pas la politique de raisonnement automatique, car elle n'est pas prise en charge pour l'application des garde-fous et peut entraîner des échecs d'exécution

  2. Création d’une barrière de protection

    Créez un garde-corps dans chaque région où vous souhaitez le renforcer.

    Via AWS Management Console

    Pour créer un garde-corps à l'aide de la console :

    1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

    2. Dans le panneau de navigation de gauche, choisissez Guardrails

    3. Choisissez Créer un garde-corps

    4. Suivez l'assistant pour configurer les politiques souhaitées (filtres de contenu, sujets refusés, filtres de mots, filtres d'informations sensibles)

    5. Ne pas activer la politique de raisonnement automatique

    6. Complétez l'assistant pour créer votre garde-corps

    Via l'API

    Utilisation de l'API CreateGuardrail

    Vérification

    Une fois créé, vous devriez le voir dans la liste des rambardes sur la page d'accueil des rambardes ou le rechercher dans la liste des rambardes en utilisant le nom du garde-corps

  3. Création d'une version de garde-corps

    Créez une version numérique pour garantir que la configuration du garde-corps reste immuable et ne peut pas être modifiée par les comptes des membres.

    Via AWS Management Console

    Pour créer une version de garde-corps à l'aide de la console :

    1. Sélectionnez le garde-corps créé à l'étape précédente sur la page Gardrails de la console Amazon Bedrock.

    2. Choisissez Créer une version

    3. Notez l'ARN du garde-corps et le numéro de version (par exemple, « 1 », « 2 », etc.)

    Via l'API

    Utilisation de l'API CreateGuardrailVersion

    Vérification

    Vérifiez que la version a été créée avec succès en consultant la liste des versions sur la page détaillée de Guardrail.

  4. Joindre une politique basée sur les ressources (facultatif)

    Si vous souhaitez partager le garde-fou avec des rôles spécifiques dans votre compte, joignez une politique basée sur les ressources.

    Via AWS Management Console

    Pour associer une politique basée sur les ressources à l'aide de la console :

    1. Dans la console Amazon Bedrock Guardrails, sélectionnez votre garde-corps

    2. Cliquez sur Ajouter pour ajouter une politique basée sur les ressources

    3. Ajoutez une politique qui accorde bedrock:ApplyGuardrail l'autorisation aux rôles souhaités

    4. Enregistrez la politique

  5. Permettre l'application au niveau du compte

    Configurez le compte pour utiliser votre garde-corps pour toutes les invocations d'Amazon Bedrock. Cela doit être fait dans toutes les régions où vous souhaitez faire appliquer la loi.

    Via AWS Management Console

    Pour activer l'application au niveau du compte à l'aide de la console :

    1. Accédez à la console Amazon Bedrock

    2. Choisissez Guardrails dans le panneau de navigation de gauche

    3. Dans la section Configurations d'application au niveau du compte, choisissez Ajouter

    4. Sélectionnez votre garde-corps et votre version

    5. Configurez le input_tags paramètre (défini sur IGNORE pour empêcher les comptes membres de contourner le garde-corps en entrée via les balises de saisie Guardrails)

    6. Soumettre la configuration

    7. Répétez l'opération pour chaque région où vous souhaitez faire appliquer la loi

    Via l'API

    Utilisez l'PutEnforcedGuardrailConfigurationAPI dans toutes les régions où vous souhaitez appliquer le garde-corps

    Vérification

    Vous devriez voir le garde-corps imposé par le compte dans la section Configuration du garde-corps imposé par le compte sur la page Gardrails. Vous pouvez appeler ListEnforcedGuardrailsConfigurationl'API pour vous assurer que le garde-corps imposé est répertorié

  6. Tester et vérifier l'application
    Testez l'utilisation d'un rôle dans votre compte

    Pour tester l'application depuis votre compte, procédez comme suit :

    1. Passez un appel d'inférence Amazon Bedrock en utilisantInvokeModel,Converse, ou InvokeModelWithResponseStream ConverseStream

    2. Le garde-fou imposé par le compte devrait s'appliquer automatiquement aux entrées et aux sorties

    3. Consultez la réponse pour obtenir des informations sur l'évaluation du garde-corps. La réponse du garde-corps comprendra des informations sur le garde-corps imposé.

Contrôle

Tarification

L'application d'Amazon Bedrock Guardrails suit le modèle de tarification actuel d'Amazon Bedrock Guardrails basé sur le nombre d'unités de texte consommées par sauvegarde configurée. Des frais s'appliquent à chaque garde-corps appliqué en fonction de ses mesures de protection configurées. Pour obtenir des informations détaillées sur les prix relatifs aux garanties individuelles, veuillez consulter les tarifs d'Amazon Bedrock.

Questions fréquentes (FAQ)

Comment est calculée la consommation par rapport aux quotas lorsque des barrières de sécurité renforcées s'appliquent ?

La consommation sera calculée par ARN de garde-corps associé à chaque demande et sera comptabilisée dans le AWS compte effectuant l'appel d'API. Par exemple : un ApplyGuardrail appel contenant 1 000 caractères de texte et 3 rambardes générerait 3 unités de texte consommées par garde-corps et par dispositif de protection intégré au garde-corps.

Les appels effectués dans le cadre de la politique Amazon Bedrock seront pris en compte dans le calcul des Quotas de Service relatifs au compte membre. Consultez la console Service Quotas ou la documentation Service Quotas et assurez-vous que les limites d'exécution de Guardrails sont suffisantes pour votre volume d'appels.

Comment empêcher les comptes membres de contourner les barrières de sécurité à l'aide de balises de saisie ?

Utilisez le input_tags contrôle disponible dans :

Définissez la valeur à ignorer pour empêcher les comptes membres de baliser un contenu partiel.

Que se passe-t-il si ma demande comporte des barrières de sécurité appliquées à la fois au niveau de l'organisation et au niveau du compte ?

Les 3 rambardes seront appliquées au moment de l'exécution. L'effet net est une union de tous les garde-fous, le contrôle le plus restrictif ayant la priorité.

Que se passe-t-il avec les modèles qui ne sont pas compatibles avec les glissières de sécurité ?

Pour les modèles sur lesquels Guardrails ne sont pas pris en charge (tels que les modèles d'intégration), une erreur de validation d'exécution sera générée.

Puis-je supprimer un garde-corps utilisé dans une configuration d'application ?

Non Par défaut, l'DeleteGuardrailAPI empêche la suppression des barrières de sécurité associées aux configurations d'application au niveau du compte ou de l'organisation.