View a markdown version of this page

Appliquez des mesures de protection entre comptes grâce aux mesures d'application d'Amazon Bedrock Guardrails - Amazon Bedrock
Guide d'implémentationContrôleTarificationQuestions fréquentes (FAQ)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appliquez des mesures de protection entre comptes grâce aux mesures d'application d'Amazon Bedrock Guardrails

Amazon Bedrock Guardrails vous permet d'appliquer automatiquement des mesures de protection à plusieurs comptes d'une organisation par le biais des politiques d'AWS Organizations Amazon Bedrock. Cela permet une protection uniforme sur tous les comptes grâce à un contrôle et une gestion centralisés. En outre, cette fonctionnalité offre également la flexibilité d'appliquer des contrôles au niveau du compte et spécifiques à l'application en fonction des exigences du cas d'utilisation.

Capacités clés

Les principales capacités de l'application des garde-corps sont les suivantes :

  • Application au niveau de l'organisation — Appliquez des garde-fous pour tous les modèles d'invocation avec Amazon Bedrock au sein des unités organisationnelles (OUs), des comptes individuels ou de l'ensemble de votre organisation en utilisant les politiques d'Amazon Bedrock avec. AWS Organizations

  • Application au niveau du compte — Désignez une version particulière d'un garde-corps au sein d'un compte AWS pour toutes les invocations du modèle Amazon Bedrock provenant de ce compte.

  • Protection par couches : combinez des garde-fous spécifiques à l'organisation et à l'application lorsque les deux sont présents. Le contrôle de sécurité efficace sera une union des deux garde-corps, les contrôles les plus restrictifs ayant préséance en cas de même commande depuis les deux garde-corps.

Les rubriques suivantes décrivent comment utiliser les outils d'application d'Amazon Bedrock Guardrails :

Guide d'implémentation

Les étapes ci-dessous fournissent des détails sur la mise en œuvre de mesures de protection pour les comptes au sein d'une AWS organisation et pour un seul compte. AWS Grâce à ces mesures, toutes les invocations de modèles adressées à Amazon Bedrock appliqueront les mesures de protection configurées dans le garde-corps désigné.

Application au niveau de l'organisation

Cette section décrit la mise en place de l'application des garde-fous au sein de votre AWS organisation. Une fois configuré, vous disposerez d'un garde-corps qui s'appliquera automatiquement à toutes les invocations du modèle Amazon Bedrock sur des comptes ou des comptes spécifiques. OUs

Conditions préalables

AWS Administrateurs de l'organisation (ayant accès à un compte de gestion) autorisés à créer des garde-fous et à gérer AWS Organizations les politiques.

Ce dont vous aurez besoin

Les éléments suivants sont requis :

Pour configurer l'application des garde-fous au niveau de l'organisation
  1. Planifiez la configuration de votre garde-corps

    1. Définissez vos mesures de protection :

      • Consultez les filtres de garde-corps disponibles dans la documentation Amazon Bedrock Guardrails

      • Identifiez le filtre dont vous avez besoin. Actuellement, les filtres de contenu, les sujets refusés, les filtres de mots, les filtres d'informations sensibles et les vérifications contextuelles de base sont pris en charge.

      • Important

        N'incluez pas la politique de raisonnement automatique, car elle n'est pas prise en charge pour l'application des garde-fous et peut entraîner des défaillances d'exécution.

    2. Identifiez les comptes cibles :

      • Déterminez quels OUs comptes ou l'ensemble de votre organisation feront appliquer ce garde-fou

  2. Créez votre garde-corps dans le compte de gestion

    Créez un garde-corps dans chaque région où vous souhaitez le renforcer à l'aide de l'une des méthodes suivantes :

    • À l'aide du AWS Management Console :

      1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

      2. Dans le panneau de navigation de gauche, choisissez Guardrails

      3. Choisissez Créer un garde-corps

      4. Suivez l'assistant pour configurer les filtres ou les mesures de protection souhaités (filtres de contenu, sujets refusés, filtres de mots, filtres d'informations sensibles, vérifications contextuelles de base)

      5. Ne pas activer la politique de raisonnement automatique

      6. Complétez l'assistant pour créer votre garde-corps

    • Utilisation de l'API : utilisez l'CreateGuardrailAPI

    Vérification

    Une fois créé, vous devriez le voir dans la liste des rambardes sur la page d'accueil des rambardes ou le rechercher dans la liste des rambardes en utilisant le nom du garde-corps

  3. Création d'une version de garde-corps

    Créez une version numérique pour garantir que la configuration du garde-corps reste immuable et ne peut pas être modifiée par les comptes des membres.

    • À l'aide du AWS Management Console :

      1. Sélectionnez le garde-corps créé à l'étape précédente sur la page Gardrails de la console Amazon Bedrock.

      2. Choisissez Créer une version

      3. Notez l'ARN du garde-corps et le numéro de version (par exemple, « 1 », « 2 »)

    • Utilisation de l'API : utilisez l'CreateGuardrailVersionAPI

    Vérification

    Vérifiez que la version a été créée avec succès en consultant la liste des versions sur la page détaillée de Guardrail.

  4. Joindre une politique basée sur les ressources

    Activez l'accès entre comptes en attachant une politique basée sur les ressources à votre garde-fou.

    Vérification

    Testez l'accès depuis un compte membre à l'aide de l'ApplyGuardrailAPI pour vous assurer que l'autorisation est correctement configurée.

  5. Configuration des autorisations IAM dans les comptes membres

    Assurez-vous que tous les rôles des comptes membres disposent des autorisations IAM pour accéder au garde-fou imposé.

    Autorisations requises

    Les rôles des comptes membres nécessitent une bedrock:ApplyGuardrail autorisation pour assurer le garde-fou du compte de gestion. Voir Configuration d’autorisations pour utiliser les barrières de protection Amazon Bedrock pour des exemples de politiques IAM détaillés

    Vérification

    Vérifiez que les rôles dotés d'autorisations limitées dans les comptes membres peuvent appeler correctement l'ApplyGuardrailAPI à l'aide du garde-fou.

  6. Activez le type de politique Amazon Bedrock dans AWS Organizations

    • Utilisation de AWS Management Console — Pour activer la politique Amazon Bedrock, tapez à l'aide de la console :

      1. Accédez à la AWS Organizations console

      2. Choisissez les politiques

      3. Choisissez les politiques d'Amazon Bedrock

      4. Choisissez Activer les politiques Amazon Bedrock pour activer le type de politique Amazon Bedrock pour votre organisation.

    • Utilisation de l'API — Utiliser l' AWS Organizations EnablePolicyTypeAPI avec le type de politique BEDROCK_POLICY

    Vérification

    Vérifiez que le type de politique Amazon Bedrock est activé dans la AWS Organizations console.

  7. Création et attachement d'une AWS Organizations politique

    Créez une politique de gestion qui spécifie votre garde-fou et attachez-la à vos comptes cibles ou. OUs

    • Utilisation de AWS Management Console — Pour créer et associer une AWS Organizations politique à l'aide de la console :

      1. Dans la AWS Organizations console, accédez à Politiques > Politiques d'Amazon Bedrock

      2. Choisir Create policy (Créer une stratégie)

      3. Spécifiez l'ARN et la version de votre garde-corps

        Important

        Assurez-vous de spécifier l'ARN exact du garde-corps dans la politique. La spécification d'un ARN incorrect ou non valide entraînera des violations des politiques, la non-application des garanties et l'impossibilité d'utiliser les modèles d'Amazon Bedrock à des fins d'inférence.

      4. Configurez des contrôles de protection du contenu sélectifs (facultatif).

        • Amazon Bedrock APIs permet aux appelants de baliser un contenu spécifique dans leurs invites de saisie pour évaluer le garde-corps.

        • Les contrôles sélectifs de protection du contenu permettent aux administrateurs de décider s'ils souhaitent respecter les décisions de balisage prises par les appelants à l'API.

        • Les messages commandes system et déterminent la manière dont les instructions du système et le contenu des messages sont traités par les garde-fous. Chacun accepte l'une des valeurs suivantes :

          • Sélectif : évaluez uniquement le contenu inclus dans les balises de contenu Guard. Lorsqu'aucune balise n'est spécifiée, le comportement dépend du contrôle. En system effet, aucun contenu n'est évalué, et pour messages tout le contenu est évalué.

          • Complet : évaluez l'ensemble du contenu, quelles que soient les balises de contenu de protection.

        • Si elles ne sont pas configurées, les deux commandes sont définies par défaut sur Comprehensive.

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
                    },
                    "selective_content_guarding": {
                        "system": {
                            "@@assign": "selective"
                        },
                        "messages": {
                            "@@assign": "comprehensive"
                        }
                    },
                    "model_enforcement": {
                        "included_models": {
                            "@@assign": ["ALL"]
                        },
                        "excluded_models": {
                            "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
                        }
                    }
                }
            }
        }
    }
}

      5. Enregistrez la politique

      6. Associez la politique aux cibles souhaitées (racine de l'organisation ou comptes individuels) en accédant à l'onglet Cibles et en choisissant Joindre OUs

    • Utilisation de l'API — Utilisez l' AWS Organizations CreatePolicyAPI avec le type de politiqueBEDROCK_POLICY. AttachPolicyÀ utiliser pour attacher à des cibles

    Pour en savoir plus : Politiques d'Amazon Bedrock dans AWS Organizations

    Vérification

    Vérifiez que la politique est attachée aux bonnes cibles dans la AWS Organizations console.

  8. Tester et vérifier l'application

    Vérifiez que le garde-fou est appliqué sur les comptes des membres.

    Vérifiez quel garde-corps est appliqué

    • À l'aide de AWS Management Console — Depuis un compte membre, accédez à la console Amazon Bedrock, choisissez Guardrails dans le panneau de navigation de gauche. Sur la page d'accueil de Guardrails, vous devriez voir le garde-corps appliqué par l'organisation dans la section Configurations d'application au niveau de l'organisation dans le compte de gestion et Garde-corps appliqués au niveau de l'organisation dans le compte membre.

    • Utilisation de l'API — À partir d'un compte membre, appelez DescribeEffectivePolicyavec votre identifiant de compte membre comme identifiant cible

    Tester depuis un compte membre

    1. Passez un appel d'inférence Amazon Bedrock en utilisant InvokeModel, InvokeModelWithResponseStream, Converse ou. ConverseStream

    2. Le garde-corps imposé devrait s'appliquer automatiquement aux entrées et aux sorties

    3. Consultez la réponse pour obtenir des informations sur l'évaluation du garde-corps. La réponse du garde-corps comprendra des informations sur le garde-corps imposé.

Application au niveau du compte

Cette section détaille la configuration de l'application des garde-fous au sein d'un seul AWS compte. Une fois configuré, vous disposerez d'un garde-corps qui s'appliquera automatiquement à toutes les invocations du modèle Amazon Bedrock sur votre compte.

Conditions préalables

AWS administrateurs de comptes autorisés à créer des garde-fous et à configurer les paramètres au niveau du compte.

Ce dont vous aurez besoin

Les éléments suivants sont requis :

  • Un AWS compte doté des autorisations IAM appropriées

  • Compréhension des exigences de sécurité de votre compte

Pour configurer l'application des garde-fous au niveau du compte
  1. Planifiez la configuration de votre garde-corps
    Définissez vos mesures de protection

    Pour définir vos mesures de protection :

    • Consultez les filtres de garde-corps disponibles dans la documentation Amazon Bedrock Guardrails

    • Identifiez le filtre dont vous avez besoin. Actuellement, les filtres de contenu, les sujets refusés, les filtres de mots, les filtres d'informations sensibles et les vérifications contextuelles de base sont pris en charge.

    • Important

      N'incluez pas la politique de raisonnement automatique, car elle n'est pas prise en charge pour l'application des garde-fous et peut entraîner des défaillances d'exécution

  2. Création d’une barrière de protection

    Créez un garde-corps dans chaque région où vous souhaitez le renforcer.

    Via AWS Management Console

    Pour créer un garde-corps à l'aide de la console :

    1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

    2. Dans le panneau de navigation de gauche, choisissez Guardrails

    3. Choisissez Créer un garde-corps

    4. Suivez l'assistant pour configurer les politiques souhaitées (filtres de contenu, sujets refusés, filtres de mots, filtres d'informations sensibles)

    5. Ne pas activer la politique de raisonnement automatique

    6. Complétez l'assistant pour créer votre garde-corps

    Via l'API

    Utilisation de l'API CreateGuardrail

    Vérification

    Une fois créé, vous devriez le voir dans la liste des rambardes sur la page d'accueil des rambardes ou le rechercher dans la liste des rambardes en utilisant le nom du garde-corps

  3. Création d'une version de garde-corps

    Créez une version numérique pour garantir que la configuration du garde-corps reste immuable et ne peut pas être modifiée par les comptes des membres.

    Via AWS Management Console

    Pour créer une version de garde-corps à l'aide de la console :

    1. Sélectionnez le garde-corps créé à l'étape précédente sur la page Gardrails de la console Amazon Bedrock.

    2. Choisissez Créer une version

    3. Notez l'ARN du garde-corps et le numéro de version (par exemple, « 1 », « 2 »)

    Via l'API

    Utilisation de l'API CreateGuardrailVersion

    Vérification

    Vérifiez que la version a été créée avec succès en consultant la liste des versions sur la page détaillée de Guardrail.

  4. Joindre une politique basée sur les ressources (facultatif)

    Si vous souhaitez partager le garde-fou avec des rôles spécifiques dans votre compte, joignez une politique basée sur les ressources.

    Via AWS Management Console

    Pour associer une politique basée sur les ressources à l'aide de la console :

    1. Dans la console Amazon Bedrock Guardrails, sélectionnez votre garde-corps

    2. Choisissez Ajouter pour ajouter une politique basée sur les ressources

    3. Ajoutez une politique qui accorde bedrock:ApplyGuardrail l'autorisation aux rôles souhaités

    4. Enregistrez la politique

  5. Permettre l'application au niveau du compte

    Configurez le compte pour utiliser votre garde-corps pour toutes les invocations d'Amazon Bedrock. Cela doit être fait dans toutes les régions où vous souhaitez faire appliquer la loi.

    Via AWS Management Console

    Pour activer l'application au niveau du compte à l'aide de la console :

    1. Accédez à la console Amazon Bedrock

    2. Choisissez Guardrails dans le panneau de navigation de gauche

    3. Dans la section Configurations d'application au niveau du compte, choisissez Ajouter

    4. Sélectionnez votre garde-corps et votre version

    5. Configurez des contrôles de protection du contenu sélectifs (facultatif).

      • Amazon Bedrock APIs permet aux appelants de baliser un contenu spécifique dans leurs invites de saisie pour évaluer le garde-corps.

      • Les contrôles sélectifs de protection du contenu permettent aux administrateurs de décider s'ils souhaitent respecter les décisions de balisage prises par les appelants à l'API.

      • Les messages commandes system et déterminent la manière dont les instructions du système et le contenu des messages sont traités par les garde-fous. Chacun accepte l'une des valeurs suivantes :

        • Sélectif : évaluez uniquement le contenu inclus dans les balises de contenu Guard.

        • Complet : évaluez l'ensemble du contenu, quelles que soient les balises de contenu de protection.

      • Si elles ne sont pas configurées, les deux commandes sont définies par défaut sur Comprehensive.

    6. Soumettre la configuration

    7. Répétez l'opération pour chaque région où vous souhaitez faire appliquer la loi

    Via l'API

    Utilisez l'PutEnforcedGuardrailConfigurationAPI dans toutes les régions où vous souhaitez appliquer le garde-corps

    Vérification

    Vous devriez voir le garde-corps imposé par le compte dans la section Configuration du garde-corps imposé par le compte sur la page Gardrails. Vous pouvez appeler ListEnforcedGuardrailsConfigurationl'API pour vous assurer que le garde-corps imposé est répertorié

  6. Tester et vérifier l'application
    Testez l'utilisation d'un rôle dans votre compte

    Pour tester l'application depuis votre compte, procédez comme suit :

    1. Passez un appel d'inférence Amazon Bedrock en utilisantInvokeModel,Converse, ou InvokeModelWithResponseStream ConverseStream

    2. Le garde-fou imposé par le compte devrait s'appliquer automatiquement aux entrées et aux sorties

    3. Consultez la réponse pour obtenir des informations sur l'évaluation du garde-corps. La réponse du garde-corps comprendra des informations sur le garde-corps imposé.

Contrôle

Tarification

L'application d'Amazon Bedrock Guardrails suit le modèle de tarification actuel d'Amazon Bedrock Guardrails basé sur le nombre d'unités de texte consommées par sauvegarde configurée. Des frais s'appliquent à chaque garde-corps appliqué en fonction de ses mesures de protection configurées. Pour obtenir des informations tarifaires détaillées sur les garanties individuelles, consultez les tarifs d'Amazon Bedrock.

Questions fréquentes (FAQ)

Comment est calculée la consommation par rapport aux quotas lorsque des barrières de sécurité renforcées s'appliquent ?

La consommation sera calculée par ARN de garde-corps associé à chaque demande et sera comptabilisée dans le AWS compte effectuant l'appel d'API. Par exemple : un ApplyGuardrail appel contenant 1 000 caractères de texte et 3 rambardes générerait 3 unités de texte consommées par garde-corps et par dispositif de protection intégré au garde-corps.

Les appels effectués dans le cadre de la politique Amazon Bedrock seront pris en compte dans le calcul des Quotas de Service relatifs au compte membre. Consultez la console Service Quotas ou la documentation Service Quotas et assurez-vous que les limites d'exécution de Guardrails sont suffisantes pour votre volume d'appels.

Que se passe-t-il si ma demande comporte des barrières de sécurité appliquées à la fois au niveau de l'organisation et au niveau du compte ?

Les 3 rambardes seront appliquées au moment de l'exécution. L'effet net est une union de tous les garde-fous, le contrôle le plus restrictif ayant la priorité.

Quand dois-je utiliser un contrôle de sécurité sélectif ou complet ?

Utilisez Selective lorsque vous faites confiance aux appelants pour étiqueter le bon contenu et que vous souhaitez réduire le traitement inutile des garde-fous. Cela est utile lorsque les appelants traitent à la fois du contenu prévalidé et du contenu généré par l'utilisateur, et qu'ils n'ont besoin que de barrières de sécurité appliquées à des parties spécifiques. Utilisez Comprehensive lorsque vous souhaitez appliquer des barrières de sécurité sur tout, quelles que soient les étiquettes de l'appelant. Il s'agit de la solution par défaut la plus sûre lorsque vous ne voulez pas vous fier aux appelants pour identifier correctement les contenus sensibles.

Comment puis-je inclure ou exclure certains modèles de l'application ?

Utilisez le contrôle d'application des modèles pour déterminer les modèles auxquels un garde-corps s'applique sur Amazon Bedrock à des fins d'inférence. Si ce n'est pas configuré, l'application s'applique par défaut à tous les modèles sur Amazon Bedrock. Ce contrôle accepte les listes suivantes :

  • Modèles inclus : modèles pour renforcer le garde-corps. Accepte les identifiants de modèles spécifiques ou le mot-clé ALL pour inclure explicitement tous les modèles. Lorsqu'il est vide, l'application s'applique à tous les modèles.

  • Modèles exclus : modèles à exclure de l'application des garde-fous. Lorsqu'il est vide, aucun modèle n'est exclu.

Si un modèle apparaît dans les deux listes, il est exclu.

Quand dois-je utiliser les modèles d'inclusion ou d'exclusion ?

  • Utilisez les modèles inclus lorsque vous souhaitez appliquer le garde-corps uniquement à des modèles spécifiques.

  • Utilisez les modèles exclus lorsque vous souhaitez une application étendue, mais que vous devez prévoir des exceptions pour des modèles spécifiques.

Puis-je supprimer un garde-corps utilisé dans une configuration d'application ?

Non Par défaut, l'DeleteGuardrailAPI empêche la suppression des barrières de sécurité associées aux configurations d'application au niveau du compte ou de l'organisation.