Suppression des données d’identification personnelle (PII) des conversations à l’aide des filtres d’informations sensibles - Amazon Bedrock
Configuration de la stratégie relative aux informations sensibles pour votre barrière de protection

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suppression des données d’identification personnelle (PII) des conversations à l’aide des filtres d’informations sensibles

Amazon Bedrock Guardrails permet de détecter les informations sensibles, telles que les informations personnelles identifiables (PIIs), dans un format standard dans les invites de saisie ou les réponses modèles. Vous pouvez également configurer des informations sensibles spécifiques à votre cas d’utilisation ou à votre organisation en les définissant à l’aide d’expressions régulières (regex).

La détection des informations sensibles fonctionne à la fois dans le langage naturel et dans le domaine du code, y compris la syntaxe du code, les commentaires, les littéraux de chaîne et le contenu hybride. Cela permet d'identifier les informations personnelles intégrées dans les éléments de code tels que les noms de variables, les informations d'identification codées en dur ou la documentation du code.

Vous pouvez configurer les modes suivants pour gérer les informations sensibles détectées par les barrières de protection :

  • Bloquer : les stratégies de filtre des informations sensibles peuvent bloquer les demandes ou les réponses contenant des informations sensibles. Parmi les exemples de ces applications, citons les questions-réponses générales basées sur des documents publics. Si des informations sensibles sont détectées dans l’invite ou la réponse, la barrière de protection bloque tout le contenu et renvoie un message que vous configurez.

  • Masquer : les stratégies de filtre des informations sensibles peuvent anonymiser ou supprimer les informations contenues dans les demandes ou réponses du modèle. Par exemple, les barrières de sécurité se masquent PIIs lors de la génération de résumés des conversations entre les utilisateurs et les agents du service client. Si des informations sensibles sont détectées dans la demande ou la réponse du modèle, la barrière de protection les masque et les remplace par le type de PII (par exemple, {NAME} ou {EMAIL}).

Amazon Bedrock Guardrails propose ce qui suit PIIs pour bloquer ou anonymiser :

  • Général

    • ADRESSE

      Adresse physique, telle que « 100, rue principale, Uneville, FRANCE » ou « Suite n° 12, bâtiment n° 123 ». Une adresse peut inclure des informations telles qu’une rue, un bâtiment, un emplacement, une ville, un état, un pays, un comté, un code postal, une circonscription et un quartier.

    • ÂGE

      Âge d’une personne. Par exemple, dans la phrase « J’ai 40 ans », les barrières de protection Amazon Bedrock reconnaissent « 40 ans » comme un âge.

    • NOM

      Nom d’une personne. Ce type d’entité n’inclut pas les titres, tels que Dr., M., Mme ou Mlle. Les barrières de protection Amazon Bedrock n’appliquent pas ce type d’entité aux noms qui font partie d’organisations ou d’adresses. Par exemple, les barrières de protection reconnaissent « Organisation John Doe » en tant qu’organisation et « Jane Doe Street » en tant qu’adresse.

    • EMAIL

      Adresse e-mail, telle que marymajor@email.com.

    • TÉLÉPHONE

      Numéro de téléphone. Ce type d’entité inclut également les numéros de télécopieur et de pager.

    • NOM D'UTILISATEUR

      Nom d’utilisateur qui identifie un compte, tel qu’un nom de connexion, un pseudonyme ou un surnom.

    • MOT DE PASSE

      Chaîne alphanumérique utilisée comme mot de passe, telle que « *very20special#pass* ».

    • DRIVER_ID

      Le numéro attribué à un permis de conduire, qui est un document officiel permettant à une personne de conduire un ou plusieurs véhicules motorisés sur la voie publique. Un numéro de permis de conduire est composé de caractères alphanumériques.

    • LICENSE_PLATE

      La plaque d’immatriculation d’un véhicule est délivrée par l’État ou le pays où le véhicule est immatriculé. Le format des véhicules de tourisme est généralement composé de cinq à huit caractères, composés de lettres majuscules et de chiffres. Le format varie en fonction de la localisation de l’État ou du pays émetteur.

    • VEHICLE_IDENTIFICATION_NUMBER

      Un numéro d’identification de véhicule (VIN) identifie un véhicule de manière unique. Le contenu et le format du VIN sont définis dans la spécification ISO 3779. Chaque pays possède des codes et des formats spécifiques pour VINs.

  • Finances

    • CREDIT_DEBIT_CARD_CVV

      Code de vérification de carte (CVV) à trois chiffres présent sur les cartes de crédit et de débit VISA et Discover. MasterCard Pour les cartes de crédit ou de débit American Express, il s’agit d’un code numérique à quatre chiffres.

    • CREDIT_DEBIT_CARD_EXPIRY

      Date d’expiration d’une carte de crédit ou de débit. Ce numéro comporte généralement quatre chiffres et est souvent au format mois/année ou MM/AA. Les barrières de protection Amazon Bedrock reconnaissent les dates d’expiration telles que 21/01, 01/2021 et Janvier 2021.

    • CREDIT_DEBIT_CARD_NUMBER

      Numéro de carte de crédit ou de débit. La longueur de ces numéros peut varier de 13 à 16 chiffres. Cependant, Amazon Bedrock reconnaît également les numéros de carte de crédit ou de débit lorsque seuls les quatre derniers chiffres sont présents.

    • PIN

      Numéro d’identification personnel (PIN) à quatre chiffres avec lequel vous pouvez accéder à votre compte bancaire.

    • INTERNATIONAL_BANK_ACCOUNT_NUMBER

      Un numéro de compte bancaire international présente des formats spécifiques dans chaque pays. Pour plus d’informations, consultez www.iban.com/structure.

    • SWIFT_CODE

      Un code SWIFT est un format standard d’identifiant bancaire (BIC) utilisé pour spécifier une banque ou une succursale en particulier. Les banques utilisent ces codes pour les transferts d’argent tels que les virements internationaux.

      Les codes SWIFT sont composés de 8 ou 11 caractères. Les codes à 11 chiffres font référence à des succursales spécifiques, tandis que les codes à 8 chiffres (ou les codes à 11 chiffres se terminant par « XXX ») font référence au siège social ou au bureau principal.

  • C'EST

    • ADRESSE_IP

      Une IPv4 adresse, telle que 198.51.100.0.

    • ADRESSE_MAC

      Une adresse Media Access Control (MAC) est un identifiant unique attribué à une carte réseau.

    • URL

      Une adresse Web, telle que www.exemple.com.

    • AWS_ACCESS_CLÉ

      Identifiant unique associé à une clé d’accès secrète ; vous utilisez l’ID de clé d’accès et la clé d’accès secrète pour signer les demandes AWS par programme de façon chiffrée.

    • AWS_SECRET_CLÉ

      Identifiant unique associé à une clé d’accès. Vous utilisez l'ID de clé d'accès et la clé d'accès secrète pour signer les AWS demandes programmatiques de manière cryptographique.

  • Spécifique aux États-Unis

    • US_BANK_ACCOUNT_NUMBER

      Un numéro de compte bancaire américain, généralement composé de 10 à 12 chiffres.

    • US_BANK_ROUTING_NUMBER

      Numéro d’acheminement du compte bancaire aux États-Unis. Il est généralement composé de neuf chiffres,

    • US_INDIVIDUAL_TAX_IDENTIFICATION_NUMBER

      Un numéro individuel d’identification de contribuable (ITIN) américain est un numéro à neuf chiffres commençant par « 9 » et contenant un « 7 » ou un « 8 » comme quatrième chiffre. Un ITIN peut être formaté avec un espace ou un tiret après le troisième et le quatrième chiffre.

    • US_PASSPORT_NUMBER

      Numéro de passeport américain. Les numéros de passeport comprennent de six à neuf caractères alphanumériques.

    • US_SOCIAL_SECURITY_NUMBER

      Un numéro de sécurité sociale (SSN) américain est un numéro à neuf chiffres délivré aux citoyens américains, aux résidents permanents et aux résidents actifs temporaires.

  • Spécifique au Canada

    • CA_HEALTH_NUMBER

      Un numéro du service de santé canadien est un identifiant unique à dix chiffres, requis pour que les personnes aient accès aux prestations de santé.

    • CA_SOCIAL_INSURANCE_NUMBER

      Le numéro de sécurité sociale (SIN) canadien est un identifiant unique à neuf chiffres, requis pour accéder aux programmes et aux prestations du gouvernement.

      Le SIN est formaté en trois groupes de trois chiffres, tels que 123-456-789. Un SIN peut être validé au moyen d’un simple processus de chiffres de contrôle appelé algorithme de Luhn.

  • Spécifique au Royaume-Uni

    • NUMÉRO DU SERVICE DE SANTÉ NATIONAL DU ROYAUME-UNI

      Un numéro du service de santé du Royaume-Uni est un numéro de 10 à 17 chiffres, tel que 485 777 3456. Le système actuel met en forme le numéro à 10 chiffres avec des espaces après les troisième et sixième chiffres. Le dernier chiffre est une somme de contrôle détectant les erreurs.

    • NUMÉRO D'ASSURANCE_NATIONAL_BRITANNIQUE

      Un numéro de sécurité sociale britannique (NINO) permet aux particuliers d’accéder aux prestations de sécurité sociale. Il est également utilisé à certaines fins dans le système fiscal britannique.

      Le numéro est composé de neuf chiffres et commence par deux lettres, suivies de six chiffres et d’une lettre. Un NINO peut être formaté avec un espace ou un tiret après les deux lettres et après les deuxième, quatrième et sixième chiffres.

    • NUMÉRO DE RÉFÉRENCE_CONTRIBUABLE UNIQUE AU ROYAUME-UNI

      Un numéro de référence fiscale britannique (UTR) est un numéro à 10 chiffres qui identifie un contribuable ou une entreprise.

  • Personnalisé

    • Filtre Regex

      Vous pouvez utiliser des expressions régulières pour définir des modèles qu’une barrière de protection doit reconnaître et utiliser, tels que le numéro de série ou le numéro de réservation.

Note

Le modèle de PII fonctionne plus efficacement lorsqu’il est fourni avec un contexte suffisant. Pour améliorer sa précision, incluez davantage d’informations contextuelles et évitez de soumettre des mots simples ou des phrases courtes au modèle. Étant donné que les données d’identification personnelle peuvent dépendre du contexte (par exemple, une chaîne de chiffres peut représenter un AWS KMS key ou un identifiant utilisateur en fonction des informations environnantes), il est essentiel de fournir un contexte complet pour une identification précise.

Note

Un filtre d’expressions régulières personnalisé contenant des filtres d’informations sensibles ne prend pas en charge la correspondance de recherche d’expressions régulières.

Configuration de la stratégie relative aux informations sensibles pour votre barrière de protection

Vous pouvez configurer des stratégies relatives aux informations sensibles pour votre barrière de protection à l’aide de la AWS Management Console ou de l’API Amazon Bedrock.

Console

  1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

  2. Dans le volet de navigation de gauche, choisissez Barrières de protection, puis Créer une barrière de protection.

  3. Pour la page Fournissez les détails de la barrière de protection, procédez comme suit :

    1. Dans la section Détails de la barrière de protection, indiquez le nom et une description facultative de la barrière de protection.

    2. Dans Messagerie pour les invites bloquées, saisissez le message à afficher lorsque votre barrière de protection est appliquée. Cochez la case Appliquer le même message bloqué aux réponses pour utiliser le même message lorsque votre barrière de protection est appliquée à la réponse.

    3. (Facultatif) Afin d’activer l’inférence interrégionale pour votre barrière de protection, développez Inférence interrégionale, puis sélectionnez Activer l’inférence interrégionale pour votre barrière de protection. Choisissez un profil de garde-corps qui définit la destination vers Régions AWS laquelle les demandes d'inférence de garde-corps peuvent être acheminées.

    4. (Facultatif) Par défaut, votre garde-corps est chiffré avec un. Clé gérée par AWS Pour utiliser votre propre clé KMS gérée par le client, développez Sélection de la clé KMS, puis cochez la case Personnaliser les paramètres de chiffrement (avancé).

      Vous pouvez sélectionner une AWS KMS clé existante ou sélectionner Créer une AWS KMS clé pour en créer une nouvelle.

    5. (Facultatif) Pour ajouter des balises à votre barrière de protection, développez Balises, puis sélectionnez Ajouter une nouvelle balise pour chaque balise que vous définissez.

      Pour de plus amples informations, veuillez consulter Balisage des ressources Amazon Bedrock.

    6. Choisissez Suivant.

  4. Sur la page Ajout de filtres d’informations sensibles, procédez comme suit pour configurer les filtres afin de bloquer ou de masquer les informations sensibles :

    1. Dans la section Types de PII, configurez les catégories de données d’identification personnelle (PII) pour bloquer, masquer ou ne rien faire (mode détection). Vous avez les options suivantes :

      • Pour ajouter tous les types de PII, sélectionnez la flèche déroulante à côté d’Ajouter un type de PII. Sélectionnez ensuite le comportement de la barrière de protection à leur appliquer.

        Avertissement

        Si vous spécifiez un comportement, tout comportement existant que vous avez configuré pour les types de PII sera remplacé.

      • Pour supprimer un type de PII, sélectionnez l’icône de la corbeille ( Trapezoid-shaped diagram showing data flow from source to destination through AWS Transfer Family. ).

      • Pour supprimer les lignes contenant des erreurs, sélectionnez Tout supprimer, puis Supprimer toutes les lignes contenant une erreur

      • Pour supprimer tous les types de PII, sélectionnez Supprimer tout, puis Supprimer toutes les lignes

      • Pour rechercher une ligne, saisissez une expression dans la barre de recherche.

      • Pour afficher uniquement les lignes comportant des erreurs, sélectionnez le menu déroulant intitulé Afficher tout, puis Afficher uniquement les erreurs.

      • Pour configurer la taille de chaque page du tableau ou l’affichage des colonnes du tableau, sélectionnez l’icône des paramètres ( Gear icon representing settings or configuration options. ). Définissez vos préférences, puis sélectionnez Confirmer.

    2. Dans la section Modèles Regex, utilisez des expressions régulières pour définir des modèles à filtrer par la barrière de protection. Vous avez les options suivantes :

      • Pour ajouter un modèle, sélectionnez Ajouter un modèle regex. Configurez les champs suivants :

        Champ Description
        Nom Nom pour le modèle
        Modèle Regex Expression régulière qui définit le modèle
        Input Choisissez de bloquer le contenu contenant le modèle ou de le masquer avec un identifiant. Pour ne rien faire, sélectionnez Détecter (aucune action).
        Output
        Ajout d’une description (Facultatif) Rédaction d’une description du modèle

      • Pour modifier un modèle, sélectionnez l’icône à trois points sur la même ligne que la rubrique dans la colonne Actions. Ensuite, sélectionnez Modifier. Une fois les modifications terminées, sélectionnez Confirmer.

      • Pour supprimer un ou plusieurs modèles, cochez les cases correspondant aux modèles à supprimer. Choisissez Supprimer, puis Supprimer la sélection.

      • Pour supprimer tous les modèles, sélectionnez Supprimer, puis Supprimer tout.

      • Pour rechercher un modèle, entrez une expression dans la barre de recherche.

      • Pour configurer la taille de chaque page du tableau ou l’affichage des colonnes du tableau, sélectionnez l’icône des paramètres ( Gear icon representing settings or configuration options. ). Définissez vos préférences, puis sélectionnez Confirmer.

    3. Lorsque vous avez fini de configurer les filtres d’informations sensibles, sélectionnez Suivant ou Passer à la section Vérification et création.

API

Pour créer un garde-fou avec des politiques relatives aux informations sensibles, envoyez une CreateGuardraildemande. Le format de demande est le suivant :

POST /guardrails HTTP/1.1
Content-type: application/json

{
    "blockedInputMessaging": "string",
    "blockedOutputsMessaging": "string",
    "sensitiveInformationPolicyConfig": {
        "piiEntitiesConfig": [{
            "type": "ADDRESS | EMAIL | PHONE | NAME | SSN | ...",
            "action": "BLOCK | ANONYMIZE | NONE",
            "inputAction": "BLOCK | ANONYMIZE | NONE",
            "inputEnabled": true,
            "outputAction": "BLOCK | ANONYMIZE | NONE",
            "outputEnabled": true
        }],
        "regexesConfig": [{
            "name": "string",
            "pattern": "string",
            "action": "BLOCK | ANONYMIZE | NONE",
            "description": "string",
            "inputAction": "BLOCK | ANONYMIZE | NONE",
            "inputEnabled": true,
            "outputAction": "BLOCK | ANONYMIZE | NONE",
            "outputEnabled": true
        }]
    },
    "description": "string",
    "kmsKeyId": "string",
    "name": "string",
    "tags": [{
        "key": "string",
        "value": "string"
    }],
    "crossRegionConfig": {
        "guardrailProfileIdentifier": "string"
    }
}

  • Spécifiez un name et une description pour la barrière de protection.

  • Dans les champs blockedInputMessaging et blockedOutputsMessaging, spécifiez les messages à afficher quand la barrière de protection bloque avec succès une invite ou une réponse du modèle.

  • Configurez les stratégies relatives aux informations sensibles dans l’objet sensitiveInformationPolicyConfig :

    • Utilisez le tableau piiEntitiesConfig pour configurer des types d’entités de PII prédéfinis :

      • Spécifiez le type d’entité de PII dans le champ type. Les valeurs valides incluent, entre autres, ADDRESS, EMAIL, PHONE, NAME et US_SOCIAL_SECURITY_NUMBER.

      • Spécifiez l’action à entreprendre lorsque l’entité de PII est détectée dans le champ action. Choisissez BLOCK pour bloquer le contenu, ANONYMIZE pour masquer le contenu ou NONE pour ne rien faire mais renvoyer les informations de détection.

      • (Facultatif) Utilisez inputAction, inputEnabled, outputAction et outputEnabled pour configurer différents comportements pour les invites et les réponses.

    • Utilisez le tableau regexesConfig pour définir des modèles personnalisés afin de détecter :

      • Spécifiez un name pour le modèle regex (1 à 100 caractères).

      • Définissez l’expression régulière pattern à détecter (1 à 500 caractères).

      • Spécifiez la valeur action à prendre lorsque le modèle est détecté. Choisissez BLOCK pour bloquer le contenu, ANONYMIZE pour masquer le contenu ou NONE pour ne rien faire mais renvoyer les informations de détection.

      • (Facultatif) Fournissez une description pour le modèle regex (1 à 1 000 caractères).

      • (Facultatif) Utilisez inputAction, inputEnabled, outputAction et outputEnabled pour configurer différents comportements pour les invites et les réponses.

  • (Facultatif) Attachez des balises à la barrière de protection. Pour plus d’informations, consultez Balisage des ressources Amazon Bedrock.

  • (Facultatif) Pour des raisons de sécurité, incluez l’ARN d’une clé KMS dans le champ kmsKeyId.

  • (Facultatif) Pour activer l’inférence interrégionale, spécifiez un profil de barrière de protection dans l’objet crossRegionConfig.

Le format de réponse est le suivant :

HTTP/1.1 202
Content-type: application/json

{
    "createdAt": "string",
    "guardrailArn": "string",
    "guardrailId": "string",
    "version": "string"
}