Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Suppression des données d’identification personnelle (PII) des conversations à l’aide des filtres d’informations sensibles
Amazon Bedrock Guardrails permet de détecter les informations sensibles, telles que les informations personnelles identifiables (PII), dans les invites de saisie ou de modéliser les réponses à l'aide de filtres d'informations sensibles. Ce filtre ne prend en charge que la sortie de texte et ne détecte pas les informations personnelles lorsque les modèles répondent avec les paramètres de sortie tool\_use (appel de fonction) via les API prises en charge. Ce filtre est une solution basée sur l'apprentissage automatique probabiliste (ML) qui dépend du contexte et détecte les informations sensibles en fonction du contexte dans les demandes de saisie ou les réponses du modèle. Vous pouvez le configurer en choisissant parmi un ensemble d'informations personnelles intégrées proposées par Amazon Bedrock Guardrails, spécifiques à votre cas d'utilisation ou à votre organisation, en les définissant ainsi que des expressions régulières (regex personnalisées) qui fonctionnent sur la base d'une correspondance de modèles pour bloquer ou masquer les données d'identification personnelle.
La détection des informations sensibles fonctionne à la fois dans le langage naturel et dans les domaines du code, notamment la syntaxe du code, les commentaires, les littéraux de chaîne et le contenu hybride. Cela permet d'identifier les informations personnelles intégrées dans les éléments de code tels que les noms de variables, les informations d'identification codées en dur ou la documentation du code.
Vous pouvez configurer les modes suivants pour gérer les informations sensibles détectées par les barrières de protection :
+ **Bloquer** : les stratégies de filtre des informations sensibles peuvent bloquer les demandes ou les réponses contenant des informations sensibles. Des exemples de telles applications peuvent inclure des questions et réponses générales basées sur des documents publics. Si des informations sensibles sont détectées dans l’invite ou la réponse, la barrière de protection bloque tout le contenu et renvoie un message que vous configurez.
+ **Masquer** : les stratégies de filtre des informations sensibles peuvent anonymiser ou supprimer les informations contenues dans les demandes ou réponses du modèle. Par exemple, les barrières de protection masquent les PII tout en générant des résumés des conversations entre les utilisateurs et les agents du service client. Si des informations sensibles sont détectées dans la demande ou la réponse du modèle, la barrière de protection les masque et les remplace par le type de PII (par exemple, `{NAME}` ou `{EMAIL}`).
Les barrières de protection Amazon Bedrock proposent le blocage ou l’anonymisation des PII suivantes :
+ **Général**
+ **ADRESSE**
Adresse physique, telle que « 100, rue principale, Uneville, FRANCE » ou « Suite n° 12, bâtiment n° 123 ». Une adresse peut inclure des informations telles qu’une rue, un bâtiment, un emplacement, une ville, un état, un pays, un comté, un code postal, une circonscription et un quartier.
+ **ÂGE**
Âge d’une personne. Par exemple, dans la phrase « J’ai 40 ans », les barrières de protection Amazon Bedrock reconnaissent « 40 ans » comme un âge.
+ **NOM**
Nom d’une personne. Ce type d’entité n’inclut pas les titres, tels que Dr., M., Mme ou Mlle. Les barrières de protection Amazon Bedrock n’appliquent pas ce type d’entité aux noms qui font partie d’organisations ou d’adresses. Par exemple, les barrières de protection reconnaissent « Organisation John Doe » en tant qu’organisation et « Jane Doe Street » en tant qu’adresse.
+ **EMAIL**
Adresse e-mail, telle que *marymajor@email.com*.
+ **TÉLÉPHONE**
Numéro de téléphone. Ce type d’entité inclut également les numéros de télécopieur et de pager.
+ **NOM D'UTILISATEUR**
Nom d’utilisateur qui identifie un compte, tel qu’un nom de connexion, un pseudonyme ou un surnom.
+ **MOT DE PASSE**
Chaîne alphanumérique utilisée comme mot de passe, telle que « \**very20special\#pass\** ».
+ **DRIVER\_ID**
Le numéro attribué à un permis de conduire, qui est un document officiel permettant à une personne de conduire un ou plusieurs véhicules motorisés sur la voie publique. Un numéro de permis de conduire est composé de caractères alphanumériques.
+ **LICENSE\_PLATE**
La plaque d’immatriculation d’un véhicule est délivrée par l’État ou le pays où le véhicule est immatriculé. Le format des véhicules de tourisme est généralement composé de cinq à huit caractères, composés de lettres majuscules et de chiffres. Le format varie en fonction de la localisation de l’État ou du pays émetteur.
+ **VEHICLE\_IDENTIFICATION\_NUMBER**
Un numéro d’identification de véhicule (VIN) identifie un véhicule de manière unique. Le contenu et le format du VIN sont définis dans la spécification *ISO 3779*. Chaque pays possède des codes et des formats spécifiques pour les VIN.
+ **Finances**
+ **CREDIT\_DEBIT\_CARD\_CVV**
Code de vérification de carte (CVV) à trois chiffres présent sur les cartes de crédit et de débit VISA et Discover. MasterCard Pour les cartes de crédit ou de débit American Express, il s’agit d’un code numérique à quatre chiffres.
+ **CREDIT\_DEBIT\_CARD\_EXPIRY**
Date d’expiration d’une carte de crédit ou de débit. Ce numéro est généralement composé de quatre chiffres et est souvent formaté comme *month/year*ou *MM/YY*. *Amazon Bedrock Guardrails reconnaît les dates d'expiration telles que *01/21*01/2021**, et janvier 2021.*
+ **CREDIT\_DEBIT\_CARD\_NUMBER**
Numéro de carte de crédit ou de débit. La longueur de ces numéros peut varier de 13 à 16 chiffres. Cependant, Amazon Bedrock reconnaît également les numéros de carte de crédit ou de débit lorsque seuls les quatre derniers chiffres sont présents.
+ **PIN**
Numéro d’identification personnel (PIN) à quatre chiffres avec lequel vous pouvez accéder à votre compte bancaire.
+ **INTERNATIONAL\_BANK\_ACCOUNT\_NUMBER**
Un numéro de compte bancaire international présente des formats spécifiques dans chaque pays. Pour plus d'informations, consultez le [site www.iban. com/structure](https://www.iban.com/structure).
+ **SWIFT\_CODE**
Un code SWIFT est un format standard d’identifiant bancaire (BIC) utilisé pour spécifier une banque ou une succursale en particulier. Les banques utilisent ces codes pour les transferts d’argent tels que les virements internationaux.
Les codes SWIFT sont composés de 8 ou 11 caractères. Les codes à 11 chiffres font référence à des succursales spécifiques, tandis que les codes à 8 chiffres (ou les codes à 11 chiffres se terminant par « XXX ») font référence au siège social ou au bureau principal.
+ **C'EST**
+ **ADRESSE\_IP**
Adresse IPv4, telle que *198.51.100.0*.
+ **ADRESSE\_MAC**
Une adresse *Media Access Control* (MAC) est un identifiant unique attribué à une carte réseau.
+ **URL**
Une adresse Web, telle que *www.exemple.com*.
+ **AWS\_ACCESS\_KEY**
Identifiant unique associé à une clé d’accès secrète ; vous utilisez l’ID de clé d’accès et la clé d’accès secrète pour signer les demandes AWS par programme de façon chiffrée.
+ **AWS\_SECRET\_KEY**
Identifiant unique associé à une clé d’accès. Vous utilisez l'ID de clé d'accès et la clé d'accès secrète pour signer les AWS demandes programmatiques de manière cryptographique.
+ **Spécifique aux États-Unis**
+ **US\_BANK\_ACCOUNT\_NUMBER**
Un numéro de compte bancaire américain, généralement composé de 10 à 12 chiffres.
+ **US\_BANK\_ROUTING\_NUMBER**
Numéro d’acheminement du compte bancaire aux États-Unis. Il est généralement composé de neuf chiffres,
+ **US\_INDIVIDUAL\_TAX\_IDENTIFICATION\_NUMBER**
Un numéro individuel d’identification de contribuable (ITIN) américain est un numéro à neuf chiffres commençant par « 9 » et contenant un « 7 » ou un « 8 » comme quatrième chiffre. Un ITIN peut être formaté avec un espace ou un tiret après le troisième et le quatrième chiffre.
+ **US\_PASSPORT\_NUMBER**
Numéro de passeport américain. Les numéros de passeport comprennent de six à neuf caractères alphanumériques.
+ **US\_SOCIAL\_SECURITY\_NUMBER**
Un numéro de sécurité sociale (SSN) américain est un numéro à neuf chiffres délivré aux citoyens américains, aux résidents permanents et aux résidents actifs temporaires.
+ **Spécifique au Canada**
+ **CA\_HEALTH\_NUMBER**
Un numéro du service de santé canadien est un identifiant unique à dix chiffres, requis pour que les personnes aient accès aux prestations de santé.
+ **CA\_SOCIAL\_INSURANCE\_NUMBER**
Le numéro de sécurité sociale (SIN) canadien est un identifiant unique à neuf chiffres, requis pour accéder aux programmes et aux prestations du gouvernement.
Le SIN est formaté en trois groupes de trois chiffres, tels que *123-456-789*. Un SIN peut être validé au moyen d’un simple processus de chiffres de contrôle appelé [algorithme de Luhn](https://www.wikipedia.org/wiki/Luhn_algorithm).
+ **Spécifique au Royaume-Uni**
+ **NUMÉRO DU SERVICE DE SANTÉ NATIONAL DU ROYAUME-UNI**
Un numéro du service de santé du Royaume-Uni est un numéro de 10 à 17 chiffres, tel que *485 777 3456*. Le système actuel met en forme le numéro à 10 chiffres avec des espaces après les troisième et sixième chiffres. Le dernier chiffre est une somme de contrôle détectant les erreurs.
+ **NUMÉRO D'ASSURANCE\_NATIONAL\_BRITANNIQUE**
Un numéro de sécurité sociale britannique (NINO) permet aux particuliers d’accéder aux prestations de sécurité sociale. Il est également utilisé à certaines fins dans le système fiscal britannique.
Le numéro est composé de neuf chiffres et commence par deux lettres, suivies de six chiffres et d’une lettre. Un NINO peut être formaté avec un espace ou un tiret après les deux lettres et après les deuxième, quatrième et sixième chiffres.
+ **NUMÉRO DE RÉFÉRENCE\_CONTRIBUABLE UNIQUE AU ROYAUME-UNI**
Un numéro de référence fiscale britannique (UTR) est un numéro à 10 chiffres qui identifie un contribuable ou une entreprise.
+ **Personnalisé**
+ **Filtre Regex**
Vous pouvez utiliser des expressions régulières pour définir des modèles qu'un garde-corps doit reconnaître et utiliser, tels que le numéro de série, le numéro de réservation ou d'autres modèles personnalisés.
**Note**
Le modèle de PII fonctionne plus efficacement lorsqu’il est fourni avec un contexte suffisant. Pour améliorer sa précision, incluez davantage d’informations contextuelles et évitez de soumettre des mots simples ou des phrases courtes au modèle. Étant donné que les données d’identification personnelle peuvent dépendre du contexte (par exemple, une chaîne de chiffres peut représenter un AWS KMS key ou un identifiant utilisateur en fonction des informations environnantes), il est essentiel de fournir un contexte complet pour une identification précise.
**Note**
Le masquage des informations personnelles s'applique uniquement au contenu envoyé au modèle d'inférence (invites de saisie) et au contenu renvoyé par le modèle d'inférence (réponses du modèle). Elle ne s'applique pas aux situations suivantes :
**Modèles de journaux d'invocation** : si vous l'avez activé[Surveillez l'invocation du modèle à l'aide de CloudWatch Logs et d'Amazon S3](model-invocation-logging.md), le `input` champ d'Amazon CloudWatch Logs contient toujours la demande originale non modifiée, quelle que soit l'intervention d'un garde-fou. Pour protéger les informations sensibles de vos journaux, utilisez la [protection des données des CloudWatch journaux Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html).
**Sortie de trace de Guardrails** : le `match` champ renvoyé dans [GuardrailPiiEntityFilter](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_GuardrailPiiEntityFilter.html)les réponses de l'API (tel que l'`trace`objet de l'API Converse) contient la valeur PII d'origine, et non la sortie masquée. Ce comportement a été conçu de manière à ce que votre application puisse utiliser le résultat de la détection pour sa propre logique.
**Note**
Un filtre d’expressions régulières personnalisé contenant des filtres d’informations sensibles ne prend pas en charge la correspondance de recherche d’expressions régulières.
## Configuration de la stratégie relative aux informations sensibles pour votre barrière de protection
Vous pouvez configurer des stratégies relatives aux informations sensibles pour votre barrière de protection à l’aide de la AWS Management Console ou de l’API Amazon Bedrock.
------
#### [ Console ]
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)l'adresse.
1. Dans le volet de navigation de gauche, choisissez **Barrières de protection**, puis **Créer une barrière de protection**.
1. Pour la page **Fournissez les détails de la barrière de protection**, procédez comme suit :
1. Dans la section **Détails de la barrière de protection**, indiquez le **nom** et une **description** facultative de la barrière de protection.
1. Dans **Messagerie pour les invites bloquées**, saisissez le message à afficher lorsque votre barrière de protection est appliquée. Cochez la case **Appliquer le même message bloqué aux réponses** pour utiliser le même message lorsque votre barrière de protection est appliquée à la réponse.
1. (Facultatif) Pour activer l'[inférence entre régions](guardrails-cross-region.md) pour votre garde-corps, développez l'**Cross-Region inférence, puis sélectionnez Activer l'inférence** **entre** régions pour votre garde-corps. Choisissez un profil de garde-corps qui définit la destination vers Régions AWS laquelle les demandes d'inférence de garde-corps peuvent être acheminées.
1. (Facultatif) Par défaut, votre garde-corps est chiffré avec un. Clé gérée par AWS Pour utiliser votre propre clé KMS gérée par le client, développez **Sélection de la clé KMS**, puis cochez la case **Personnaliser les paramètres de chiffrement (avancé)**.
Vous pouvez sélectionner une AWS KMS clé existante ou sélectionner **Créer une AWS KMS clé** pour en créer une nouvelle.
1. (Facultatif) Pour ajouter des balises à votre barrière de protection, développez **Balises**, puis sélectionnez **Ajouter une nouvelle balise** pour chaque balise que vous définissez.
Pour de plus amples informations, veuillez consulter [Balisage des ressources Amazon Bedrock](tagging.md).
1. Choisissez **Suivant**.
1. Sur la page **Ajout de filtres d’informations sensibles**, procédez comme suit pour configurer les filtres afin de bloquer ou de masquer les informations sensibles :
1. Dans la section **Types de PII**, configurez les catégories de données d’identification personnelle (PII) pour bloquer, masquer ou ne rien faire (mode détection). Vous avez les options suivantes :
+ Pour ajouter tous les types de PII, sélectionnez la flèche déroulante à côté d’**Ajouter un type de PII**. Sélectionnez ensuite le comportement de la barrière de protection à leur appliquer.
**Avertissement**
Si vous spécifiez un comportement, tout comportement existant que vous avez configuré pour les types de PII sera remplacé.
+ Pour supprimer un type de PII, sélectionnez l’icône de la corbeille ().
+ Pour supprimer les lignes contenant des erreurs, sélectionnez **Tout supprimer**, puis **Supprimer toutes les lignes contenant une erreur**
+ Pour supprimer tous les types de PII, sélectionnez **Supprimer tout**, puis **Supprimer toutes les lignes**
+ Pour rechercher une ligne, saisissez une expression dans la barre de recherche.
+ Pour afficher uniquement les lignes comportant des erreurs, sélectionnez le menu déroulant intitulé **Afficher tout**, puis **Afficher uniquement les erreurs**.
+ Pour configurer la taille de chaque page du tableau ou l’affichage des colonnes du tableau, sélectionnez l’icône des paramètres (). Définissez vos préférences, puis sélectionnez **Confirmer**.
1. Dans la section **Modèles Regex**, utilisez des expressions régulières pour définir des modèles à filtrer par la barrière de protection. Vous avez les options suivantes :
+ Pour ajouter un modèle, sélectionnez **Ajouter un modèle regex**. Configurez les champs suivants :
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/guardrails-sensitive-filters.html)
+ Pour modifier un modèle, sélectionnez l’icône à trois points sur la même ligne que la rubrique dans la colonne **Actions**. Ensuite, sélectionnez **Modifier**. Une fois les modifications terminées, sélectionnez **Confirmer**.
+ Pour supprimer un ou plusieurs modèles, cochez les cases correspondant aux modèles à supprimer. Choisissez **Supprimer**, puis **Supprimer la sélection**.
+ Pour supprimer tous les modèles, sélectionnez **Supprimer**, puis **Supprimer tout**.
+ Pour rechercher un modèle, entrez une expression dans la barre de recherche.
+ Pour configurer la taille de chaque page du tableau ou l’affichage des colonnes du tableau, sélectionnez l’icône des paramètres (). Définissez vos préférences, puis sélectionnez **Confirmer**.
1. Lorsque vous avez fini de configurer les filtres d’informations sensibles, sélectionnez **Suivant** ou **Passer à la section Vérification et création**.
------
#### [ API ]
Pour créer un garde-fou avec des politiques relatives aux informations sensibles, envoyez une [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateGuardrail.html)demande. Le format de demande est le suivant :
```
POST /guardrails HTTP/1.1
Content-type: application/json
{
"blockedInputMessaging": "string",
"blockedOutputsMessaging": "string",
"sensitiveInformationPolicyConfig": {
"piiEntitiesConfig": [{
"type": "ADDRESS | EMAIL | PHONE | NAME | SSN | ...",
"action": "BLOCK | ANONYMIZE | NONE",
"inputAction": "BLOCK | ANONYMIZE | NONE",
"inputEnabled": true,
"outputAction": "BLOCK | ANONYMIZE | NONE",
"outputEnabled": true
}],
"regexesConfig": [{
"name": "string",
"pattern": "string",
"action": "BLOCK | ANONYMIZE | NONE",
"description": "string",
"inputAction": "BLOCK | ANONYMIZE | NONE",
"inputEnabled": true,
"outputAction": "BLOCK | ANONYMIZE | NONE",
"outputEnabled": true
}]
},
"description": "string",
"kmsKeyId": "string",
"name": "string",
"tags": [{
"key": "string",
"value": "string"
}],
"crossRegionConfig": {
"guardrailProfileIdentifier": "string"
}
}
```
+ Spécifiez un `name` et une `description` pour la barrière de protection.
+ Dans les champs `blockedInputMessaging` et `blockedOutputsMessaging`, spécifiez les messages à afficher quand la barrière de protection bloque avec succès une invite ou une réponse du modèle.
+ Configurez les stratégies relatives aux informations sensibles dans l’objet `sensitiveInformationPolicyConfig` :
+ Utilisez le tableau `piiEntitiesConfig` pour configurer des types d’entités de PII prédéfinis :
+ Spécifiez le type d’entité de PII dans le champ `type`. Les valeurs valides incluent, entre autres, `ADDRESS`, `EMAIL`, `PHONE`, `NAME` et `US_SOCIAL_SECURITY_NUMBER`.
+ Spécifiez l’action à entreprendre lorsque l’entité de PII est détectée dans le champ `action`. Choisissez `BLOCK` pour bloquer le contenu, `ANONYMIZE` pour masquer le contenu ou `NONE` pour ne rien faire mais renvoyer les informations de détection.
+ (Facultatif) Utilisez `inputAction`, `inputEnabled`, `outputAction` et `outputEnabled` pour configurer différents comportements pour les invites et les réponses.
+ Utilisez le tableau `regexesConfig` pour définir des modèles personnalisés afin de détecter :
+ Spécifiez un `name` pour le modèle regex (1 à 100 caractères).
+ Définissez l’expression régulière `pattern` à détecter (1 à 500 caractères).
+ Spécifiez la valeur `action` à prendre lorsque le modèle est détecté. Choisissez `BLOCK` pour bloquer le contenu, `ANONYMIZE` pour masquer le contenu ou `NONE` pour ne rien faire mais renvoyer les informations de détection.
+ (Facultatif) Fournissez une `description` pour le modèle regex (1 à 1 000 caractères).
+ (Facultatif) Utilisez `inputAction`, `inputEnabled`, `outputAction` et `outputEnabled` pour configurer différents comportements pour les invites et les réponses.
+ (Facultatif) Attachez des balises à la barrière de protection. Pour plus d’informations, consultez [Balisage des ressources Amazon Bedrock](tagging.md).
+ (Facultatif) Pour des raisons de sécurité, incluez l’ARN d’une clé KMS dans le champ `kmsKeyId`.
+ (Facultatif) Pour activer l’[inférence interrégionale](guardrails-cross-region.md), spécifiez un profil de barrière de protection dans l’objet `crossRegionConfig`.
Le format de réponse est le suivant :
```
HTTP/1.1 202
Content-type: application/json
{
"createdAt": "string",
"guardrailArn": "string",
"guardrailId": "string",
"version": "string"
}
```
------