View a markdown version of this page

Terapkan perlindungan lintas akun dengan penegakan Amazon Bedrock Guardrails - Amazon Bedrock
Panduan implementasiMemantauHargaPertanyaan yang Sering Diajukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terapkan perlindungan lintas akun dengan penegakan Amazon Bedrock Guardrails

Amazon Bedrock Guardrails memungkinkan Anda menerapkan pengamanan secara otomatis di beberapa akun dalam suatu organisasi melalui kebijakan Amazon Bedrock.AWS Organizations Ini memungkinkan perlindungan seragam di semua akun dengan kontrol dan manajemen terpusat. Selain itu, kemampuan ini juga menawarkan fleksibilitas untuk menerapkan kontrol tingkat akun dan khusus aplikasi tergantung pada persyaratan kasus penggunaan.

Kemampuan kunci

Berikut ini adalah kemampuan utama penegakan pagar pembatas:

  • Penegakan tingkat organisasi — Terapkan pagar pembatas untuk semua pemanggilan model dengan Amazon Bedrock di seluruh unit organisasi (OUs), akun individual, atau seluruh organisasi Anda menggunakan kebijakan Amazon Bedrock. AWS Organizations

  • Penegakan tingkat akun - Tentukan versi pagar pembatas tertentu dalam akun AWS untuk semua pemanggilan model Amazon Bedrock dari akun itu.

  • Perlindungan berlapis - Gabungkan pagar pembatas khusus organisasi dan aplikasi saat keduanya hadir. Kontrol keselamatan yang efektif akan menjadi penyatuan kedua pagar pembatas dengan kontrol yang paling ketat diutamakan jika terjadi kontrol yang sama dari kedua pagar pembatas.

Topik berikut menjelaskan cara menggunakan penegakan Amazon Bedrock Guardrails:

Panduan implementasi

Langkah-langkah di bawah ini memberikan rincian tentang penerapan penegakan pagar pembatas untuk akun dalam AWS Organisasi dan untuk satu akun. AWS Dengan penegakan ini, semua pemanggilan model ke Amazon Bedrock akan menegakkan perlindungan yang dikonfigurasi dalam pagar pembatas yang ditentukan.

Penegakan tingkat organisasi

Bagian ini merinci pengaturan penegakan pagar pembatas di seluruh organisasi Anda AWS . Setelah disiapkan, Anda akan memiliki pagar pembatas yang secara otomatis berlaku untuk semua pemanggilan model Amazon Bedrock di seluruh akun tertentu atau. OUs

Prasyarat

AWS Administrator organisasi (dengan akses akun manajemen) dengan izin untuk membuat pagar pembatas dan mengelola kebijakan. AWS Organizations

Apa yang Anda butuhkan

Berikut ini diperlukan:

Untuk mengatur penegakan pagar pembatas tingkat organisasi
  1. Rencanakan konfigurasi pagar pembatas

    1. Tentukan perlindungan Anda:

      • Tinjau filter pagar pembatas yang tersedia dalam dokumentasi Amazon Bedrock Guardrails

      • Identifikasi filter mana yang Anda butuhkan. Saat ini, filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual didukung.

      • penting

        Jangan sertakan kebijakan penalaran otomatis, karena tidak didukung untuk penegakan pagar pembatas dan akan menyebabkan kegagalan runtime.

    2. Identifikasi akun target:

      • Tentukan mana OUs, akun, atau seluruh organisasi Anda yang akan memberlakukan pagar pembatas ini

  2. Buat pagar pembatas Anda di akun manajemen

    Buat pagar pembatas di setiap wilayah tempat Anda ingin menegakkannya dengan salah satu metode berikut:

    • Menggunakan Konsol Manajemen AWS:

      1. Masuk ke Konsol Manajemen AWS dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock.

      2. Di panel navigasi kiri, pilih Guardrails

      3. Pilih Buat pagar pembatas

      4. Ikuti panduan untuk mengonfigurasi filter atau perlindungan yang Anda inginkan (filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual)

      5. Jangan aktifkan kebijakan penalaran otomatis

      6. Lengkapi wizard untuk membuat pagar pembatas Anda

    • Menggunakan API: Gunakan CreateGuardrailAPI

    Verifikasi

    Setelah dibuat, Anda akan melihatnya di daftar pagar pembatas di halaman arahan Guardrails atau mencarinya di daftar pagar pembatas menggunakan nama pagar pembatas

  3. Buat versi pagar pembatas

    Buat versi numerik untuk memastikan konfigurasi pagar pembatas tetap tidak berubah dan tidak dapat dimodifikasi oleh akun anggota.

    • Menggunakan Konsol Manajemen AWS:

      1. Pilih pagar pembatas yang dibuat pada langkah sebelumnya di halaman Guardrails di konsol Amazon Bedrock

      2. Pilih Buat versi

      3. Perhatikan pagar pembatas ARN dan nomor versi (misalnya, “1", “2")

    • Menggunakan API: Gunakan CreateGuardrailVersionAPI

    Verifikasi

    Konfirmasikan bahwa versi telah berhasil dibuat dengan memeriksa daftar versi pada halaman detail Guardrail.

  4. Lampirkan kebijakan berbasis sumber daya

    Aktifkan akses lintas akun dengan melampirkan kebijakan berbasis sumber daya ke pagar pembatas Anda.

    Verifikasi

    Uji akses dari akun anggota menggunakan ApplyGuardrailAPI untuk memastikan otorisasi dikonfigurasi dengan benar.

  5. Konfigurasikan izin IAM di akun anggota

    Pastikan semua peran di akun anggota memiliki izin IAM untuk mengakses pagar pembatas yang diberlakukan.

    Izin yang diperlukan

    Peran akun anggota memerlukan bedrock:ApplyGuardrail izin untuk pagar pembatas akun manajemen. Lihat Siapkan izin untuk menggunakan Amazon Bedrock Guardrails contoh kebijakan IAM yang terperinci

    Verifikasi

    Konfirmasikan bahwa peran dengan izin cakupan bawah di akun anggota dapat berhasil memanggil ApplyGuardrail API dengan pagar pembatas.

  6. Aktifkan Jenis Kebijakan Batuan Dasar Amazon di AWS Organizations

    • Menggunakan Konsol Manajemen AWS — Untuk mengaktifkan jenis kebijakan Amazon Bedrock menggunakan konsol:

      1. Arahkan ke AWS Organizations konsol

      2. Pilih Kebijakan

      3. Pilih kebijakan Amazon Bedrock

      4. Pilih Aktifkan kebijakan Amazon Bedrock untuk mengaktifkan jenis kebijakan Amazon Bedrock untuk organisasi Anda

    • Menggunakan API — Gunakan AWS Organizations EnablePolicyTypeAPI dengan tipe kebijakan BEDROCK_POLICY

    Verifikasi

    Konfirmasikan jenis kebijakan Amazon Bedrock ditampilkan sebagai diaktifkan di AWS Organizations konsol.

  7. Membuat dan melampirkan AWS Organizations kebijakan

    Buat kebijakan manajemen yang menentukan pagar pembatas Anda dan lampirkan ke akun target Anda atau. OUs

    • Menggunakan Konsol Manajemen AWS — Untuk membuat dan melampirkan AWS Organizations kebijakan menggunakan konsol:

      1. Di AWS Organizations konsol, navigasikan ke Kebijakan > Kebijakan Amazon Bedrock

      2. Pilih Buat kebijakan.

      3. Tentukan ARN dan versi pagar pembatas Anda

        penting

        Pastikan Anda menentukan ARN pagar pembatas yang akurat dalam polis. Menentukan ARN yang salah atau tidak valid akan mengakibatkan pelanggaran kebijakan, non-penegakan perlindungan, dan ketidakmampuan untuk menggunakan model di Amazon Bedrock untuk inferensi.

      4. Konfigurasikan kontrol pelindung konten selektif (opsional).

        • Amazon Bedrock APIs memungkinkan penelepon untuk menandai konten tertentu dalam permintaan input mereka untuk evaluasi pagar pembatas.

        • Kontrol penjagaan konten selektif memungkinkan administrator memutuskan apakah akan menghormati keputusan penandaan yang dibuat oleh pemanggil API.

        • messagesKontrol system dan menentukan bagaimana permintaan sistem dan konten pesan diproses oleh pagar pembatas. Masing-masing menerima salah satu dari nilai berikut:

          • Selektif: Hanya mengevaluasi konten dalam tag konten penjaga. Ketika tidak ada tag yang ditentukan, perilaku tergantung pada kontrol. Karenasystem, tidak ada konten yang dievaluasi, dan untukmessages, semua konten dievaluasi.

          • Komprehensif: Evaluasi semua konten, terlepas dari tag konten penjaga.

        • Jika tidak dikonfigurasi, keduanya mengontrol default ke Comprehensive.

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
                    },
                    "selective_content_guarding": {
                        "system": {
                            "@@assign": "selective"
                        },
                        "messages": {
                            "@@assign": "comprehensive"
                        }
                    },
                    "model_enforcement": {
                        "included_models": {
                            "@@assign": ["ALL"]
                        },
                        "excluded_models": {
                            "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
                        }
                    }
                }
            }
        }
    }
}

      5. Simpan kebijakan

      6. Lampirkan kebijakan ke target yang Anda inginkan (root organisasi OUs, atau akun individual) dengan menavigasi ke tab Target dan memilih Lampirkan

    • Menggunakan API — Gunakan AWS Organizations CreatePolicyAPI dengan tipe kebijakanBEDROCK_POLICY. Gunakan AttachPolicyuntuk melampirkan ke target

    Pelajari lebih lanjut: Kebijakan Amazon Bedrock di AWS Organizations

    Verifikasi

    Periksa apakah kebijakan dilampirkan ke target yang benar di AWS Organizations konsol.

  8. Uji dan verifikasi penegakan

    Uji bahwa pagar pembatas diberlakukan pada akun anggota.

    Verifikasi pagar pembatas mana yang diberlakukan

    • Menggunakan Konsol Manajemen AWS — Dari akun anggota, navigasikan ke konsol Amazon Bedrock, pilih Guardrails di panel navigasi kiri. Di halaman beranda Guardrails, Anda akan melihat pagar pembatas yang diberlakukan organisasi di bawah bagian Konfigurasi penegakan tingkat organisasi di akun manajemen dan pagar pembatas yang diberlakukan tingkat Organisasi di akun anggota

    • Menggunakan API — Dari akun anggota, hubungi DescribeEffectivePolicydengan ID akun anggota Anda sebagai ID target

    Uji dari akun anggota

    1. Buat panggilan inferensi Amazon Bedrock menggunakan InvokeModel,, Converse InvokeModelWithResponseStream, atau. ConverseStream

    2. Pagar pembatas yang diberlakukan harus secara otomatis berlaku untuk input dan output

    3. Periksa respons untuk informasi penilaian pagar pembatas. Respons pagar pembatas akan mencakup informasi pagar pembatas yang diberlakukan.

Penegakan tingkat akun

Bagian ini merinci pengaturan penegakan pagar pembatas dalam satu AWS akun. Setelah disiapkan, Anda akan memiliki pagar pembatas yang secara otomatis berlaku untuk semua pemanggilan model Amazon Bedrock di akun Anda.

Prasyarat

AWS administrator akun dengan izin untuk membuat pagar pembatas dan mengonfigurasi pengaturan tingkat akun.

Apa yang Anda butuhkan

Berikut ini diperlukan:

  • AWS Akun dengan izin IAM yang sesuai

  • Memahami persyaratan keamanan akun Anda

Untuk mengatur penegakan pagar pembatas tingkat akun
  1. Rencanakan konfigurasi pagar pembatas
    Tentukan perlindungan Anda

    Untuk menentukan perlindungan Anda:

    • Tinjau filter pagar pembatas yang tersedia dalam dokumentasi Amazon Bedrock Guardrails

    • Identifikasi filter mana yang Anda butuhkan. Saat ini, filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual didukung.

    • penting

      Jangan sertakan kebijakan penalaran otomatis, karena tidak didukung untuk penegakan pagar pembatas dan akan menyebabkan kegagalan runtime

  2. Buat pagar pembatas Anda

    Buat pagar pembatas di setiap wilayah tempat Anda ingin menegakkannya.

    Melalui Konsol Manajemen AWS

    Untuk membuat pagar pembatas menggunakan konsol:

    1. Masuk ke Konsol Manajemen AWS dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock.

    2. Di panel navigasi kiri, pilih Guardrails

    3. Pilih Buat pagar pembatas

    4. Ikuti panduan untuk mengonfigurasi kebijakan yang Anda inginkan (filter konten, topik yang ditolak, filter kata, filter informasi sensitif)

    5. Jangan aktifkan kebijakan penalaran otomatis

    6. Lengkapi wizard untuk membuat pagar pembatas Anda

    Melalui API

    Gunakan CreateGuardrail API

    Verifikasi

    Setelah dibuat, Anda akan melihatnya di daftar pagar pembatas di halaman arahan Guardrails atau mencarinya di daftar pagar pembatas menggunakan nama pagar pembatas

  3. Buat versi pagar pembatas

    Buat versi numerik untuk memastikan konfigurasi pagar pembatas tetap tidak berubah dan tidak dapat dimodifikasi oleh akun anggota.

    Melalui Konsol Manajemen AWS

    Untuk membuat versi pagar pembatas menggunakan konsol:

    1. Pilih pagar pembatas yang dibuat pada langkah sebelumnya di halaman Guardrails di konsol Amazon Bedrock

    2. Pilih Buat versi

    3. Perhatikan pagar pembatas ARN dan nomor versi (misalnya, “1", “2")

    Melalui API

    Gunakan CreateGuardrailVersion API

    Verifikasi

    Konfirmasikan bahwa versi telah berhasil dibuat dengan memeriksa daftar versi pada halaman detail Guardrail.

  4. Lampirkan kebijakan berbasis sumber daya (opsional)

    Jika Anda ingin berbagi pagar pembatas dengan peran tertentu di akun Anda, lampirkan kebijakan berbasis sumber daya.

    Melalui Konsol Manajemen AWS

    Untuk melampirkan kebijakan berbasis sumber daya menggunakan konsol:

    1. Di konsol Amazon Bedrock Guardrails, pilih pagar pembatas Anda

    2. Pilih Tambah untuk menambahkan kebijakan berbasis sumber daya

    3. Menambahkan kebijakan yang memberikan bedrock:ApplyGuardrail izin ke peran yang diinginkan

    4. Simpan kebijakan

  5. Aktifkan penegakan tingkat akun

    Konfigurasikan akun untuk menggunakan pagar pembatas untuk semua pemanggilan Amazon Bedrock. Ini harus dilakukan di setiap wilayah di mana Anda ingin penegakan hukum.

    Melalui Konsol Manajemen AWS

    Untuk mengaktifkan penegakan tingkat akun menggunakan konsol:

    1. Arahkan ke konsol Amazon Bedrock

    2. Pilih Guardrails di panel navigasi kiri

    3. Di bagian Konfigurasi penegakan tingkat akun, pilih Tambah

    4. Pilih pagar pembatas dan versi

    5. Konfigurasikan kontrol pelindung konten selektif (opsional).

      • Amazon Bedrock APIs memungkinkan penelepon untuk menandai konten tertentu dalam permintaan input mereka untuk evaluasi pagar pembatas.

      • Kontrol penjagaan konten selektif memungkinkan administrator memutuskan apakah akan menghormati keputusan penandaan yang dibuat oleh pemanggil API.

      • messagesKontrol system dan menentukan bagaimana permintaan sistem dan konten pesan diproses oleh pagar pembatas. Masing-masing menerima salah satu dari nilai berikut:

        • Selektif: Hanya mengevaluasi konten dalam tag konten penjaga.

        • Komprehensif: Evaluasi semua konten, terlepas dari tag konten penjaga.

      • Jika tidak dikonfigurasi, keduanya mengontrol default ke Comprehensive.

    6. Kirim konfigurasi

    7. Ulangi untuk setiap wilayah di mana Anda ingin penegakan hukum

    Melalui API

    Gunakan PutEnforcedGuardrailConfiguration API di setiap wilayah tempat Anda ingin menerapkan pagar pembatas

    Verifikasi

    Anda akan melihat pagar pembatas yang diberlakukan akun di bawah bagian Konfigurasi pagar pembatas yang diberlakukan akun di halaman Guardrails. Anda dapat memanggil ListEnforcedGuardrailsConfigurationAPI untuk memastikan bahwa pagar pembatas yang diberlakukan terdaftar

  6. Uji dan verifikasi penegakan
    Uji menggunakan peran di akun Anda

    Untuk menguji penegakan hukum dari akun Anda:

    1. Membuat panggilan inferensi Amazon Bedrock menggunakanInvokeModel,,Converse, InvokeModelWithResponseStream atau ConverseStream

    2. Pagar pembatas yang diberlakukan akun harus secara otomatis berlaku untuk input dan output

    3. Periksa respons untuk informasi penilaian pagar pembatas. Respons pagar pembatas akan mencakup informasi pagar pembatas yang diberlakukan.

Memantau

Harga

Penegakan Amazon Bedrock Guardrails mengikuti model penetapan harga saat ini untuk Amazon Bedrock Guardrails berdasarkan jumlah unit teks yang dikonsumsi per perlindungan yang dikonfigurasi. Biaya berlaku untuk setiap pagar pembatas yang diberlakukan sesuai dengan pengamanan yang dikonfigurasikan. Untuk informasi harga terperinci tentang perlindungan individu, lihat Harga Amazon Bedrock.

Pertanyaan yang Sering Diajukan

Bagaimana konsumsi terhadap kuota dihitung ketika pagar pembatas yang diberlakukan berlaku?

Konsumsi akan dihitung per ARN pagar pembatas yang terkait dengan setiap permintaan dan akan dihitung ke AWS akun yang melakukan panggilan API. Misalnya: ApplyGuardrail panggilan dengan 1000 karakter teks dan 3 pagar pembatas akan menghasilkan 3 unit teks konsumsi per pagar pembatas per perlindungan di pagar pembatas.

Panggilan akun anggota menggunakan Kebijakan Dasar Dasar Amazon akan dihitung terhadap Service Quotas untuk akun anggota. Tinjau dokumentasi Konsol Service Quotas atau Service Quotas dan pastikan batas waktu proses Guardrails cukup untuk volume panggilan Anda.

Apa yang terjadi jika saya memiliki pagar pembatas yang diberlakukan di tingkat organisasi dan tingkat akun serta pagar pembatas dalam permintaan saya?

Semua 3 pagar pembatas akan diberlakukan saat runtime. Efek bersihnya adalah penyatuan semua pagar pembatas, dengan kontrol yang paling ketat diutamakan.

Kapan saya harus menggunakan kontrol penjagaan selektif atau komprehensif?

Gunakan Selektif saat Anda mempercayai penelepon untuk menandai konten yang tepat dan ingin mengurangi pemrosesan pagar pembatas yang tidak perlu. Ini berguna ketika penelepon menangani campuran konten yang telah divalidasi sebelumnya dan yang dibuat pengguna, dan hanya memerlukan pagar pembatas yang diterapkan pada bagian tertentu. Gunakan Comprehensive saat Anda ingin menerapkan pagar pembatas pada segala hal, apa pun tag pemanggil. Ini adalah default yang lebih aman ketika Anda tidak ingin mengandalkan penelepon untuk mengidentifikasi konten sensitif dengan benar.

Bagaimana saya bisa memasukkan atau mengecualikan model tertentu dari penegakan hukum?

Gunakan kontrol penegakan model untuk melihat model mana di Amazon Bedrock yang berlaku untuk pagar pembatas untuk inferensi. Jika tidak dikonfigurasi, penegakan hukum berlaku untuk semua model di Amazon Bedrock secara default. Kontrol ini menerima daftar berikut:

  • Model yang disertakan: Model untuk menegakkan pagar pembatas. Menerima pengidentifikasi model tertentu atau kata kunci ALL untuk secara eksplisit menyertakan semua model. Saat kosong, penegakan berlaku untuk semua model.

  • Model yang dikecualikan: Model untuk dikecualikan dari penegakan pagar pembatas. Saat kosong, tidak ada model yang dikecualikan.

Jika model muncul di kedua daftar, itu dikecualikan.

Kapan saya harus menggunakan model include versus exclude?

  • Gunakan model Termasuk saat Anda ingin menerapkan pagar pembatas hanya pada model tertentu.

  • Gunakan model yang Dikecualikan saat Anda menginginkan penegakan hukum yang luas tetapi perlu mengukir pengecualian untuk model tertentu.

Bisakah saya menghapus pagar pembatas yang digunakan dalam konfigurasi penegakan hukum?

Tidak. Secara default, DeleteGuardrailAPI mencegah penghapusan pagar pembatas yang terkait dengan konfigurasi penegakan tingkat akun atau tingkat organisasi.