Terapkan perlindungan lintas akun dengan penegakan Amazon Bedrock Guardrails - Amazon Bedrock
Panduan ImplementasiMemantauPenetapan hargaPertanyaan yang Sering Diajukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terapkan perlindungan lintas akun dengan penegakan Amazon Bedrock Guardrails

catatan

Penegakan Amazon Bedrock Guardrails sedang dalam pratinjau dan dapat berubah sewaktu-waktu.

Penegakan Amazon Bedrock Guardrails memungkinkan Anda menerapkan kontrol keamanan secara otomatis di tingkat akun dan pada tingkat tertentu (di seluruh AWS akun) untuk semua AWS Organizations pemanggilan model dengan Amazon Bedrock. Pendekatan terpusat ini mempertahankan perlindungan yang konsisten di beberapa akun dan aplikasi, menghilangkan kebutuhan untuk mengonfigurasi pagar pembatas untuk akun dan aplikasi individual.

Kemampuan kunci

Berikut ini adalah kemampuan utama penegakan pagar pembatas:

  • Penegakan tingkat organisasi — Terapkan pagar pembatas untuk semua pemanggilan model dengan Amazon Bedrock di seluruh unit organisasi (OUs), akun individual, atau seluruh organisasi Anda menggunakan kebijakan Amazon Bedrock (dalam pratinjau) dengan. AWS Organizations

  • Penegakan tingkat akun - Tentukan versi pagar pembatas tertentu dalam akun AWS untuk semua pemanggilan model Amazon Bedrock dari akun itu.

  • Perlindungan berlapis - Gabungkan pagar pembatas khusus organisasi dan aplikasi saat keduanya hadir. Kontrol keselamatan yang efektif akan menjadi penyatuan kedua pagar pembatas dengan kontrol yang paling ketat diutamakan jika terjadi kontrol yang sama dari kedua pagar pembatas.

Topik berikut menjelaskan cara menggunakan penegakan Amazon Bedrock Guardrails:

Panduan Implementasi

Tutorial di bawah ini berjalan melalui langkah-langkah yang diperlukan untuk menegakkan pagar pembatas untuk akun dengan AWS Organisasi dan untuk satu akun. AWS Dengan penegakan ini, semua pemanggilan model ke Amazon Bedrock akan menegakkan perlindungan yang dikonfigurasi dalam pagar pembatas yang ditentukan.

Tutorial: Penegakan Tingkat Organisasi

Tutorial ini memandu Anda melalui pengaturan penegakan pagar pembatas di seluruh organisasi AndaAWS. Pada akhirnya, Anda akan memiliki pagar pembatas yang secara otomatis berlaku untuk semua pemanggilan model Amazon Bedrock di seluruh akun tertentu atau. OUs

Siapa yang harus mengikuti tutorial ini

AWSAdministrator organisasi (dengan akses akun manajemen) dengan izin untuk membuat pagar pembatas dan mengelola kebijakan. AWS Organizations

Apa yang Anda butuhkan

Berikut ini diperlukan untuk menyelesaikan tutorial ini:

Untuk mengatur penegakan pagar pembatas tingkat organisasi
  1. Rencanakan konfigurasi pagar pembatas Anda

    1. Tentukan perlindungan Anda:

      • Tinjau filter pagar pembatas yang tersedia dalam dokumentasi Amazon Bedrock Guardrails

      • Identifikasi filter mana yang Anda butuhkan. Saat ini, filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual didukung.

      • Catatan: Jangan sertakan kebijakan penalaran otomatis, karena tidak didukung untuk penegakan pagar pembatas dan akan menyebabkan kegagalan runtime.

    2. Identifikasi akun target:

      • Tentukan mana OUs, akun, atau seluruh organisasi Anda yang akan memberlakukan pagar pembatas ini

  2. Buat pagar pembatas Anda di akun manajemen

    Buat pagar pembatas di setiap wilayah tempat Anda ingin menegakkannya dengan salah satu metode berikut:

    • MenggunakanKonsol Manajemen AWS:

      1. Masuk ke Konsol Manajemen AWS dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock.

      2. Di panel navigasi kiri, pilih Guardrails

      3. Pilih Buat pagar pembatas

      4. Ikuti panduan untuk mengonfigurasi filter atau perlindungan yang Anda inginkan (filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual)

      5. Jangan aktifkan kebijakan penalaran otomatis

      6. Lengkapi wizard untuk membuat pagar pembatas Anda

    • Menggunakan API: Gunakan CreateGuardrailAPI

    Verifikasi

    Setelah dibuat, Anda akan melihatnya di daftar pagar pembatas di halaman arahan Guardrails atau mencarinya di daftar pagar pembatas menggunakan nama pagar pembatas

  3. Buat Versi Guardrail

    Buat versi numerik untuk memastikan konfigurasi pagar pembatas tetap tidak berubah dan tidak dapat dimodifikasi oleh akun anggota.

    • MenggunakanKonsol Manajemen AWS:

      1. Pilih pagar pembatas yang dibuat pada langkah sebelumnya di halaman Guardrails di konsol Amazon Bedrock

      2. Pilih Buat versi

      3. Perhatikan ARN pagar pembatas dan nomor versi (misalnya, “1", “2", dll.)

    • Menggunakan API: Gunakan CreateGuardrailVersionAPI

    Verifikasi

    Konfirmasikan bahwa versi berhasil dibuat dengan memeriksa daftar versi di halaman detail Guardrail.

  4. Lampirkan Kebijakan Berbasis Sumber Daya

    Aktifkan akses lintas akun dengan melampirkan kebijakan berbasis sumber daya ke pagar pembatas Anda.

    Verifikasi

    Uji akses dari akun anggota menggunakan ApplyGuardrailAPI untuk memastikan otorisasi dikonfigurasi dengan benar.

  5. Konfigurasikan Izin IAM di Akun Anggota

    Pastikan semua peran di akun anggota memiliki izin IAM untuk mengakses pagar pembatas yang diberlakukan.

    Izin yang diperlukan

    Peran akun anggota memerlukan bedrock:ApplyGuardrail izin untuk pagar pembatas akun manajemen. Lihat Siapkan izin untuk menggunakan Amazon Bedrock Guardrails contoh kebijakan IAM yang mendetail

    Verifikasi

    Konfirmasikan bahwa peran dengan izin cakupan bawah di akun anggota dapat berhasil memanggil ApplyGuardrail API dengan pagar pembatas.

  6. Aktifkan Jenis Kebijakan Batuan Dasar Amazon di AWS Organizations

    • Menggunakan Konsol Manajemen AWS — Untuk mengaktifkan jenis kebijakan Amazon Bedrock menggunakan konsol:

      1. Arahkan ke AWS Organizations konsol

      2. Pilih Kebijakan

      3. Pilih kebijakan Amazon Bedrock (saat ini dalam pratinjau)

      4. Pilih Aktifkan kebijakan Amazon Bedrock untuk mengaktifkan jenis kebijakan Amazon Bedrock untuk organisasi Anda

    • Menggunakan API — Gunakan AWS Organizations EnablePolicyTypeAPI dengan tipe kebijakan BEDROCK_POLICY

    Verifikasi

    Konfirmasikan jenis kebijakan Amazon Bedrock ditampilkan sebagai diaktifkan di AWS Organizations konsol.

  7. Membuat dan Melampirkan AWS Organizations Kebijakan

    Buat kebijakan manajemen yang menentukan pagar pembatas Anda dan lampirkan ke akun target Anda atau. OUs

    • Menggunakan Konsol Manajemen AWS — Untuk membuat dan melampirkan AWS Organizations kebijakan menggunakan konsol:

      1. Di AWS Organizations konsol, navigasikan ke Kebijakan > Kebijakan Amazon Bedrock

      2. Pilih Buat kebijakan.

      3. Tentukan ARN dan versi pagar pembatas Anda

      4. Konfigurasikan input_tags pengaturan (atur untuk mengabaikan untuk mencegah akun anggota melewati pagar pembatas pada input melalui tag input pagar pembatas).

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. Simpan kebijakan

      6. Lampirkan kebijakan ke target yang Anda inginkan (root organisasi OUs, atau akun individual) dengan menavigasi ke tab Target dan memilih Lampirkan

    • Menggunakan API — Gunakan AWS Organizations CreatePolicyAPI dengan tipe kebijakanBEDROCK_POLICY. Gunakan AttachPolicyuntuk melampirkan ke target

    Pelajari lebih lanjut: Kebijakan Amazon Bedrock di AWS Organizations

    Verifikasi

    Periksa apakah kebijakan dilampirkan ke target yang benar di AWS Organizations konsol.

  8. Uji dan verifikasi penegakan

    Uji bahwa pagar pembatas diberlakukan pada akun anggota.

    Verifikasi pagar pembatas mana yang diberlakukan

    • Menggunakan Konsol Manajemen AWS — Dari akun anggota, navigasikan ke konsol Amazon Bedrock, klik Guardrails di panel kiri. Di halaman beranda Guardrails, Anda akan melihat pagar pembatas yang diberlakukan organisasi di bawah bagian Konfigurasi penegakan tingkat organisasi di akun manajemen dan pagar pembatas yang diberlakukan tingkat Organisasi di akun anggota

    • Menggunakan API — Dari akun anggota, hubungi DescribeEffectivePolicydengan ID akun anggota Anda sebagai ID target

    Uji dari akun anggota

    1. Buat panggilan inferensi Amazon Bedrock menggunakan InvokeModel,, Converse InvokeModelWithResponseStream, atau. ConverseStream

    2. Pagar pembatas yang diberlakukan harus secara otomatis berlaku untuk input dan output

    3. Periksa respons untuk informasi penilaian pagar pembatas. Respons pagar pembatas akan mencakup informasi pagar pembatas yang diberlakukan.

Tutorial: Penegakan Tingkat Akun

Tutorial ini memandu Anda melalui pengaturan penegakan pagar pembatas dalam satu AWS akun. Pada akhirnya, Anda akan memiliki pagar pembatas yang secara otomatis berlaku untuk semua pemanggilan model Amazon Bedrock di akun Anda.

Siapa yang harus mengikuti tutorial ini

AWSadministrator akun dengan izin untuk membuat pagar pembatas dan mengonfigurasi pengaturan tingkat akun.

Apa yang Anda butuhkan

Berikut ini diperlukan untuk menyelesaikan tutorial ini:

  • AWSAkun dengan izin IAM yang sesuai

  • Memahami persyaratan keamanan akun Anda

Untuk mengatur penegakan pagar pembatas tingkat akun
  1. Rencanakan konfigurasi pagar pembatas
    Tentukan perlindungan Anda

    Untuk menentukan perlindungan Anda:

    • Tinjau filter pagar pembatas yang tersedia dalam dokumentasi Amazon Bedrock Guardrails

    • Identifikasi filter mana yang Anda butuhkan. Saat ini, filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual didukung.

    • Catatan: Jangan sertakan kebijakan penalaran otomatis, karena tidak didukung untuk penegakan pagar pembatas dan akan menyebabkan kegagalan runtime

  2. Buat pagar pembatas Anda

    Buat pagar pembatas di setiap wilayah tempat Anda ingin menegakkannya.

    Melalui Konsol Manajemen AWS

    Untuk membuat pagar pembatas menggunakan konsol:

    1. Masuk ke Konsol Manajemen AWS dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di https://console.aws.amazon.com/bedrock.

    2. Di panel navigasi kiri, pilih Guardrails

    3. Pilih Buat pagar pembatas

    4. Ikuti panduan untuk mengonfigurasi kebijakan yang Anda inginkan (filter konten, topik yang ditolak, filter kata, filter informasi sensitif)

    5. Jangan aktifkan kebijakan penalaran otomatis

    6. Lengkapi wizard untuk membuat pagar pembatas Anda

    Melalui API

    Gunakan CreateGuardrail API

    Verifikasi

    Setelah dibuat, Anda akan melihatnya di daftar pagar pembatas di halaman arahan Guardrails atau mencarinya di daftar pagar pembatas menggunakan nama pagar pembatas

  3. Buat versi pagar pembatas

    Buat versi numerik untuk memastikan konfigurasi pagar pembatas tetap tidak berubah dan tidak dapat dimodifikasi oleh akun anggota.

    Melalui Konsol Manajemen AWS

    Untuk membuat versi pagar pembatas menggunakan konsol:

    1. Pilih pagar pembatas yang dibuat pada langkah sebelumnya di halaman Guardrails di konsol Amazon Bedrock

    2. Pilih Buat versi

    3. Perhatikan ARN pagar pembatas dan nomor versi (misalnya, “1", “2", dll.)

    Melalui API

    Gunakan CreateGuardrailVersion API

    Verifikasi

    Konfirmasikan bahwa versi berhasil dibuat dengan memeriksa daftar versi di halaman detail Guardrail.

  4. Lampirkan kebijakan berbasis sumber daya (opsional)

    Jika Anda ingin berbagi pagar pembatas dengan peran tertentu di akun Anda, lampirkan kebijakan berbasis sumber daya.

    Melalui Konsol Manajemen AWS

    Untuk melampirkan kebijakan berbasis sumber daya menggunakan konsol:

    1. Di konsol Amazon Bedrock Guardrails, pilih pagar pembatas

    2. Klik Tambah untuk menambahkan kebijakan berbasis sumber daya

    3. Menambahkan kebijakan yang memberikan bedrock:ApplyGuardrail izin ke peran yang diinginkan

    4. Simpan kebijakan

  5. Aktifkan penegakan tingkat akun

    Konfigurasikan akun untuk menggunakan pagar pembatas untuk semua pemanggilan Amazon Bedrock. Ini harus dilakukan di setiap wilayah di mana Anda ingin penegakan hukum.

    Melalui Konsol Manajemen AWS

    Untuk mengaktifkan penegakan tingkat akun menggunakan konsol:

    1. Arahkan ke konsol Amazon Bedrock

    2. Pilih Guardrails di panel navigasi kiri

    3. Di bagian Konfigurasi penegakan tingkat akun, pilih Tambah

    4. Pilih pagar pembatas dan versi

    5. Konfigurasikan input_tags pengaturan (atur ke IGNORE untuk mencegah akun anggota melewati pagar pembatas pada input melalui tag input Pagar Pembatas)

    6. Kirim konfigurasi

    7. Ulangi untuk setiap wilayah di mana Anda ingin penegakan

    Melalui API

    Gunakan PutEnforcedGuardrailConfiguration API di setiap wilayah tempat Anda ingin menerapkan pagar pembatas

    Verifikasi

    Anda akan melihat pagar pembatas yang diberlakukan akun di bawah bagian Konfigurasi pagar pembatas yang diberlakukan akun di halaman Guardrails. Anda dapat memanggil ListEnforcedGuardrailsConfigurationAPI untuk memastikan bahwa pagar pembatas yang diberlakukan terdaftar

  6. Uji dan verifikasi penegakan
    Uji menggunakan peran di akun Anda

    Untuk menguji penegakan hukum dari akun Anda:

    1. Membuat panggilan inferensi Amazon Bedrock menggunakanInvokeModel,,Converse, InvokeModelWithResponseStream atau ConverseStream

    2. Pagar pembatas yang diberlakukan akun harus secara otomatis berlaku untuk input dan output

    3. Periksa respons untuk informasi penilaian pagar pembatas. Respons pagar pembatas akan mencakup informasi pagar pembatas yang diberlakukan.

Memantau

Penetapan harga

Penegakan Amazon Bedrock Guardrails mengikuti model penetapan harga saat ini untuk Amazon Bedrock Guardrails berdasarkan jumlah unit teks yang dikonsumsi per perlindungan yang dikonfigurasi. Biaya berlaku untuk setiap pagar pembatas yang diberlakukan sesuai dengan pengamanan yang dikonfigurasikan. Untuk informasi harga terperinci tentang perlindungan individu, silakan lihat Harga Amazon Bedrock.

Pertanyaan yang Sering Diajukan

Bagaimana konsumsi terhadap kuota dihitung ketika pagar pembatas yang diberlakukan berlaku?

Konsumsi akan dihitung per ARN pagar pembatas yang terkait dengan setiap permintaan dan akan dihitung ke AWS akun yang melakukan panggilan API. Misalnya: ApplyGuardrail panggilan dengan 1000 karakter teks dan 3 pagar pembatas akan menghasilkan 3 unit teks konsumsi per pagar pembatas per pengaman di pagar pembatas.

Panggilan akun anggota menggunakan Kebijakan Dasar Dasar Amazon akan dihitung terhadap Service Quotas untuk akun anggota. Tinjau dokumentasi Konsol Service Quotas atau Service Quotas dan pastikan batas waktu proses Guardrails cukup untuk volume panggilan Anda.

Bagaimana cara mencegah akun anggota melewati pagar pembatas menggunakan tag input?

Gunakan input_tags kontrol yang tersedia di:

Tetapkan nilai yang akan diabaikan untuk mencegah akun anggota menandai sebagian konten.

Apa yang terjadi jika saya memiliki pagar pembatas yang diberlakukan di tingkat organisasi dan tingkat akun serta pagar pembatas dalam permintaan saya?

Semua 3 pagar pembatas akan diberlakukan saat runtime. Efek bersihnya adalah penyatuan semua pagar pembatas, dengan kontrol yang paling ketat diutamakan.

Apa yang terjadi dengan model yang tidak mendukung pagar pembatas?

Untuk model di mana Guardrails tidak didukung (seperti menyematkan model), kesalahan validasi runtime akan ditampilkan.

Dapatkah saya menghapus pagar pembatas yang digunakan dalam konfigurasi penegakan hukum?

Tidak. Secara default, DeleteGuardrailAPI mencegah penghapusan pagar pembatas yang terkait dengan konfigurasi penegakan tingkat akun atau tingkat organisasi.