Applica misure di protezione tra account con le misure di applicazione di Amazon Bedrock Guardrails - Amazon Bedrock
Guida all'implementazioneMonitoraggioPrezziDomande frequenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applica misure di protezione tra account con le misure di applicazione di Amazon Bedrock Guardrails

Nota

Le imposizioni di Amazon Bedrock Guardrails sono disponibili in anteprima e sono soggette a modifiche.

Le implementazioni di Amazon Bedrock Guardrails consentono di applicare automaticamente i controlli di sicurezza a livello di account e a AWS Organizations livello (tra AWS account) per tutte le chiamate dei modelli con Amazon Bedrock. Questo approccio centralizzato mantiene protezioni coerenti su più account e applicazioni, eliminando la necessità di configurare barriere per singoli account e applicazioni.

Funzionalità chiave

Di seguito sono elencate le funzionalità principali dei sistemi di protezione dei guardrail:

  • Applicazione a livello di organizzazione: applica barriere a tutte le chiamate dei modelli con Amazon Bedrock tra le unità organizzative (OUs), i singoli account o l'intera organizzazione utilizzando le politiche di Amazon Bedrock (in anteprima) con. AWS Organizations

  • Applicazione a livello di account: designa una versione particolare di un guardrail all'interno di un account AWS per tutte le chiamate del modello Amazon Bedrock da quell'account.

  • Protezione a più livelli: combina barriere organizzative e specifiche dell'applicazione quando entrambe sono presenti. Il controllo di sicurezza efficace sarà l'unione di entrambi i guardrail, con i controlli più restrittivi che avranno la precedenza in caso di uno stesso controllo da entrambi i guardrail.

I seguenti argomenti descrivono come utilizzare le imposizioni di Amazon Bedrock Guardrails:

Guida all'implementazione

I tutorial riportati di seguito illustrano i passaggi necessari per applicare le barriere agli account con un'AWSorganizzazione e per un singolo account. AWS Con queste misure, tutte le chiamate dei modelli ad Amazon Bedrock applicheranno le protezioni configurate all'interno del guardrail designato.

Tutorial: applicazione a livello di organizzazione

Questo tutorial illustra come impostare l'applicazione del guardrail in tutta l'organizzazione. AWS Alla fine, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock su account specifici o. OUs

Chi dovrebbe seguire questo tutorial

AWSAmministratori dell'organizzazione (con accesso all'account di gestione) con autorizzazioni per creare barriere e gestire le politiche. AWS Organizations

Cosa ti servirà

Per completare questo tutorial sono necessari i seguenti requisiti:

Per impostare l'applicazione del guardrail a livello di organizzazione
  1. Pianifica la configurazione del guardrail

    1. Definisci le tue protezioni:

      • Consulta i filtri guardrail disponibili nella documentazione di Amazon Bedrock Guardrails

      • Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri di contenuto, argomenti negati, filtri di parole, filtri per informazioni sensibili e controlli contestuali di base.

      • Nota: non includete la politica di ragionamento automatico, in quanto non è supportata per le imposizioni del guardrail e causerà errori di runtime.

    2. Identifica gli account target:

      • Determina a quali OUs account o all'intera organizzazione verrà applicata questa barriera

  2. Crea il tuo guardrail nell'account di gestione

    Crea un guardrail in ogni regione in cui desideri applicarlo con uno dei seguenti metodi:

    • Usando il: Console di gestione AWS

      1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

      2. Nel pannello di navigazione a sinistra, scegli Guardrails

      3. Scegli Crea guardrail

      4. Segui la procedura guidata per configurare i filtri o le protezioni desiderate (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili, controlli contestuali di base)

      5. Non abilitate la politica di ragionamento automatico

      6. Completa la procedura guidata per creare il tuo guardrail

    • Utilizzo dell'API: utilizza l'API CreateGuardrail

    Verifica

    Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail

  3. Crea una versione di Guardrail

    Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.

    • Utilizzando: Console di gestione AWS

      1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock

      2. Scegli Crea versione

      3. Annota l'ARN del guardrail e il numero di versione (ad esempio, «1", «2", ecc.)

    • Utilizzo dell'API: utilizza l'API CreateGuardrailVersion

    Verifica

    Conferma che la versione è stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.

  4. Allega una politica basata sulle risorse

    Abilita l'accesso su più account allegando una politica basata sulle risorse al tuo guardrail.

    Verifica

    Verifica l'accesso da un account membro utilizzando l'ApplyGuardrailAPI per assicurarti che l'autorizzazione sia configurata correttamente.

  5. Configura le autorizzazioni IAM negli account dei membri

    Assicurati che tutti i ruoli negli account dei membri dispongano delle autorizzazioni IAM per accedere al guardrail applicato.

    Autorizzazioni richieste

    I ruoli degli account membro richiedono bedrock:ApplyGuardrail l'autorizzazione per il guardrail dell'account di gestione. Vedi esempi Configurazione delle autorizzazioni per utilizzare Guardrail per Amazon Bedrock dettagliati di policy IAM

    Verifica

    Verifica che i ruoli con autorizzazioni limitate negli account dei membri possano chiamare correttamente l'ApplyGuardrailAPI con il guardrail.

  6. Abilita il tipo di policy Amazon Bedrock in AWS Organizations

    • Utilizzo diConsole di gestione AWS: per abilitare il tipo di policy Amazon Bedrock utilizzando la console:

      1. Passa alla console AWS Organizations

      2. Scegli Politiche

      3. Scegli le politiche di Amazon Bedrock (attualmente in anteprima)

      4. Scegli Abilita le politiche di Amazon Bedrock per abilitare il tipo di policy Amazon Bedrock per la tua organizzazione

    • Utilizzo dell'API: utilizza l'AWS OrganizationsEnablePolicyTypeAPI con il tipo di policy BEDROCK_POLICY

    Verifica

    Verifica che il tipo di policy di Amazon Bedrock sia visualizzato come abilitato nella AWS Organizations console.

  7. Crea e allega una policy AWS Organizations

    Crea una politica di gestione che specifichi il tuo guardrail e allegala ai tuoi account di destinazione oppure. OUs

    • Utilizzo diConsole di gestione AWS: per creare e allegare una AWS Organizations politica utilizzando la console:

      1. Nella AWS Organizations console, accedi a Politiche > Politiche Amazon Bedrock

      2. Selezionare Creare policy

      3. Specificate l'ARN e la versione del guardrail

      4. Configura l'input_tagsimpostazione (imposta su ignore per evitare che gli account dei membri aggirino il guardrail in ingresso tramite i tag di input guardrails).

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. Salva la politica

      6. Allega la politica agli obiettivi desiderati (account principali dell'organizzazione o singoli account) accedendo alla scheda Target e selezionando Allega OUs

    • Utilizzo dell'API: utilizza l'AWS OrganizationsCreatePolicyAPI con il tipo di BEDROCK_POLICY policy. AttachPolicyDa utilizzare per il collegamento agli obiettivi

    Per saperne di più: politiche di Amazon Bedrock in AWS Organizations

    Verifica

    Verifica che la policy sia associata agli obiettivi corretti nella AWS Organizations console.

  8. Testa e verifica l'applicazione

    Verifica che il guardrail venga applicato agli account dei membri.

    Verifica quale guardrail è applicato

    • UtilizzandoConsole di gestione AWS: da un account membro, accedi alla console Amazon Bedrock, fai clic su Guardrails nel pannello di sinistra. Nella home page di Guardrails, dovresti vedere il guardrail applicato a livello di organizzazione nella sezione Configurazioni di applicazione a livello di organizzazione nell'account di gestione e i guardrail applicati a livello di organizzazione nell'account membro

    • Utilizzo dell'API: da un account membro, chiama con l'ID del tuo account membro come ID di destinazione DescribeEffectivePolicy

    Esegui il test da un account membro

    1. Effettua una chiamata di inferenza Amazon Bedrock utilizzando InvokeModel, InvokeModelWithResponseStream, Converse o. ConverseStream

    2. Il guardrail imposto dovrebbe applicarsi automaticamente sia agli ingressi che alle uscite

    3. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.

Tutorial: applicazione a livello di account

Questo tutorial ti guida attraverso la configurazione di Guardrail Enforcement all'interno di un singolo account. AWS Alla fine, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock nel tuo account.

Chi dovrebbe seguire questo tutorial

AWSamministratori di account con i permessi per creare guardrail e configurare le impostazioni a livello di account.

Cosa ti servirà

Per completare questo tutorial sono necessari i seguenti requisiti:

  • Un AWS account con autorizzazioni IAM appropriate

  • Comprensione dei requisiti di sicurezza del tuo account

Per impostare l'applicazione del guardrail a livello di account
  1. Pianifica la configurazione del guardrail
    Definisci le tue protezioni

    Per definire le tue misure di protezione:

    • Consulta i filtri guardrail disponibili nella documentazione di Amazon Bedrock Guardrails

    • Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri di contenuto, argomenti negati, filtri di parole, filtri per informazioni sensibili e controlli contestuali di base.

    • Nota: non includete la politica di ragionamento automatico, in quanto non è supportata per le imposizioni del guardrail e causerà errori di runtime

  2. Creare un guardrail

    Crea un guardrail in ogni regione in cui desideri applicarlo.

    Tramite Console di gestione AWS

    Per creare un guardrail utilizzando la console:

    1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

    2. Nel pannello di navigazione a sinistra, scegli Guardrails

    3. Scegli Crea guardrail

    4. Segui la procedura guidata per configurare le politiche desiderate (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili)

    5. Non abilitate la politica di ragionamento automatico

    6. Completa la procedura guidata per creare il tuo guardrail

    Tramite API

    Utilizzare l'API CreateGuardrail

    Verifica

    Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail

  3. Crea una versione guardrail

    Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.

    Tramite Console di gestione AWS

    Per creare una versione guardrail utilizzando la console:

    1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock

    2. Scegli Crea versione

    3. Annota l'ARN del guardrail e il numero di versione (ad esempio, «1", «2", ecc.)

    Tramite API

    Utilizzare l'API CreateGuardrailVersion

    Verifica

    Verifica che la versione sia stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.

  4. Allega una politica basata sulle risorse (opzionale)

    Se desideri condividere il guardrail con ruoli specifici nel tuo account, allega una politica basata sulle risorse.

    Tramite Console di gestione AWS

    Per allegare una policy basata sulle risorse utilizzando la console:

    1. Nella console Amazon Bedrock Guardrails, seleziona il tuo guardrail

    2. Fai clic su Aggiungi per aggiungere una politica basata sulle risorse

    3. Aggiungi una politica che conceda l'bedrock:ApplyGuardrailautorizzazione ai ruoli desiderati

    4. Salva la politica

  5. Abilita l'applicazione a livello di account

    Configura l'account per utilizzare il tuo guardrail per tutte le chiamate di Amazon Bedrock. Questa operazione deve essere eseguita in tutte le regioni in cui si desidera che venga applicata.

    Tramite Console di gestione AWS

    Per abilitare l'applicazione a livello di account utilizzando la console:

    1. Passa alla console Amazon Bedrock

    2. Scegli Guardrails nel pannello di navigazione a sinistra

    3. Nella sezione Configurazioni di applicazione a livello di account, scegli Aggiungi

    4. Seleziona il guardrail e la versione

    5. Configura l'input_tagsimpostazione (imposta su IGNORE per impedire agli account dei membri di aggirare il guardrail in ingresso tramite i tag di input di Guardrails)

    6. Invia la configurazione

    7. Ripeti l'operazione per ogni regione in cui desideri che venga applicata

    Tramite API

    Utilizza l'PutEnforcedGuardrailConfigurationAPI in ogni regione in cui desideri applicare il guardrail

    Verifica

    Dovresti vedere il guardrail applicato all'account nella sezione Account enforced guardrail configuration nella pagina Guardrails. Puoi chiamare l'ListEnforcedGuardrailsConfigurationAPI per assicurarti che il guardrail applicato sia elencato

  6. Testa e verifica l'applicazione
    Prova a utilizzare un ruolo nel tuo account

    Per verificare l'applicazione delle norme dal tuo account:

    1. Effettua una chiamata di inferenza Amazon Bedrock utilizzandoInvokeModel,Converse, o InvokeModelWithResponseStream ConverseStream

    2. Il guardrail imposto dall'account dovrebbe applicarsi automaticamente sia agli input che agli output

    3. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.

Monitoraggio

  • Tieni traccia degli interventi e delle metriche del guardrail utilizzando i parametri CloudWatch per Amazon Bedrock Guardrails

  • CloudTrail Esamina i log delle chiamate ApplyGuardrail API per monitorare i modelli di utilizzo, ad esempio le eccezioni che indicano problemi di configurazione delle autorizzazioni IAM AccessDenied . Visualizza gli eventi relativi ai dati di Amazon Bedrock in CloudTrail

Prezzi

L'applicazione di Amazon Bedrock Guardrails segue l'attuale modello di prezzo di Amazon Bedrock Guardrails basato sul numero di unità di testo consumate per ogni protezione configurata. I costi si applicano a ciascun parapetto forzato in base alle protezioni configurate. Per informazioni dettagliate sui prezzi delle singole protezioni, consulta la pagina dei prezzi di Amazon Bedrock.

Domande frequenti

Come viene calcolato il consumo in base alle quote quando si applicano le barriere forzate?

Il consumo verrà calcolato per guardrail ARN associato a ciascuna richiesta e verrà conteggiato AWS nell'account che effettua la chiamata API. Ad esempio: una ApplyGuardrail chiamata con 1000 caratteri di testo e 3 guardrail genererebbe 3 unità di testo di consumo per guardrail per dispositivo di protezione nel guardrail.

Le chiamate all'account membro che utilizzano la politica di Amazon Bedrock verranno conteggiate ai fini del calcolo delle Service Quotas per l'account del membro. Consulta la documentazione di Service Quotas Console o Service Quotas e assicurati che i limiti di runtime di Guardrails siano sufficienti per il volume delle chiamate.

Come posso impedire agli account dei membri di aggirare i guardrail utilizzando i tag di input?

Usa il input_tags controllo disponibile in:

Imposta il valore su Ignora per evitare che gli account dei membri tagghino contenuti parziali.

Cosa succede se nella mia richiesta inserisco dei guardrail obbligatori sia a livello di organizzazione che a livello di account, nonché un guardrail?

Tutti e 3 i guardrail verranno applicati in fase di esecuzione. L'effetto finale è l'unione di tutti i guardrail, con il controllo più restrittivo che ha la precedenza.

Cosa succede con i modelli che non supportano i guardrail?

Per i modelli in cui i Guardrail non sono supportati (come i modelli di incorporamento), verrà generato un errore di convalida del runtime.

Posso eliminare un guardrail utilizzato in una configurazione di imposizione?

No. Per impostazione predefinita, l'DeleteGuardrailAPI impedisce l'eliminazione dei guardrail associati alle configurazioni di applicazione a livello di account o di organizzazione.