View a markdown version of this page

Applica misure di protezione tra account con le normative di Amazon Bedrock Guardrails - Amazon Bedrock
Guida all'implementazioneMonitoraggioPrezziDomande frequenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applica misure di protezione tra account con le normative di Amazon Bedrock Guardrails

Amazon Bedrock Guardrails ti consente di applicare automaticamente le protezioni su più account di un'organizzazione tramite le policy di Amazon AWS Organizations Bedrock. Ciò consente una protezione uniforme su tutti gli account con controllo e gestione centralizzati. Inoltre, questa funzionalità offre anche la flessibilità necessaria per applicare controlli a livello di account e specifici dell'applicazione a seconda dei requisiti del caso d'uso.

Funzionalità chiave

Di seguito sono elencate le funzionalità principali dei sistemi di protezione dei guardrail:

  • Applicazione a livello di organizzazione: applica barriere a tutte le chiamate dei modelli con Amazon Bedrock tra le unità organizzative (OUs), i singoli account o l'intera organizzazione utilizzando le politiche di Amazon Bedrock con. AWS Organizations

  • Applicazione a livello di account: designa una versione particolare di un guardrail all'interno di un account AWS per tutte le chiamate del modello Amazon Bedrock da quell'account.

  • Protezione a più livelli: combina barriere organizzative e specifiche dell'applicazione quando entrambe sono presenti. Il controllo di sicurezza efficace sarà l'unione di entrambi i guardrail, con i controlli più restrittivi che avranno la precedenza in caso di uno stesso controllo da entrambi i guardrail.

I seguenti argomenti descrivono come utilizzare le imposizioni di Amazon Bedrock Guardrails:

Guida all'implementazione

I passaggi seguenti forniscono dettagli sull'implementazione delle misure guardrails per gli account all'interno di un'organizzazione e per un singolo account. AWS AWS Con queste misure, tutte le chiamate dei modelli ad Amazon Bedrock applicheranno le protezioni configurate all'interno del guardrail designato.

Applicazione a livello di organizzazione

Questa sezione descrive in dettaglio come impostare l'applicazione dei guardrail in tutta l'organizzazione. AWS Una volta configurato, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock su account specifici o. OUs

Prerequisiti

AWS Amministratori dell'organizzazione (con accesso all'account di gestione) con autorizzazioni per creare barriere e gestire le politiche. AWS Organizations

Cosa ti servirà

Sono necessari i seguenti elementi:

Per impostare l'applicazione del guardrail a livello di organizzazione
  1. Pianifica la configurazione del guardrail

    1. Definisci le tue protezioni:

      • Consulta i filtri guardrail disponibili nella documentazione di Amazon Bedrock Guardrails

      • Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri per i contenuti, gli argomenti negati, i filtri per le parole, i filtri per le informazioni sensibili e i controlli contestuali di base.

      • Importante

        Non includete la politica di ragionamento automatico, in quanto non è supportata per l'applicazione del guardrail e causerà errori di runtime.

    2. Identifica gli account target:

      • Determina a quali OUs account o all'intera organizzazione verrà applicata questa barriera

  2. Crea il tuo guardrail nell'account di gestione

    Crea un guardrail in ogni regione in cui desideri applicarlo con uno dei seguenti metodi:

    • Utilizzando: Console di gestione AWS

      1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

      2. Nel pannello di navigazione a sinistra, scegli Guardrails

      3. Scegli Crea guardrail

      4. Segui la procedura guidata per configurare i filtri o le misure di protezione desiderati (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili, controlli contestuali di base)

      5. Non abilitate la politica di ragionamento automatico

      6. Completa la procedura guidata per creare il tuo guardrail

    • Utilizzo dell'API: utilizza l'API CreateGuardrail

    Verifica

    Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail

  3. Crea una versione guardrail

    Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.

    • Usando: Console di gestione AWS

      1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock

      2. Scegli Crea versione

      3. Annotate l'ARN del guardrail e il numero di versione (ad esempio, «1", «2")

    • Utilizzo dell'API: utilizza l'API CreateGuardrailVersion

    Verifica

    Conferma che la versione è stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.

  4. Allega una politica basata sulle risorse

    Abilita l'accesso su più account allegando una politica basata sulle risorse al tuo guardrail.

    Verifica

    Verifica l'accesso da un account membro utilizzando l'ApplyGuardrailAPI per assicurarti che l'autorizzazione sia configurata correttamente.

  5. Configura le autorizzazioni IAM negli account dei membri

    Assicurati che tutti i ruoli negli account dei membri dispongano delle autorizzazioni IAM per accedere al guardrail applicato.

    Autorizzazioni richieste

    I ruoli degli account membro richiedono bedrock:ApplyGuardrail l'autorizzazione per il guardrail dell'account di gestione. Vedi esempi Configurazione delle autorizzazioni per utilizzare Guardrail per Amazon Bedrock dettagliati di policy IAM

    Verifica

    Conferma che i ruoli con autorizzazioni limitate negli account dei membri possano chiamare correttamente l'ApplyGuardrailAPI con il guardrail.

  6. Abilita il tipo di policy Amazon Bedrock in AWS Organizations

    • Utilizzo di Console di gestione AWS : per abilitare il tipo di policy Amazon Bedrock utilizzando la console:

      1. Vai alla console AWS Organizations

      2. Scegli Politiche

      3. Scegli le politiche di Amazon Bedrock

      4. Scegli Abilita le politiche di Amazon Bedrock per abilitare il tipo di policy Amazon Bedrock per la tua organizzazione

    • Utilizzo dell'API: utilizza l' AWS Organizations EnablePolicyTypeAPI con il tipo di policy BEDROCK_POLICY

    Verifica

    Verifica che il tipo di policy di Amazon Bedrock sia visualizzato come abilitato nella AWS Organizations console.

  7. Crea e allega una policy AWS Organizations

    Crea una politica di gestione che specifichi il tuo guardrail e allegala agli account di destinazione oppure. OUs

    • Utilizzo di Console di gestione AWS : per creare e allegare una AWS Organizations politica utilizzando la console:

      1. Nella AWS Organizations console, accedi a Politiche > Politiche Amazon Bedrock

      2. Selezionare Creare policy

      3. Specificate l'ARN e la versione del guardrail

        Importante

        Assicurati di specificare l'ARN del guardrail accurato nella politica. Specificare un ARN errato o non valido comporterà violazioni delle politiche, la mancata applicazione delle misure di protezione e l'impossibilità di utilizzare i modelli in Amazon Bedrock per l'inferenza.

      4. Configura controlli selettivi di protezione dei contenuti (opzionale).

        • Amazon Bedrock APIs consente ai chiamanti di taggare contenuti specifici all'interno dei prompt di input per la valutazione del guardrail.

        • I controlli selettivi di protezione dei contenuti consentono agli amministratori di decidere se rispettare le decisioni di tagging prese dai chiamanti delle API.

        • I messages controlli system and determinano il modo in cui i prompt di sistema e il contenuto dei messaggi vengono elaborati dai guardrail. Ciascuno accetta uno dei seguenti valori:

          • Selettivo: valuta solo i contenuti all'interno dei tag di contenuto di Guard. Quando non viene specificato alcun tag, il comportamento dipende dal controllo. Perchésystem, nessun contenuto viene valutato e permessages, tutto il contenuto viene valutato.

          • Completo: valuta tutti i contenuti, indipendentemente dai tag di contenuto di Guard.

        • Se non configurati, entrambi i controlli sono impostati automaticamente su Comprehensive.

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
                    },
                    "selective_content_guarding": {
                        "system": {
                            "@@assign": "selective"
                        },
                        "messages": {
                            "@@assign": "comprehensive"
                        }
                    },
                    "model_enforcement": {
                        "included_models": {
                            "@@assign": ["ALL"]
                        },
                        "excluded_models": {
                            "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
                        }
                    }
                }
            }
        }
    }
}

      5. Salva la politica

      6. Allega la politica agli obiettivi desiderati (account principali dell'organizzazione o singoli account) accedendo alla scheda Target e selezionando Allega OUs

    • Utilizzo dell'API: utilizza l' AWS Organizations CreatePolicyAPI con il tipo di BEDROCK_POLICY policy. AttachPolicyDa utilizzare per il collegamento agli obiettivi

    Per saperne di più: politiche di Amazon Bedrock in AWS Organizations

    Verifica

    Verifica che la policy sia associata agli obiettivi corretti nella AWS Organizations console.

  8. Testa e verifica l'applicazione

    Verifica che il guardrail venga applicato agli account dei membri.

    Verifica quale guardrail è applicato

    • Utilizzando Console di gestione AWS : da un account membro, accedi alla console Amazon Bedrock, scegli Guardrails nel pannello di navigazione a sinistra. Nella home page di Guardrails, dovresti vedere la barriera applicata a livello di organizzazione nella sezione Configurazioni di applicazione a livello di organizzazione nell'account di gestione e le barriere applicate a livello di organizzazione nell'account membro

    • Utilizzo dell'API: da un account membro, chiama con l'ID del tuo account membro come ID di destinazione DescribeEffectivePolicy

    Esegui il test da un account membro

    1. Effettua una chiamata di inferenza Amazon Bedrock utilizzando InvokeModel, InvokeModelWithResponseStream, Converse o. ConverseStream

    2. Il guardrail imposto dovrebbe applicarsi automaticamente sia agli ingressi che alle uscite

    3. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.

Applicazione a livello di account

Questa sezione descrive in dettaglio la configurazione dell'applicazione del guardrail all'interno di un singolo account. AWS Una volta configurato, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock nel tuo account.

Prerequisiti

AWS amministratori di account con autorizzazioni per creare guardrail e configurare le impostazioni a livello di account.

Cosa ti servirà

Sono necessari i seguenti elementi:

  • Un AWS account con autorizzazioni IAM appropriate

  • Comprensione dei requisiti di sicurezza del tuo account

Per impostare l'applicazione del guardrail a livello di account
  1. Pianifica la configurazione del guardrail
    Definisci le tue protezioni

    Per definire le tue misure di protezione:

    • Consulta i filtri guardrail disponibili nella documentazione di Amazon Bedrock Guardrails

    • Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri per i contenuti, gli argomenti negati, i filtri per le parole, i filtri per le informazioni sensibili e i controlli contestuali di base.

    • Importante

      Non includete la politica di ragionamento automatico, in quanto non è supportata per l'applicazione del guardrail e causerà errori di runtime

  2. Creare un guardrail

    Crea un guardrail in ogni regione in cui desideri applicarlo.

    Tramite Console di gestione AWS

    Per creare un guardrail utilizzando la console:

    1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

    2. Nel pannello di navigazione a sinistra, scegli Guardrails

    3. Scegli Crea guardrail

    4. Segui la procedura guidata per configurare le politiche desiderate (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili)

    5. Non abilitate la politica di ragionamento automatico

    6. Completa la procedura guidata per creare il tuo guardrail

    Tramite API

    Utilizzare l'API CreateGuardrail

    Verifica

    Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail

  3. Crea una versione guardrail

    Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.

    Tramite Console di gestione AWS

    Per creare una versione guardrail utilizzando la console:

    1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock

    2. Scegli Crea versione

    3. Annotate l'ARN del guardrail e il numero di versione (ad esempio, «1", «2")

    Tramite API

    Utilizzare l'API CreateGuardrailVersion

    Verifica

    Verifica che la versione sia stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.

  4. Allega una politica basata sulle risorse (opzionale)

    Se desideri condividere il guardrail con ruoli specifici nel tuo account, allega una politica basata sulle risorse.

    Tramite Console di gestione AWS

    Per allegare una policy basata sulle risorse utilizzando la console:

    1. Nella console Amazon Bedrock Guardrails, seleziona il tuo guardrail

    2. Scegli Aggiungi per aggiungere una politica basata sulle risorse

    3. Aggiungi una politica che conceda l'bedrock:ApplyGuardrailautorizzazione ai ruoli desiderati

    4. Salva la politica

  5. Abilita l'applicazione a livello di account

    Configura l'account per utilizzare il tuo guardrail per tutte le chiamate di Amazon Bedrock. Questa operazione deve essere eseguita in ogni regione in cui si desidera che venga applicata.

    Tramite Console di gestione AWS

    Per abilitare l'applicazione a livello di account utilizzando la console:

    1. Passa alla console Amazon Bedrock

    2. Scegli Guardrails nel pannello di navigazione a sinistra

    3. Nella sezione Configurazioni di applicazione a livello di account, scegli Aggiungi

    4. Seleziona il guardrail e la versione

    5. Configura i controlli selettivi di protezione dei contenuti (opzionale).

      • Amazon Bedrock APIs consente ai chiamanti di taggare contenuti specifici all'interno dei prompt di input per la valutazione del guardrail.

      • I controlli selettivi di protezione dei contenuti consentono agli amministratori di decidere se rispettare le decisioni di tagging prese dai chiamanti delle API.

      • I messages controlli system and determinano il modo in cui i prompt di sistema e il contenuto dei messaggi vengono elaborati dai guardrail. Ciascuno accetta uno dei seguenti valori:

        • Selettivo: valuta solo i contenuti all'interno dei tag di contenuto di Guard.

        • Completo: valuta tutti i contenuti, indipendentemente dai tag di contenuto di guard.

      • Se non configurati, entrambi i controlli sono impostati automaticamente su Comprehensive.

    6. Invia la configurazione

    7. Ripeti l'operazione per ogni regione in cui desideri che venga applicata

    Tramite API

    Utilizza l'PutEnforcedGuardrailConfigurationAPI in ogni regione in cui desideri applicare il guardrail

    Verifica

    Dovresti vedere il guardrail applicato all'account nella sezione Account enforced guardrail configuration nella pagina Guardrails. Puoi chiamare l'ListEnforcedGuardrailsConfigurationAPI per assicurarti che il guardrail applicato sia elencato

  6. Testa e verifica l'applicazione
    Prova a utilizzare un ruolo nel tuo account

    Per verificare l'applicazione delle norme dal tuo account:

    1. Effettua una chiamata di inferenza Amazon Bedrock utilizzandoInvokeModel,Converse, o InvokeModelWithResponseStream ConverseStream

    2. Il guardrail imposto dall'account dovrebbe applicarsi automaticamente sia agli input che agli output

    3. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.

Monitoraggio

  • Tieni traccia degli interventi e delle metriche del guardrail utilizzando i parametri CloudWatch per Amazon Bedrock Guardrails

  • CloudTrail Esamina i log delle chiamate ApplyGuardrail API per monitorare i modelli di utilizzo, ad esempio le eccezioni che indicano problemi di configurazione delle autorizzazioni IAM AccessDenied . Visualizza gli eventi relativi ai dati di Amazon Bedrock in CloudTrail

Prezzi

L'applicazione di Amazon Bedrock Guardrails segue l'attuale modello di prezzo di Amazon Bedrock Guardrails basato sul numero di unità di testo consumate per ogni protezione configurata. I costi si applicano a ciascun parapetto forzato in base alle protezioni configurate. Per informazioni dettagliate sui prezzi delle singole protezioni, consulta la pagina dei prezzi di Amazon Bedrock.

Domande frequenti

Come viene calcolato il consumo in base alle quote quando si applicano le barriere forzate?

Il consumo verrà calcolato per guardrail ARN associato a ciascuna richiesta e verrà conteggiato AWS nell'account che effettua la chiamata API. Ad esempio: una ApplyGuardrail chiamata con 1000 caratteri di testo e 3 guardrail genererebbe 3 unità di testo di consumo per guardrail per dispositivo di protezione nel guardrail.

Le chiamate all'account membro che utilizzano la politica di Amazon Bedrock verranno conteggiate ai fini del calcolo delle Service Quotas per l'account del membro. Consulta la console di Service Quotas o la documentazione di Service Quotas e assicurati che i limiti di runtime di Guardrails siano sufficienti per il volume delle chiamate.

Cosa succede se nella mia richiesta inserisco sia dei guardrail obbligatori a livello di organizzazione che a livello di account, nonché un guardrail?

Tutti e 3 i guardrail verranno applicati in fase di esecuzione. L'effetto finale è l'unione di tutti i guardrail, con il controllo più restrittivo che ha la precedenza.

Quando devo usare un controllo di protezione selettivo o completo?

Usa Selective quando ti fidi che i chiamanti taggheranno i contenuti giusti e vuoi ridurre le inutili elaborazioni inutili. Ciò è utile quando i chiamanti gestiscono una combinazione di contenuti preconvalidati e generati dagli utenti e necessitano solo di applicare dei guardrail a porzioni specifiche. Usa Comprehensive quando vuoi applicare i guardrail su tutto, indipendentemente dai tag del chiamante. Questa è l'impostazione predefinita più sicura quando non vuoi affidarti ai chiamanti per identificare correttamente i contenuti sensibili.

Come posso includere o escludere determinati modelli dall'applicazione?

Usa il controllo dell'applicazione del modello per determinare a quali modelli su Amazon Bedrock si applica un guardrail per l'inferenza. Se non è configurato, l'applicazione si applica a tutti i modelli su Amazon Bedrock per impostazione predefinita. Questo controllo accetta i seguenti elenchi:

  • Modelli inclusi: modelli su cui applicare il guardrail. Accetta identificatori di modello specifici o la parola chiave ALL per includere esplicitamente tutti i modelli. Quando è vuoto, l'applicazione si applica a tutti i modelli.

  • Modelli esclusi: modelli da escludere dall'applicazione del guardrail. Quando è vuoto, nessun modello viene escluso.

Se un modello appare in entrambi gli elenchi, viene escluso.

Quando devo usare i modelli di inclusione o esclusione?

  • Usa i modelli inclusi quando desideri applicare il guardrail solo su modelli specifici.

  • Usa i modelli esclusi quando desideri un'applicazione più ampia ma devi ritagliare eccezioni per modelli specifici.

Posso eliminare un guardrail che viene utilizzato in una configurazione di imposizione?

No. Per impostazione predefinita, l'DeleteGuardrailAPI impedisce l'eliminazione dei guardrail associati alle configurazioni di applicazione a livello di account o di organizzazione.