Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Applica misure di protezione tra account con le normative di Amazon Bedrock Guardrails
[Amazon Bedrock Guardrails ti consente di applicare automaticamente le protezioni su più account di un'organizzazione tramite le policy di Amazon AWS Organizations Bedrock.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) Ciò consente una protezione uniforme su tutti gli account con controllo e gestione centralizzati. Inoltre, questa funzionalità offre anche la flessibilità necessaria per applicare controlli a livello di account e specifici dell'applicazione a seconda dei requisiti del caso d'uso.
**Funzionalità chiave**
Di seguito sono elencate le funzionalità principali dei sistemi di protezione dei guardrail:
+ **Applicazione a livello di organizzazione**: applica barriere a tutte le chiamate dei modelli con Amazon Bedrock tra le unità organizzative (OUs), i singoli account o l'intera organizzazione utilizzando le politiche di Amazon Bedrock con. AWS Organizations
+ **Applicazione a livello di account**: designa una versione particolare di un guardrail all'interno di un account AWS per tutte le chiamate del modello Amazon Bedrock da quell'account.
+ **Protezione a più livelli**: combina barriere organizzative e specifiche dell'applicazione quando entrambe sono presenti. Il controllo di sicurezza efficace sarà l'unione di entrambi i guardrail, con i controlli più restrittivi che avranno la precedenza in caso di uno stesso controllo da entrambi i guardrail.
I seguenti argomenti descrivono come utilizzare le imposizioni di Amazon Bedrock Guardrails:
**Topics**
+ [Guida all'implementazione](#guardrails-enforcements-implementation-guide)
+ [Monitoraggio](#monitoring)
+ [Prezzi](#pricing)
+ [Domande frequenti](#faq)
## Guida all'implementazione
I passaggi seguenti forniscono dettagli sull'implementazione delle misure guardrails per gli account all'interno di un'organizzazione e per un singolo account. AWS AWS Con queste misure, tutte le chiamate dei modelli ad Amazon Bedrock applicheranno le protezioni configurate all'interno del guardrail designato.
### Applicazione a livello di organizzazione
Questa sezione descrive in dettaglio come impostare l'applicazione dei guardrail in tutta l'organizzazione. AWS Una volta configurato, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock su account specifici o. OUs
**Prerequisiti**
AWS Amministratori dell'organizzazione (con accesso all'account di gestione) con autorizzazioni per creare barriere e gestire le politiche. AWS Organizations
**Cosa ti servirà**
Sono necessari i seguenti elementi:
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)con accesso all'account di gestione
+ [Autorizzazioni IAM](guardrails-permissions.md#guardrails-permissions-use) [per creare guardrail e gestire le politiche AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)
+ Comprensione dei requisiti di sicurezza della tua organizzazione
**Per impostare l'applicazione del guardrail a livello di organizzazione**
1.
**Pianifica la configurazione del guardrail**
1. Definisci le tue protezioni:
+ Consulta i filtri guardrail disponibili nella documentazione di [Amazon Bedrock](guardrails.md) Guardrails
+ Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri per i contenuti, gli argomenti negati, i filtri per le parole, i filtri per le informazioni sensibili e i controlli contestuali di base.
+
**Importante**
Non includete la politica di ragionamento automatico, in quanto non è supportata per l'applicazione del guardrail e causerà errori di runtime.
1. Identifica gli account target:
+ Determina a quali OUs account o all'intera organizzazione verrà applicata questa barriera
1.
**Crea il tuo guardrail nell'account di gestione**
Crea un guardrail in ogni regione in cui desideri applicarlo con uno dei seguenti metodi:
+ Utilizzando: Console di gestione AWS
1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. **Nel pannello di navigazione a sinistra, scegli Guardrails**
1. **Scegli Crea guardrail**
1. Segui la procedura guidata per configurare i filtri o le misure di protezione desiderati (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili, controlli contestuali di base)
1. Non abilitate la politica di ragionamento automatico
1. Completa la procedura guidata per creare il tuo guardrail
+ Utilizzo dell'API: utilizza l'API [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html)
**Verifica**
Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail
1.
**Crea una versione guardrail**
Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.
+ Usando: Console di gestione AWS
1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock
1. **Scegli Crea versione**
1. Annotate l'ARN del guardrail e il numero di versione (ad esempio, «1", «2")
+ Utilizzo dell'API: utilizza l'API [CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html)
**Verifica**
Conferma che la versione è stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.
1.
**Allega una politica basata sulle risorse**
Abilita l'accesso su più account allegando una politica basata sulle risorse al tuo guardrail.
+ Utilizzo di Console di gestione AWS : per allegare una policy basata sulle risorse tramite la console:
1. Nella console Amazon Bedrock Guardrails, seleziona il tuo guardrail
1. Scegli **Aggiungi per aggiungere** una politica basata sulle risorse
1. Aggiungi una politica che conceda l'`bedrock:ApplyGuardrail`autorizzazione a tutti gli account membri o all'organizzazione. Consulta [Condividi guardrail con la tua organizzazione](guardrails-resource-based-policies.md#share-guardrail-with-organization) in [Utilizzo di politiche basate sulle risorse per i guardrail](guardrails-resource-based-policies.md).
1. Salva la politica
**Verifica**
Verifica l'accesso da un account membro utilizzando l'[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API per assicurarti che l'autorizzazione sia configurata correttamente.
1.
**Configura le autorizzazioni IAM negli account dei membri**
Assicurati che tutti i ruoli negli account dei membri dispongano delle autorizzazioni IAM per accedere al guardrail applicato.
**Autorizzazioni richieste**
I ruoli degli account membro richiedono `bedrock:ApplyGuardrail` l'autorizzazione per il guardrail dell'account di gestione. Vedi esempi [Configurazione delle autorizzazioni per utilizzare Guardrail per Amazon Bedrock](guardrails-permissions.md) dettagliati di policy IAM
**Verifica**
Conferma che i ruoli con autorizzazioni limitate negli account dei membri possano chiamare correttamente l'`ApplyGuardrail`API con il guardrail.
1.
**Abilita il tipo di policy Amazon Bedrock in AWS Organizations**
+ Utilizzo di Console di gestione AWS : per abilitare il tipo di policy Amazon Bedrock utilizzando la console:
1. Vai alla console AWS Organizations
1. Scegli **Politiche**
1. Scegli le politiche di **Amazon Bedrock**
1. Scegli **Abilita le politiche di Amazon Bedrock** per abilitare il tipo di policy Amazon Bedrock per la tua organizzazione
+ Utilizzo dell'API: utilizza l' AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)API con il tipo di policy `BEDROCK_POLICY`
**Verifica**
Verifica che il tipo di policy di Amazon Bedrock sia visualizzato come abilitato nella AWS Organizations console.
1.
**Crea e allega una policy AWS Organizations**
Crea una politica di gestione che specifichi il tuo guardrail e allegala agli account di destinazione oppure. OUs
+ Utilizzo di Console di gestione AWS : per creare e allegare una AWS Organizations politica utilizzando la console:
1. Nella AWS Organizations console, accedi a **Politiche > Politiche** **Amazon Bedrock**
1. Selezionare **Creare policy**
1. Specificate l'ARN e la versione del guardrail
**Importante**
Assicurati di specificare l'ARN del guardrail accurato nella politica. Specificare un ARN errato o non valido comporterà violazioni delle politiche, la mancata applicazione delle misure di protezione e l'impossibilità di utilizzare i modelli in Amazon Bedrock per l'inferenza.
1. Configura controlli selettivi di protezione dei contenuti (opzionale).
+ Amazon Bedrock APIs consente ai chiamanti di [taggare contenuti specifici all'interno dei prompt di input per la](guardrails-tagging.md) valutazione del guardrail.
+ I controlli selettivi di protezione dei contenuti consentono agli amministratori di decidere se rispettare le decisioni di tagging prese dai chiamanti delle API.
+ I `messages` controlli `system` and determinano il modo in cui i prompt di sistema e il contenuto dei messaggi vengono elaborati dai guardrail. Ciascuno accetta uno dei seguenti valori:
+ **Selettivo**: valuta solo i contenuti all'interno dei tag di contenuto di Guard. Quando non viene specificato alcun tag, il comportamento dipende dal controllo. Perché`system`, nessun contenuto viene valutato e per`messages`, tutto il contenuto viene valutato.
+ **Completo**: valuta tutti i contenuti, indipendentemente dai tag di contenuto di Guard.
+ Se non configurati, entrambi i controlli sono impostati automaticamente su **Comprehensive**.
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
},
"selective_content_guarding": {
"system": {
"@@assign": "selective"
},
"messages": {
"@@assign": "comprehensive"
}
},
"model_enforcement": {
"included_models": {
"@@assign": ["ALL"]
},
"excluded_models": {
"@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
}
}
}
}
}
}
}
```
1. Salva la politica
1. **Allega la politica agli obiettivi desiderati (account principali dell'organizzazione o singoli account) accedendo alla scheda **Target** e selezionando Allega OUs**
+ Utilizzo dell'API: utilizza l' AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)API con il tipo di `BEDROCK_POLICY` policy. [AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html)Da utilizzare per il collegamento agli obiettivi
Per saperne di più: [politiche di Amazon Bedrock](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) in AWS Organizations
**Verifica**
Verifica che la policy sia associata agli obiettivi corretti nella AWS Organizations console.
1.
**Testa e verifica l'applicazione**
Verifica che il guardrail venga applicato agli account dei membri.
**Verifica quale guardrail è applicato**
+ Utilizzando Console di gestione AWS : da un account membro, accedi alla console Amazon Bedrock, scegli **Guardrails** nel pannello di navigazione a sinistra. **Nella home page di Guardrails, dovresti vedere la barriera applicata a livello di organizzazione nella sezione **Configurazioni di applicazione a livello di organizzazione nell'account di gestione e le barriere applicate a livello di organizzazione nell'account** membro**
+ Utilizzo dell'API: da un account membro, chiama con l'ID del tuo account membro come ID di destinazione [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)
**Esegui il test da un account membro**
1. Effettua una chiamata di inferenza Amazon Bedrock utilizzando [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html), [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html), [Converse o. [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
1. Il guardrail imposto dovrebbe applicarsi automaticamente sia agli ingressi che alle uscite
1. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.
### Applicazione a livello di account
Questa sezione descrive in dettaglio la configurazione dell'applicazione del guardrail all'interno di un singolo account. AWS Una volta configurato, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock nel tuo account.
**Prerequisiti**
AWS amministratori di account con autorizzazioni per creare guardrail e configurare le impostazioni a livello di account.
**Cosa ti servirà**
Sono necessari i seguenti elementi:
+ Un AWS account con autorizzazioni IAM appropriate
+ Comprensione dei requisiti di sicurezza del tuo account
**Per impostare l'applicazione del guardrail a livello di account**
1.
**Pianifica la configurazione del guardrail**
**Definisci le tue protezioni**
Per definire le tue misure di protezione:
+ Consulta i filtri guardrail disponibili nella documentazione di [Amazon Bedrock](guardrails.md) Guardrails
+ Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri per i contenuti, gli argomenti negati, i filtri per le parole, i filtri per le informazioni sensibili e i controlli contestuali di base.
+
**Importante**
Non includete la politica di ragionamento automatico, in quanto non è supportata per l'applicazione del guardrail e causerà errori di runtime
1.
**Creare un guardrail**
Crea un guardrail in ogni regione in cui desideri applicarlo.
**Tramite Console di gestione AWS**
Per creare un guardrail utilizzando la console:
1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. **Nel pannello di navigazione a sinistra, scegli Guardrails**
1. **Scegli Crea guardrail**
1. Segui la procedura guidata per configurare le politiche desiderate (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili)
1. Non abilitate la politica di ragionamento automatico
1. Completa la procedura guidata per creare il tuo guardrail
**Tramite API**
Utilizzare l'API `CreateGuardrail`
**Verifica**
Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail
1.
**Crea una versione guardrail**
Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.
**Tramite Console di gestione AWS**
Per creare una versione guardrail utilizzando la console:
1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock
1. **Scegli Crea versione**
1. Annotate l'ARN del guardrail e il numero di versione (ad esempio, «1", «2")
**Tramite API**
Utilizzare l'API `CreateGuardrailVersion`
**Verifica**
Verifica che la versione sia stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.
1.
**Allega una politica basata sulle risorse (opzionale)**
Se desideri condividere il guardrail con ruoli specifici nel tuo account, allega una politica basata sulle risorse.
**Tramite Console di gestione AWS**
Per allegare una policy basata sulle risorse utilizzando la console:
1. Nella console Amazon Bedrock Guardrails, seleziona il tuo guardrail
1. Scegli **Aggiungi per aggiungere** una politica basata sulle risorse
1. Aggiungi una politica che conceda l'`bedrock:ApplyGuardrail`autorizzazione ai ruoli desiderati
1. Salva la politica
1.
**Abilita l'applicazione a livello di account**
Configura l'account per utilizzare il tuo guardrail per tutte le chiamate di Amazon Bedrock. Questa operazione deve essere eseguita in ogni regione in cui si desidera che venga applicata.
**Tramite Console di gestione AWS**
Per abilitare l'applicazione a livello di account utilizzando la console:
1. Passa alla console Amazon Bedrock
1. Scegli **Guardrails nel pannello** di navigazione a sinistra
1. **Nella sezione **Configurazioni di applicazione a livello di account**, scegli Aggiungi**
1. Seleziona il guardrail e la versione
1. Configura i controlli selettivi di protezione dei contenuti (opzionale).
+ Amazon Bedrock APIs consente ai chiamanti di [taggare contenuti specifici all'interno dei prompt di input per la](guardrails-tagging.md) valutazione del guardrail.
+ I controlli selettivi di protezione dei contenuti consentono agli amministratori di decidere se rispettare le decisioni di tagging prese dai chiamanti delle API.
+ I `messages` controlli `system` and determinano il modo in cui i prompt di sistema e il contenuto dei messaggi vengono elaborati dai guardrail. Ciascuno accetta uno dei seguenti valori:
+ **Selettivo**: valuta solo i contenuti all'interno dei tag di contenuto di Guard.
+ **Completo**: valuta tutti i contenuti, indipendentemente dai tag di contenuto di guard.
+ Se non configurati, entrambi i controlli sono impostati automaticamente su **Comprehensive**.
1. Invia la configurazione
1. Ripeti l'operazione per ogni regione in cui desideri che venga applicata
**Tramite API**
Utilizza l'`PutEnforcedGuardrailConfiguration`API in ogni regione in cui desideri applicare il guardrail
**Verifica**
Dovresti vedere il guardrail applicato all'account nella sezione Account enforced guardrail **configuration nella pagina Guardrails**. Puoi chiamare l'[ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html)API per assicurarti che il guardrail applicato sia elencato
1.
**Testa e verifica l'applicazione**
**Prova a utilizzare un ruolo nel tuo account**
Per verificare l'applicazione delle norme dal tuo account:
1. Effettua una chiamata di inferenza Amazon Bedrock utilizzando`InvokeModel`,`Converse`, o `InvokeModelWithResponseStream` `ConverseStream`
1. Il guardrail imposto dall'account dovrebbe applicarsi automaticamente sia agli input che agli output
1. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.
## Monitoraggio
+ Tieni traccia degli interventi e delle metriche del guardrail utilizzando i parametri [CloudWatch per Amazon Bedrock](monitoring-guardrails-cw-metrics.md) Guardrails
+ CloudTrail Esamina i log delle chiamate `ApplyGuardrail` API per monitorare i modelli di utilizzo, ad esempio le eccezioni che indicano problemi di configurazione delle autorizzazioni IAM AccessDenied . Visualizza gli [eventi relativi ai dati di Amazon Bedrock](logging-using-cloudtrail.md#service-name-data-events-cloudtrail) in CloudTrail
## Prezzi
L'applicazione di Amazon Bedrock Guardrails segue l'attuale modello di prezzo di Amazon Bedrock Guardrails basato sul numero di unità di testo consumate per ogni protezione configurata. I costi si applicano a ciascun parapetto forzato in base alle protezioni configurate. Per informazioni dettagliate sui prezzi delle singole protezioni, consulta la pagina dei prezzi di [Amazon Bedrock](https://aws.amazon.com/bedrock/pricing/).
## Domande frequenti
**Come viene calcolato il consumo in base alle quote quando si applicano le barriere forzate?**
Il consumo verrà calcolato per guardrail ARN associato a ciascuna richiesta e verrà conteggiato AWS nell'account che effettua la chiamata API. Ad esempio: una `ApplyGuardrail` chiamata con 1000 caratteri di testo e 3 guardrail genererebbe 3 unità di testo di consumo per guardrail per dispositivo di protezione nel guardrail.
Le chiamate all'account membro che utilizzano la politica di Amazon Bedrock verranno conteggiate ai fini del calcolo delle Service Quotas per l'account del membro. Consulta la console di Service Quotas o la documentazione di [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/bedrock.html) e assicurati che i limiti di runtime di Guardrails siano sufficienti per il volume delle chiamate.
**Cosa succede se nella mia richiesta inserisco sia dei guardrail obbligatori a livello di organizzazione che a livello di account, nonché un guardrail?**
Tutti e 3 i guardrail verranno applicati in fase di esecuzione. L'effetto finale è l'unione di tutti i guardrail, con il controllo più restrittivo che ha la precedenza.
**Quando devo usare un controllo di protezione selettivo o completo?**
Usa **Selective** quando ti fidi che i chiamanti taggheranno i contenuti giusti e vuoi ridurre le inutili elaborazioni inutili. Ciò è utile quando i chiamanti gestiscono una combinazione di contenuti preconvalidati e generati dagli utenti e necessitano solo di applicare dei guardrail a porzioni specifiche. Usa **Comprehensive** quando vuoi applicare i guardrail su tutto, indipendentemente dai tag del chiamante. Questa è l'impostazione predefinita più sicura quando non vuoi affidarti ai chiamanti per identificare correttamente i contenuti sensibili.
**Come posso includere o escludere determinati modelli dall'applicazione?**
Usa il controllo dell'applicazione del modello per determinare a quali modelli su Amazon Bedrock si applica un guardrail per l'inferenza. Se non è configurato, l'applicazione si applica a tutti i modelli su Amazon Bedrock per impostazione predefinita. Questo controllo accetta i seguenti elenchi:
+ **Modelli inclusi:** modelli su cui applicare il guardrail. Accetta identificatori di modello specifici o la parola chiave `ALL` per includere esplicitamente tutti i modelli. Quando è vuoto, l'applicazione si applica a tutti i modelli.
+ **Modelli esclusi:** modelli da escludere dall'applicazione del guardrail. Quando è vuoto, nessun modello viene escluso.
Se un modello appare in entrambi gli elenchi, viene escluso.
**Quando devo usare i modelli di inclusione o esclusione?**
+ Usa **i modelli inclusi** quando desideri applicare il guardrail solo su modelli specifici.
+ Usa **i modelli esclusi** quando desideri un'applicazione più ampia ma devi ritagliare eccezioni per modelli specifici.
**Posso eliminare un guardrail che viene utilizzato in una configurazione di imposizione?**
No. Per impostazione predefinita, l'[DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html)API impedisce l'eliminazione dei guardrail associati alle configurazioni di applicazione a livello di account o di organizzazione.