Amazon Bedrock ガードレールの適用によるクロスアカウント保護の適用 - Amazon Bedrock
実装ガイドモニタリング料金よくある質問

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock ガードレールの適用によるクロスアカウント保護の適用

注記

Amazon Bedrock ガードレールの適用はプレビュー中であり、変更される可能性があります。

Amazon Bedrock ガードレールの適用により、Amazon Bedrock を使用したすべてのモデル呼び出しに対して、AWSアカウントレベルおよびAWS Organizationsレベル (アカウント全体) で安全コントロールを自動的に適用できます。この一元化されたアプローチにより、複数のアカウントとアプリケーションにわたって一貫した保護が維持されるため、個々のアカウントとアプリケーションにガードレールを設定する必要がなくなります。

主な機能

ガードレールの適用の主な機能は次のとおりです。

  • 組織レベルの適用 – Amazon Bedrock を使用したすべてのモデル呼び出しに、Amazon Bedrock ポリシー (プレビュー) を使用して、組織単位 (OUs)、個々のアカウント、または組織全体にガードレールを適用しますAWS Organizations。

  • アカウントレベルの適用 – AWSアカウントからのすべての Amazon Bedrock モデル呼び出しについて、アカウント内のガードレールの特定のバージョンを指定します。

  • レイヤード保護 – 両方が存在する場合は、組織とアプリケーション固有のガードレールを組み合わせます。効果的な安全コントロールは、両方のガードレールからの同じコントロールの場合、最も制限の厳しいコントロールが優先される両方のガードレールの結合です。

以下のトピックでは、Amazon Bedrock ガードレールの適用を使用する方法について説明します。

実装ガイド

以下のチュートリアルでは、AWSOrganization を持つアカウントと 1 つのAWSアカウントにガードレールを適用するために必要な手順について説明します。これらの適用により、Amazon Bedrock へのすべてのモデル呼び出しは、指定されたガードレール内で設定された保護を適用します。

チュートリアル: 組織レベルの強制

このチュートリアルでは、AWS組織全体でガードレールの適用を設定する方法について説明します。最終的には、指定したアカウントまたは OUs のすべての Amazon Bedrock モデル呼び出しに自動的に適用されるガードレールが作成されます。

このチュートリアルに従うべきユーザー

AWSガードレールを作成し、AWS Organizationsポリシーを管理するアクセス許可を持つ組織管理者 (管理アカウントアクセスを持つ)。

必要なもの

このチュートリアルを完了するには、以下が必要です。

組織レベルのガードレールの適用を設定するには
  1. ガードレール設定の計画

    1. 安全策を定義します。

      • Amazon Bedrock ガードレールドキュメントで利用可能なガードレールフィルターを確認する

      • 必要なフィルターを特定します。現在、コンテンツフィルター、拒否されたトピック、単語フィルター、機密情報フィルター、コンテキストグラウンディングチェックがサポートされています。

      • 注: 自動推論ポリシーはガードレールの適用ではサポートされておらず、ランタイム障害を引き起こすため、含めないでください。

    2. ターゲットアカウントを特定します。

      • このガードレールを適用する OUs、アカウント、または組織全体を決定する

  2. 管理アカウントにガードレールを作成する

    次のいずれかの方法を使用して、適用するすべてのリージョンにガードレールを作成します。

    • の使用AWS マネジメントコンソール:

      1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソールを使用して にサインインします。Amazon Bedrock コンソール (https://console.aws.amazon.com/bedrock) を開きます。

      2. 左側のナビゲーションパネルで、ガードレールを選択します。

      3. ガードレールの作成を選択する

      4. ウィザードに従って、必要なフィルターまたは保護 (コンテンツフィルター、拒否トピック、単語フィルター、機密情報フィルター、コンテキストグラウンディングチェック) を設定します。

      5. 自動推論ポリシーを有効にしない

      6. ウィザードを完了してガードレールを作成する

    • API の使用: CreateGuardrail API の使用

    検証

    作成後、ガードレールランディングページのガードレールのリストに表示されるか、ガードレール名を使用してガードレールのリストで検索します。

  3. ガードレールバージョンを作成する

    数値バージョンを作成して、ガードレール設定が不変のままであり、メンバーアカウントで変更できないようにします。

    • の使用AWS マネジメントコンソール:

      1. Amazon Bedrock コンソールのガードレールページの前のステップで作成したガードレールを選択します。

      2. バージョンの作成を選択する

      3. ガードレール ARN とバージョン番号 (例:「1」、「2」など) を書き留めます。

    • API の使用: CreateGuardrailVersion API を使用する

    検証

    Guardrail の詳細ページでバージョンのリストを確認して、バージョンが正常に作成されたことを確認します。

  4. リソースベースのポリシーをアタッチする

    リソースベースのポリシーをガードレールにアタッチして、クロスアカウントアクセスを有効にします。

    • の使用 AWS マネジメントコンソール– コンソールを使用してリソースベースのポリシーをアタッチするには:

      1. Amazon Bedrock ガードレールコンソールで、ガードレールを選択します。

      2. 追加をクリックしてリソースベースのポリシーを追加します。

      3. すべてのメンバーアカウントまたは組織にアクセスbedrock:ApplyGuardrail許可を付与するポリシーを追加します。ガードレールのリソースベースのポリシーの使用 の「ガードレールを組織と共有する」を参照してください。

      4. ポリシーを保存する

    検証

    ApplyGuardrail API を使用してメンバーアカウントからのアクセスをテストし、認可が正しく設定されていることを確認します。

  5. メンバーアカウントで IAM アクセス許可を設定する

    メンバーアカウントのすべてのロールに、強制ガードレールにアクセスするための IAM アクセス許可があることを確認します。

    必要なアクセス許可

    メンバーアカウントロールには、管理アカウントのガードレールに対するアクセスbedrock:ApplyGuardrail許可が必要です。IAM ポリシーの詳細な例Amazon Bedrock ガードレールを使用するためのアクセス許可を設定するについては、「」を参照してください。

    検証

    メンバーアカウントでスコープダウンされたアクセス許可を持つロールが、ガードレールを使用して ApplyGuardrail API を正常に呼び出せることを確認します。

  6. で Amazon Bedrock ポリシータイプを有効にするAWS Organizations

    • の使用 AWS マネジメントコンソール– コンソールを使用して Amazon Bedrock ポリシータイプを有効にするには:

      1. AWS Organizationsコンソールに移動する

      2. ポリシーの選択

      3. Amazon Bedrock ポリシーを選択する (現在プレビュー中)

      4. Amazon Bedrock ポリシーを有効にするを選択して、組織の Amazon Bedrock ポリシータイプを有効にします。

    • API の使用 – ポリシータイプで AWS OrganizationsEnablePolicyType API を使用する BEDROCK_POLICY

    検証

    Amazon Bedrock ポリシータイプが AWS Organizationsコンソールで有効になっていることを確認します。

  7. AWS Organizationsポリシーを作成してアタッチする

    ガードレールを指定する管理ポリシーを作成し、ターゲットアカウントまたは OUs。

    • の使用 AWS マネジメントコンソール– コンソールを使用して AWS Organizationsポリシーを作成してアタッチするには:

      1. AWS Organizationsコンソールで、ポリシー > Amazon Bedrock ポリシーに移動します。

      2. [ ポリシーの作成 ] を選択します。

      3. ガードレールの ARN とバージョンを指定する

      4. input_tags 設定 (メンバーアカウントがガードレール入力タグを介して入力のガードレールをバイパスしないように無視するように設定) を設定します。

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. ポリシーを保存する

      6. Targets タブに移動し、Attach を選択して、目的のターゲット (組織ルート、OUs、または個々のアカウント) にポリシーをアタッチします

    • API の使用 – ポリシータイプ で AWS OrganizationsCreatePolicy API を使用しますBEDROCK_POLICYAttachPolicy を使用してターゲットにアタッチする

    詳細: の Amazon Bedrock ポリシーAWS Organizations

    検証

    ポリシーがAWS Organizationsコンソールの正しいターゲットにアタッチされていることを確認します。

  8. 適用のテストと検証

    ガードレールがメンバーアカウントに適用されていることをテストします。

    どのガードレールが適用されているかを検証する

    • の使用 AWS マネジメントコンソール– メンバーアカウントから Amazon Bedrock コンソールに移動し、左側のパネルでガードレールをクリックします。ガードレールのホームページでは、管理アカウントの組織レベルの強制設定セクションとメンバーアカウントの組織レベルの強制ガードレールの下に組織強制ガードレールが表示されます。

    • API の使用 – メンバーアカウントから、メンバーアカウント ID をターゲット ID として DescribeEffectivePolicy を呼び出します。

    メンバーアカウントからテストする

    1. InvokeModelInvokeModelWithResponseStreamhttps://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html、または ConverseStream を使用して Amazon Bedrock 推論呼び出しを行います。

    2. 強制ガードレールは、入力と出力の両方に自動的に適用される必要があります

    3. ガードレール評価情報のレスポンスを確認します。ガードレールレスポンスには、強制されたガードレール情報が含まれます。

チュートリアル: アカウントレベルの強制

このチュートリアルでは、1 つのAWSアカウント内でガードレールの適用を設定する方法について説明します。最終的には、アカウントのすべての Amazon Bedrock モデル呼び出しに自動的に適用されるガードレールが作成されます。

このチュートリアルに従うべきユーザー

AWSガードレールを作成し、アカウントレベルの設定を構成するアクセス許可を持つアカウント管理者。

必要なもの

このチュートリアルを完了するには、以下が必要です。

  • 適切な IAM アクセス許可を持つAWSアカウント

  • アカウントの安全性要件の理解

アカウントレベルのガードレールの適用を設定するには
  1. ガードレール設定を計画する
    安全策を定義する

    安全策を定義するには:

    • Amazon Bedrock ガードレールドキュメントで利用可能なガードレールフィルターを確認する

    • 必要なフィルターを特定します。現在、コンテンツフィルター、拒否されたトピック、単語フィルター、機密情報フィルター、コンテキストグラウンディングチェックがサポートされています。

    • 注: 自動推論ポリシーはガードレールの適用ではサポートされておらず、ランタイム障害を引き起こすため、含めないでください。

  2. ガードレールを作成する

    適用するすべてのリージョンにガードレールを作成します。

    経由AWS マネジメントコンソール

    コンソールを使用してガードレールを作成するには:

    1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソールを使用して にサインインします。Amazon Bedrock コンソール (https://console.aws.amazon.com/bedrock) を開きます。

    2. 左側のナビゲーションパネルで、ガードレールを選択します。

    3. ガードレールの作成を選択する

    4. ウィザードに従って、目的のポリシー (コンテンツフィルター、拒否トピック、単語フィルター、機密情報フィルター) を設定します。

    5. 自動推論ポリシーを有効にしない

    6. ウィザードを完了してガードレールを作成する

    API 経由

    CreateGuardrail API を使用する

    検証

    作成されると、ガードレールランディングページのガードレールのリストに表示されるか、ガードレール名を使用してガードレールのリストで検索されます。

  3. ガードレールバージョンを作成する

    数値バージョンを作成して、ガードレール設定が不変のままであり、メンバーアカウントで変更できないようにします。

    経由AWS マネジメントコンソール

    コンソールを使用してガードレールバージョンを作成するには:

    1. Amazon Bedrock コンソールのガードレールページの前のステップで作成したガードレールを選択します。

    2. バージョンの作成を選択する

    3. ガードレール ARN とバージョン番号 (例:「1」、「2」など) を書き留めます。

    API 経由

    CreateGuardrailVersion API を使用する

    検証

    Guardrail の詳細ページでバージョンのリストを確認して、バージョンが正常に作成されたことを確認します。

  4. リソースベースのポリシーをアタッチする (オプション)

    アカウントの特定のロールとガードレールを共有する場合は、リソースベースのポリシーをアタッチします。

    経由AWS マネジメントコンソール

    コンソールを使用してリソースベースのポリシーをアタッチするには:

    1. Amazon Bedrock ガードレールコンソールで、ガードレールを選択します。

    2. 追加をクリックしてリソースベースのポリシーを追加します。

    3. 目的のロールにアクセスbedrock:ApplyGuardrail許可を付与するポリシーを追加する

    4. ポリシーを保存する

  5. アカウントレベルの強制を有効にする

    すべての Amazon Bedrock 呼び出しにガードレールを使用するようにアカウントを設定します。これは、強制するすべてのリージョンで実行する必要があります。

    経由AWS マネジメントコンソール

    コンソールを使用してアカウントレベルの強制を有効にするには:

    1. Amazon Bedrock コンソールに移動します。

    2. 左側のナビゲーションパネルでガードレールを選択する

    3. アカウントレベルの強制設定セクションで、追加 を選択します。

    4. ガードレールとバージョンを選択する

    5. input_tags 設定を構成する (メンバーアカウントが Guardrails 入力タグを介して入力のガードレールをバイパスしないように IGNORE に設定する)

    6. 設定を送信する

    7. 適用するリージョンごとに繰り返します。

    API 経由

    ガードレールを適用するすべてのリージョンで PutEnforcedGuardrailConfiguration API を使用する

    検証

    アカウント強制ガードレールは、ガードレールページの「アカウント強制ガードレール設定」セクションに表示されます。ListEnforcedGuardrailsConfiguration API を呼び出して、強制ガードレールがリストされていることを確認することができます。

  6. 適用のテストと検証
    アカウントのロールを使用してテストする

    アカウントから適用をテストするには:

    1. InvokeModel、、ConverseInvokeModelWithResponseStreamまたは を使用して Amazon Bedrock 推論呼び出しを行う ConverseStream

    2. アカウント強制ガードレールは、入力と出力の両方に自動的に適用される必要があります

    3. ガードレール評価情報のレスポンスを確認します。ガードレールレスポンスには、強制されたガードレール情報が含まれます。

モニタリング

料金

Amazon Bedrock ガードレールの適用は、設定された保護ごとに消費されるテキストユニットの数に基づいて、Amazon Bedrock ガードレールの現在の料金モデルに従います。料金は、設定された保護に従って、強制された各ガードレールに適用されます。個々の安全策の料金の詳細については、「Amazon Bedrock の料金」を参照してください。

よくある質問

強制ガードレールが適用される場合、クォータへの消費はどのように計算されますか?

消費は、各リクエストに関連付けられたガードレール ARN ごとに計算され、API コールを行うAWSアカウントにカウントされます。例えば、1,000 文字のテキストと 3 つのガードレールを持つApplyGuardrail呼び出しでは、ガードレール内の保護ごとにガードレールごとに 3 つのテキスト単位の消費が生成されます。

Amazon Bedrock ポリシーを使用したメンバーアカウントの呼び出しは、メンバーアカウントの Service Quotas にカウントされます。Service Quotas コンソールまたは Service Quotas ドキュメントを確認し、Guardrails ランタイム制限が通話量に十分であることを確認します。

メンバーアカウントが入力タグを使用してガードレールをバイパスしないようにするにはどうすればよいですか?

以下で使用できるinput_tagsコントロールを使用します。

無視する値を設定して、メンバーアカウントが部分的なコンテンツをタグ付けしないようにします。

リクエストに組織レベルとアカウントレベルの両方の強制ガードレールとガードレールがある場合どうなりますか?

3 つのガードレールはすべて実行時に適用されます。正味の効果は、すべてのガードレールの結合であり、最も制限の厳しいコントロールが優先されます。

ガードレールをサポートしていないモデルはどうなりますか?

ガードレールがサポートされていないモデル (モデルの埋め込みなど) では、ランタイム検証エラーがスローされます。

強制設定で使用されているガードレールを削除できますか?

いいえ。デフォルトでは、DeleteGuardrail API はアカウントレベルまたは組織レベルの強制設定に関連付けられたガードレールの削除を防止します。