機能 1。開発者とデータサイエンティストに生成 AI FMs への安全なアクセスを提供する (モデル推論) - AWS 規範ガイダンス
根拠セキュリティに関する考慮事項修復推奨される AWS のサービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機能 1。開発者とデータサイエンティストに生成 AI FMs への安全なアクセスを提供する (モデル推論)

次のアーキテクチャ図は、この機能の生成 AI アカウントに推奨される AWS のサービスを示しています。この機能の範囲は、チャットやイメージ生成のための基盤モデル (FMs) へのアクセスをユーザーに許可することです。

モデル推論の生成 AI アカウントに推奨される AWS のサービス

Generative AI アカウントは、Amazon Bedrock を使用して生成 AI 機能を保護することに専念しています。このガイド全体で、このアカウント (およびアーキテクチャ図) を機能で構築します。アカウントには、ユーザーの会話を保存し、プロンプトストアを維持するためのサービスが含まれています。アカウントには、セキュリティガードレールと一元化されたセキュリティガバナンスを実装するためのセキュリティサービスも含まれています。ユーザーは、ID プロバイダー (IdP) を使用して、生成 AI アカウントの仮想プライベートクラウド (VPC) に安全にアクセスすることで、フェデレーティッドアクセスを取得できます。AWS PrivateLink は、VPC から Amazon Bedrock エンドポイントサービスへのプライベート接続をサポートしています。VPC 環境がアクセスするように設定されたAmazon S3呼び出しログとプロンプトストアバケットの Amazon S3 ゲートウェイエンドポイントを Amazon S3 に作成する必要があります。また、VPC 環境がアクセスするように設定されている CloudWatch ログの Amazon CloudWatch CloudWatch Logs インターフェイス VPC エンドポイントを作成する必要があります。

根拠

生成 AI FMs へのアクセス権をユーザーに付与すると、自然言語処理、画像生成、効率の向上、意思決定などのタスクに高度なモデルを使用できます。このアクセスにより、従業員が新しいアプリケーションを試して最先端のソリューションを開発できるため、組織内のイノベーションが促進され、最終的に生産性が向上し、競争上の利点が得られます。このユースケースは、Generative AI Security Scoping Matrix のスコープ 3 に対応しています。スコープ 3 では、組織は Amazon Bedrock で提供されているような事前トレーニング済みの FM を使用して生成 AI アプリケーションを構築します。このスコープでは、アプリケーションとアプリケーションで使用される顧客データを制御しますが、FM プロバイダーは事前トレーニング済みのモデルとそのトレーニングデータを制御します。さまざまなアプリケーションスコープに関連するデータフローや、ユーザーと FM プロバイダー間の責任共有に関する情報については、AWS ブログ記事「生成 AI の保護: 関連するセキュリティコントロールの適用」を参照してください。 

Amazon Bedrock の生成 AI FMs へのアクセス権をユーザーに付与する場合は、以下の主要なセキュリティ上の考慮事項に対処する必要があります。 

  • モデルの呼び出し、会話履歴、プロンプトストアへの安全なアクセス 

  • 会話とプロンプトストアの暗号化

  • プロンプトインジェクションや機密情報の開示などの潜在的なセキュリティリスクのモニタリング    

次のセクションでは、これらのセキュリティ上の考慮事項と生成 AI 機能について説明します。 

セキュリティに関する考慮事項

生成 AI ワークロードには固有のリスクがあります。たとえば、脅威アクターは、継続的な出力を強制する悪意のあるクエリを作成し、リソースの過剰な消費を引き起こしたり、不適切なモデルレスポンスにつながるプロンプトを作成したりする可能性があります。さらに、エンドユーザーはプロンプトに機密情報を入力することで、これらのシステムを誤って悪用する可能性があります。Amazon Bedrock は、データ保護、アクセスコントロール、ネットワークセキュリティ、ログ記録とモニタリング、入出力の検証のための堅牢なセキュリティコントロールを提供し、これらのリスクを軽減します。これらについては、以降のセクションで説明します。生成 AI ワークロードに関連するリスクの詳細については、Open Worldwide Application Security Project (OWASP) ウェブサイトの OWASP Top 10 for Large Language Model Applications および MITRE ウェブサイトの MITRE ATLAS を参照してください。 

修復

Identity and access management

IAM ユーザーにはユーザー名とパスワードなどの長期的な認証情報があるため、使用しないでください。代わりに、AWS にアクセスするときは一時的な認証情報を使用します。一時的な認証情報を提供する IAM ロールを引き受けることで、人間のユーザーに ID プロバイダー (IdP) を使用して AWS アカウントへのフェデレーションアクセスを提供できます。

一元化されたアクセス管理には、AWS IAM Identity Center を使用します。IAM アイデンティティセンターとさまざまなアーキテクチャパターンの詳細については、このガイドの「IAM の詳細」セクションを参照してください。 

Amazon Bedrock にアクセスするには、最小限のアクセス許可が必要です。Amazon Bedrock FMsはデフォルトでは付与されません。FM へのアクセスを取得するには、十分なアクセス許可を持つ IAM アイデンティティが Amazon Bedrock コンソールを介してアクセスをリクエストする必要があります。モデルアクセス許可を追加、削除、および制御する方法については、Amazon Bedrock ドキュメントの「モデルアクセス」を参照してください。 

Amazon Bedrock へのアクセスを安全に提供するには、要件に従って Amazon Bedrock ポリシーの例をカスタマイズし、必要なアクセス許可のみが許可されるようにします。 

ネットワークセキュリティ

AWS PrivateLink を使用すると、VPC でプライベート IP アドレスを使用して、一部の AWS サービス、他の AWS アカウントによってホストされるサービス (エンドポイントサービスと呼ばれます)、およびサポートされている AWS Marketplace パートナーサービスに接続できます。インターフェイスエンドポイントは、VPC のサブネットで Elastic Network Interface と IP アドレスを使用して VPC 内に直接作成されます。このアプローチでは、Amazon VPC セキュリティグループを使用してエンドポイントへのアクセスを管理します。AWS PrivateLink を使用して、トラフィックをインターネットに公開することなく、VPC から Amazon Bedrock エンドポイントサービスへのプライベート接続を確立します。PrivateLink は、Amazon Bedrock サービスアカウントの API エンドポイントへのプライベート接続を提供するため、VPC 内のインスタンスは Amazon Bedrock にアクセスするためにパブリック IP アドレスを必要としません。 

ログ記録とモニタリング

モデルの呼び出しログ記録を有効にします。モデル呼び出しログ記録を使用して、AWS アカウント内のすべての Amazon Bedrock モデル呼び出しの呼び出しログ、モデル入力データ、モデル出力データを収集します。デフォルトでは、ログ記録は無効になっています。呼び出しログ記録を有効にして、アカウントで実行されるすべての呼び出しに関連付けられた完全なリクエストデータ、レスポンスデータ、IAM 呼び出しロール、メタデータを収集できます。

重要

呼び出しログデータに対する完全な所有権と制御を維持し、IAM ポリシーと暗号化を使用して、承認された担当者のみがデータにアクセスできるようにします。AWS もモデルプロバイダーも、データに対する可視性もアクセスも持っていません。

ログデータが公開される送信先リソースを提供するようにログ記録を設定します。Amazon Bedrock は、Amazon CloudWatch Logs や Amazon Simple Storage Service (Amazon S3) などの送信先をネイティブにサポートしています。モデル呼び出しログを保存するように両方のソースを設定することをお勧めします。 

自動不正使用検出メカニズムを実装して、プロンプトインジェクションや機密情報の開示など、潜在的な不正使用を防止します。潜在的な誤用が検出されたときに管理者に通知するようにアラートを設定します。これは、CloudWatch メトリクスに基づくカスタム CloudWatch メトリクスとアラームを通じて実現できます。 CloudWatch

AWS CloudTrail を使用して Amazon Bedrock API アクティビティをモニタリングします。エンドユーザー向けに、一般的に使用されるプロンプトをプロンプトストアに保存して管理することを検討してください。プロンプトストアには Amazon S3 を使用することをお勧めします。 

設計上の考慮事項

このアプローチは、コンプライアンスとプライバシーの要件に照らして評価する必要があります。モデル呼び出しログは、モデル入力とモデル入力の一部として機密データを収集する場合があり、ユースケースには適さない場合があり、場合によっては、リスクコンプライアンスの目的を満たさない場合があります。

入力と出力の検証

Amazon Bedrock モデルを操作するユーザーに Amazon Bedrock のガードレールを実装する場合は、ガードレールを本番環境にデプロイし、アプリケーションでガードレールのバージョンを呼び出す必要があります。これには、Amazon Bedrock API と連携するワークロードを作成して保護する必要があります。 

推奨される AWS のサービス

注記

このセクションおよびその他の機能で説明されている AWS サービスは、これらのセクションで説明されているユースケースに固有のものです。さらに、AWS Security Hub CSPM、Amazon GuardDuty、AWS Config、IAM Access Analyzer、AWS CloudTrail 組織証跡などの一般的なセキュリティサービスをすべての AWS アカウントに用意して、一貫したガードレールを可能にし、組織全体で一元的なモニタリング、管理、ガバナンスを提供する必要があります。 このガイドの前半の「すべての AWS アカウントに共通のセキュリティサービスをデプロイする」セクションを参照して、これらのサービスの機能とアーキテクチャのベストプラクティスを理解してください。

Amazon S3

Amazon S3 は、スケーラビリティ、データ可用性、セキュリティ、パフォーマンスを提供するオブジェクトストレージサービスです。推奨されるセキュリティのベストプラクティスについては、Amazon S3 のドキュメント、オンライン技術トーク、ブログ記事の詳細な説明を参照してください。

モデル呼び出しログ一般的に使用されるプロンプトを S3 バケットのプロンプトストアとしてホストします。 S3 バケットは、作成、所有、管理するカスタマーマネージドキーで暗号化する必要があります。ネットワークセキュリティを強化するために、VPC 環境がアクセスするように設定されている S3 バケットのゲートウェイエンドポイントを作成できます。アクセスはログに記録し、モニタリングする必要があります。

バックアップにバージョニングを使用し、Amazon S3 オブジェクトロックでオブジェクトレベルのイミュータビリティを適用します。オブジェクトロックが有効になっているデータが個人を特定できる情報 (PII) と見なされると、プライバシーコンプライアンスの問題が発生する可能性があります。このリスクを軽減し、セーフティネットを提供するには、オブジェクトロックのコンプライアンスモードの代わりにガバナンスモードを使用します。リソースベースのポリシーを使用して、Amazon S3 ファイルへのアクセスをより厳密に制御できます。 

Amazon CloudWatch

Amazon CloudWatch は、アプリケーションをモニタリングし、パフォーマンスの変化に対応し、リソースの使用を最適化し、運用状態に関するインサイトを提供します。AWS リソース間でデータを収集することで、CloudWatch はシステム全体のパフォーマンスを可視化し、アラームの設定、変更への自動対応、運用状態の統合ビューの取得を可能にします。 

CloudWatch を使用して、Amazon Bedrock と AmazonS3 の変更を記述するシステムイベントをモニタリングしてアラームを生成します。プロンプトがプロンプトインジェクションまたは機密情報の開示を示している可能性がある場合に管理者に通知するようにアラートを設定します。これは、ログパターンに基づくカスタム CloudWatch メトリクスとアラームを通じて実現できます。CloudWatch Logs のログデータを、ユーザーが作成、所有、管理するカスタマーマネージドキーで暗号化します。ネットワークセキュリティを強化するために、VPC 環境がアクセスするように設定された CloudWatch Logs のインターフェイス VPC エンドポイントを作成できます。Security OU Security Tooling アカウントで Amazon CloudWatch Observability Access Manager を使用してモニタリングを一元化できます。最小特権の原則を使用して、CloudWatch Logs リソースへのアクセス許可を管理します。 

AWS CloudTrail

AWS CloudTrail は、AWS アカウントのアクティビティのガバナンス、コンプライアンス、監査をサポートします。CloudTrail を使用すると、AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし、保持できます。 

CloudTrail を使用して、Amazon Bedrock および Amazon S3 に対するすべての作成、読み取り、更新、削除 (CRUD) アクションをログに記録してモニタリングします。詳細については、Amazon Bedrock ドキュメントの「AWS CloudTrai l を使用した Amazon Bedrock API コールのログ記録」および Amazon Amazon S3 ドキュメントの「AWS CloudTrail を使用した Amazon S3 API コールのログ記録」を参照してください。 Amazon S3

Amazon Bedrock からの CloudTrail ログには、プロンプト情報と完了情報は含まれません。組織内のすべてのアカウントのすべてのイベントを記録する組織の証跡を使用することをお勧めします。すべての CloudTrail ログを生成 AI アカウントからセキュリティ OU ログアーカイブアカウントに転送します。一元化されたログを使用すると、Amazon S3 オブジェクトアクセス、ID による不正なアクティビティ、IAM ポリシーの変更、機密性の高いリソースで実行されるその他の重要なアクティビティをモニタリング、監査、アラートを生成できます。詳細については、AWS CloudTrail のセキュリティのベストプラクティスを参照してください。

Amazon Macie

Amazon Macie は、フルマネージド型のデータセキュリティおよびデータプライバシーサービスであり、機械学習とパターンマッチングを使用して AWS の機密データを検出して保護します。ワークロードが処理しているデータのタイプと分類を特定して、適切なコントロールが確実に適用されるようにする必要があります。Macie は、S3 バケットに保存されているプロンプトストアとモデル呼び出しログ内の機密データを識別するのに役立ちます。Macie を使用して、Amazon S3 内の機密データの検出、ログ記録、レポートを自動化できます。これは、機密データ自動検出を実行するように Macie を設定する方法と、機密データ検出ジョブを作成して実行する方法の 2 つの方法で行うことができます。詳細については、Macie ドキュメントのAmazon Macie による機密データの検出」を参照してください。