기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Bedrock Guardrails 적용으로 교차 계정 보호 적용
Amazon Bedrock 가드레일을 사용하면 AWS Organizations Amazon Bedrock 정책을 통해 조직의 여러 계정에 보호 기능을 자동으로 적용할 수 있습니다. 이를 통해 중앙 집중식 제어 및 관리를 통해 모든 계정에서 균일한 보호가 가능합니다. 또한이 기능은 사용 사례 요구 사항에 따라 계정 수준 및 애플리케이션별 제어를 유연하게 적용할 수 있습니다.
주요 기능
가드레일 적용의 주요 기능은 다음과 같습니다.
-
조직 수준 적용 -와 함께 Amazon Bedrock 정책을 사용하여 조직 단위(OUs), 개별 계정 또는 전체 조직에 걸쳐 Amazon Bedrock을 사용한 모든 모델 호출에 가드레일을 적용합니다 AWS Organizations.
-
계정 수준 적용 - 해당 AWS 계정의 모든 Amazon Bedrock 모델 호출에 대해 계정 내에서 가드레일의 특정 버전을 지정합니다.
-
계층형 보호 - 둘 다 있는 경우 조직 및 애플리케이션별 가드레일을 결합합니다. 효과적인 안전 제어는 두 가드레일과 두 가드레일의 제어가 동일한 경우 가장 제한적인 제어가 우선하는 두 가드레일의 조합입니다.
다음 주제에서는 Amazon Bedrock Guardrails 적용을 사용하는 방법을 설명합니다.
구현 안내서
아래 단계는 AWS 조직 내 계정 및 단일 AWS 계정에 대한 가드레일 적용 구현에 대한 세부 정보를 제공합니다. 이러한 적용을 통해 Amazon Bedrock에 대한 모든 모델 호출은 지정된 가드레일 내에 구성된 보호 장치를 적용합니다.
조직 수준 적용
이 섹션에서는 AWS 조직 전체에서 가드레일 적용을 설정하는 방법에 대해 자세히 설명합니다. 설정되면 지정된 계정 또는 OUs.
사전 조건
AWS 가드레일을 생성하고 AWS Organizations 정책을 관리할 수 있는 권한이 있는 조직 관리자(관리 계정 액세스 권한이 있는).
필요한 사항
다음은 필수입니다.
-
AWS Organizations 관리 계정 액세스 포함
-
가드레일을 생성하고 AWS Organizations 정책을 관리하기 위한 IAM 권한
-
조직의 안전 요구 사항 이해
조직 수준 가드레일 적용을 설정하려면
-
가드레일 구성 계획
-
보호 조치를 정의합니다.
-
필요한 필터를 식별합니다. 현재 콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터, 컨텍스트 근거 검사가 지원됩니다.
-
중요
자동 추론 정책은 가드레일 적용에 지원되지 않으므로 포함하지 마십시오. 그러면 런타임 오류가 발생합니다.
-
대상 계정 식별:
-
이 가드레일을 적용할 OUs, 계정 또는 전체 조직 결정
-
-
-
관리 계정에서 가드레일 생성
다음 방법 중 하나를 사용하여 가드레일을 적용하려는 모든 리전에서 가드레일을 생성합니다.
-
사용 AWS Management Console:
-
Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명 AWS Management Console 으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock
에서 Amazon Bedrock 콘솔을 엽니다. -
왼쪽 탐색 패널에서 가드레일을 선택합니다.
-
가드레일 생성을 선택합니다.
-
마법사에 따라 원하는 필터 또는 보호 장치(콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터, 컨텍스트 근거 검사)를 구성합니다.
-
자동 추론 정책을 활성화하지 마십시오.
-
마법사를 완료하여 가드레일을 생성합니다.
-
-
API 사용: CreateGuardrail API 사용
확인
생성되면 가드레일 랜딩 페이지의 가드레일 목록에 표시되거나 가드레일 이름을 사용하여 가드레일 목록에서 검색해야 합니다.
-
-
가드레일 버전 생성
가드레일 구성을 변경할 수 없고 멤버 계정에서 수정할 수 없도록 숫자 버전을 생성합니다.
-
사용 AWS Management Console:
-
Amazon Bedrock 콘솔의 가드레일 페이지에서 이전 단계에서 생성한 가드레일을 선택합니다.
-
버전 생성을 선택합니다.
-
가드레일 ARN과 버전 번호(예: "1", "2")를 기록해 둡니다.
-
-
API 사용: CreateGuardrailVersion API 사용
확인
가드레일 세부 정보 페이지에서 버전 목록을 확인하여 버전이 성공적으로 생성되었는지 확인합니다.
-
-
리소스 기반 정책 연결
가드레일에 리소스 기반 정책을 연결하여 교차 계정 액세스를 활성화합니다.
-
사용 AWS Management Console - 콘솔을 사용하여 리소스 기반 정책을 연결하려면:
-
Amazon Bedrock Guardrails 콘솔에서 가드레일을 선택합니다.
-
추가를 선택하여 리소스 기반 정책 추가
-
모든 멤버 계정 또는 조직에
bedrock:ApplyGuardrail권한을 부여하는 정책을 추가합니다. (가드레일에 리소스 기반 정책 사용의 조직과 가드레일 공유 섹션 참조) -
정책 저장
-
확인
ApplyGuardrail API를 사용하여 멤버 계정의 액세스를 테스트하여 권한이 올바르게 구성되었는지 확인합니다.
-
-
멤버 계정에서 IAM 권한 구성
멤버 계정의 모든 역할에 적용된 가드레일에 액세스할 수 있는 IAM 권한이 있는지 확인합니다.
필수 권한
멤버 계정 역할에는 관리 계정의 가드레일에 대한
bedrock:ApplyGuardrail권한이 필요합니다. 자세한 IAM 정책 예제Amazon Bedrock Guardrails 사용 권한 설정는 섹션을 참조하세요.확인
멤버 계정에서 범위가 축소된 권한이 있는 역할이 가드레일을 사용하여
ApplyGuardrailAPI를 성공적으로 호출할 수 있는지 확인합니다. -
에서 Amazon Bedrock 정책 유형 활성화 AWS Organizations
-
사용 AWS Management Console - 콘솔을 사용하여 Amazon Bedrock 정책 유형을 활성화하려면:
-
AWS Organizations 콘솔로 이동합니다.
-
정책 선택
-
Amazon Bedrock 정책 선택
-
Amazon Bedrock 정책 활성화를 선택하여 조직의 Amazon Bedrock 정책 유형을 활성화합니다.
-
-
API 사용 - 정책 유형과 함께 AWS Organizations EnablePolicyType API 사용
BEDROCK_POLICY
확인
AWS Organizations 콘솔에서 Amazon Bedrock 정책 유형이 활성화된 것으로 표시되는지 확인합니다.
-
-
AWS Organizations 정책 생성 및 연결
가드레일을 지정하는 관리 정책을 생성하여 대상 계정 또는 OUs에 연결합니다.
-
사용 AWS Management Console - 콘솔을 사용하여 AWS Organizations 정책을 생성하고 연결하려면:
-
AWS Organizations 콘솔에서 정책 > Amazon Bedrock 정책으로 이동합니다.
-
정책 생성(Create policy)을 선택합니다.
-
가드레일 ARN 및 버전 지정
중요
정책에서 정확한 가드레일 ARN을 지정하고 있는지 확인합니다. 올바르지 않거나 잘못된 ARN을 지정하면 정책 위반, 보호 조치 미적용, 추론을 위해 Amazon Bedrock에서 모델을 사용할 수 없게 됩니다.
-
선택적 콘텐츠 보호 제어를 구성합니다(선택 사항).
-
Amazon Bedrock APIs 사용하면 호출자가 가드레일 평가를 위한 입력 프롬프트 내에서 특정 콘텐츠에 태그를 지정할 수 있습니다.
-
선택적 콘텐츠 보호 제어를 통해 관리자는 API 호출자의 태그 지정 결정을 적용할지 여부를 결정할 수 있습니다.
-
system및messages제어는 가드레일에 의해 시스템 프롬프트 및 메시지 콘텐츠가 처리되는 방식을 결정합니다. 각는 다음 값 중 하나를 허용합니다.-
선택: 가드 콘텐츠 태그 내의 콘텐츠만 평가합니다. 태그가 지정되지 않은 경우 동작은 제어에 따라 달라집니다.
system의 경우 콘텐츠가 평가되지 않고messages의 경우 모든 콘텐츠가 평가됩니다. -
포괄적: 가드 콘텐츠 태그에 관계없이 모든 콘텐츠를 평가합니다.
-
-
구성되지 않은 경우 두 제어 모두 기본적으로 포괄적으로 설정됩니다.
{ "bedrock": { "guardrail_inference": { "us-east-1": { "config_1": { "identifier": { "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1" }, "selective_content_guarding": { "system": { "@@assign": "selective" }, "messages": { "@@assign": "comprehensive" } }, "model_enforcement": { "included_models": { "@@assign": ["ALL"] }, "excluded_models": { "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"] } } } } } } } -
-
정책 저장
-
대상 탭으로 이동하여 연결을 선택하여 원하는 대상(조직 루트, OUs 또는 개별 계정)에 정책을 연결합니다.
-
-
API 사용 - 정책 유형이 인 AWS Organizations CreatePolicy API를 사용합니다
BEDROCK_POLICY. AttachPolicy를 사용하여 대상에 연결
자세히 알아보기: 의 Amazon Bedrock 정책 AWS Organizations
확인
정책이 AWS Organizations 콘솔의 올바른 대상에 연결되어 있는지 확인합니다.
-
-
적용 테스트 및 확인
가드레일이 멤버 계정에 적용되고 있는지 테스트합니다.
적용되는 가드레일 확인
-
사용 AWS Management Console - 멤버 계정에서 Amazon Bedrock 콘솔로 이동하여 왼쪽 탐색 패널에서 가드레일을 선택합니다. 가드레일 홈 페이지의 관리 계정의 조직 수준 적용 구성 및 멤버 계정의 조직 수준 적용 가드레일 섹션에 조직이 적용한 가드레일이 표시됩니다.
-
API 사용 - 멤버 계정에서 멤버 계정 ID를 대상 ID로 사용하여 DescribeEffectivePolicy를 호출합니다.
멤버 계정에서 테스트
-
InvokeModel, InvokeModelWithResponseStream, Converse 또는 ConverseStream을 사용하여 Amazon Bedrock 추론 호출을 수행합니다.
-
적용 가드레일은 입력과 출력 모두에 자동으로 적용되어야 합니다.
-
가드레일 평가 정보는 응답을 확인하세요. 가드레일 응답에는 적용된 가드레일 정보가 포함됩니다.
-
계정 수준 적용
이 섹션에서는 단일 AWS 계정 내에서 가드레일 적용을 설정하는 방법에 대해 자세히 설명합니다. 설정하면 계정의 모든 Amazon Bedrock 모델 호출에 자동으로 적용되는 가드레일이 생깁니다.
사전 조건
AWS 가드레일을 생성하고 계정 수준 설정을 구성할 수 있는 권한이 있는 계정 관리자.
필요한 사항
다음은 필수입니다.
-
적절한 IAM 권한이 있는 AWS 계정
-
계정의 안전 요구 사항 이해
계정 수준 가드레일 적용을 설정하려면
-
가드레일 구성 계획
안전 장치 정의
보호 장치를 정의하려면:
-
필요한 필터를 식별합니다. 현재 콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터, 컨텍스트 근거 검사가 지원됩니다.
-
중요
자동 추론 정책은 가드레일 적용에 지원되지 않으므로 포함하지 마십시오. 그러면 런타임 오류가 발생합니다.
-
가드레일 생성
가드레일을 적용하려는 모든 리전에서 가드레일을 생성합니다.
경유 AWS Management Console
콘솔을 사용하여 가드레일을 생성하려면:
-
Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명 AWS Management Console 으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock
에서 Amazon Bedrock 콘솔을 엽니다. -
왼쪽 탐색 패널에서 가드레일을 선택합니다.
-
가드레일 생성을 선택합니다.
-
마법사에 따라 원하는 정책(콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터)을 구성합니다.
-
자동 추론 정책을 활성화하지 마십시오.
-
마법사를 완료하여 가드레일을 생성합니다.
API를 통해
CreateGuardrailAPI를 사용합니다.확인
생성되면 가드레일 랜딩 페이지의 가드레일 목록에 표시되거나 가드레일 이름을 사용하여 가드레일 목록에서 검색해야 합니다.
-
-
가드레일 버전 생성
가드레일 구성을 변경할 수 없고 멤버 계정에서 수정할 수 없도록 숫자 버전을 생성합니다.
경유 AWS Management Console
콘솔을 사용하여 가드레일 버전을 생성하려면:
-
Amazon Bedrock 콘솔의 가드레일 페이지에서 이전 단계에서 생성한 가드레일을 선택합니다.
-
버전 생성을 선택합니다.
-
가드레일 ARN과 버전 번호(예: "1", "2")를 기록해 둡니다.
API를 통해
CreateGuardrailVersionAPI를 사용합니다.확인
가드레일 세부 정보 페이지에서 버전 목록을 확인하여 버전이 성공적으로 생성되었는지 확인합니다.
-
-
리소스 기반 정책 연결(선택 사항)
계정의 특정 역할과 가드레일을 공유하려면 리소스 기반 정책을 연결합니다.
경유 AWS Management Console
콘솔을 사용하여 리소스 기반 정책을 연결하려면:
-
Amazon Bedrock Guardrails 콘솔에서 가드레일을 선택합니다.
-
추가를 선택하여 리소스 기반 정책 추가
-
원하는 역할에
bedrock:ApplyGuardrail권한을 부여하는 정책 추가 -
정책 저장
-
-
계정 수준 적용 활성화
모든 Amazon Bedrock 호출에 가드레일을 사용하도록 계정을 구성합니다. 이 작업은 적용하려는 모든 리전에서 수행해야 합니다.
경유 AWS Management Console
콘솔을 사용하여 계정 수준 적용을 활성화하려면:
-
Amazon Bedrock 콘솔로 이동합니다.
-
왼쪽 탐색 패널에서 가드레일을 선택합니다.
-
계정 수준 적용 구성 섹션에서 추가를 선택합니다.
-
가드레일 및 버전 선택
-
선택적 콘텐츠 보호 제어를 구성합니다(선택 사항).
-
Amazon Bedrock APIs 사용하면 호출자가 가드레일 평가를 위한 입력 프롬프트 내에서 특정 콘텐츠에 태그를 지정할 수 있습니다.
-
선택적 콘텐츠 보호 제어를 통해 관리자는 API 호출자의 태그 지정 결정을 적용할지 여부를 결정할 수 있습니다.
-
system및messages제어는 가드레일에 의해 시스템 프롬프트 및 메시지 콘텐츠가 처리되는 방식을 결정합니다. 각는 다음 값 중 하나를 허용합니다.-
선택: 가드 콘텐츠 태그 내의 콘텐츠만 평가합니다.
-
포괄적: 가드 콘텐츠 태그에 관계없이 모든 콘텐츠를 평가합니다.
-
-
구성되지 않은 경우 두 제어 모두 기본적으로 포괄적으로 설정됩니다.
-
-
구성 제출
-
적용하려는 각 리전에 대해 반복합니다.
API를 통해
가드레일을 적용하려는 모든 리전에서
PutEnforcedGuardrailConfigurationAPI 사용확인
가드레일 페이지의 계정 적용 가드레일 구성 섹션에 계정 적용 가드레일이 표시됩니다. ListEnforcedGuardrailsConfiguration API를 호출하여 적용 가드레일이 나열되도록 할 수 있습니다.
-
-
적용 테스트 및 확인
계정의 역할을 사용하여 테스트
계정에서 적용을 테스트하려면:
-
InvokeModel,ConverseInvokeModelWithResponseStream, 또는를 사용하여 Amazon Bedrock 추론 호출 수행ConverseStream -
계정 적용 가드레일은 입력과 출력 모두에 자동으로 적용되어야 합니다.
-
가드레일 평가 정보는 응답을 확인하세요. 가드레일 응답에는 적용된 가드레일 정보가 포함됩니다.
-
모니터링
-
Amazon Bedrock Guardrails에 대한 CloudWatch 지표를 사용하여 가드레일 개입 및 지표 추적
-
ApplyGuardrailAPI 호출에 대한 CloudTrail 로그를 검토하여 IAM 권한 구성 문제를 나타내는 AccessDenied 예외와 같은 사용 패턴을 모니터링합니다. CloudTrail에서 Amazon Bedrock 데이터 이벤트 보기
가격 책정
Amazon Bedrock Guardrails 적용은 구성된 보호 장치당 소비되는 텍스트 단위 수를 기반으로 Amazon Bedrock Guardrails에 대한 현재 요금 모델을 따릅니다. 요금은 구성된 보호 장치에 따라 적용되는 각 가드레일에 적용됩니다. 개별 보호 조치에 대한 자세한 요금 정보는 Amazon Bedrock 요금을
FAQ
- 적용 가드레일이 적용될 때 할당량에 대한 소비는 어떻게 계산되나요?
-
소비는 각 요청과 연결된 가드레일 ARN별로 계산되며 API 호출을 수행하는 AWS 계정에 포함됩니다. 예를 들어 텍스트가 1,000자이고 가드레일이 3개인
ApplyGuardrail호출은 가드레일의 보호마다 가드레일당 3개의 텍스트 소비 단위를 생성합니다.Amazon Bedrock 정책을 사용한 멤버 계정 호출은 멤버 계정의 Service Quotas에 포함됩니다. Service Quotas 콘솔 또는 Service Quotas 설명서를 검토하고 Guardrails 런타임 제한이 통화 볼륨에 충분한지 확인합니다.
- 요청에 조직 수준 및 계정 수준 적용 가드레일과 가드레일이 모두 있는 경우 어떻게 되나요?
-
3개의 가드레일이 모두 런타임에 적용됩니다. 순 효과는 가장 제한적인 제어가 우선하는 모든 가드레일의 조합입니다.
- 선택적 또는 포괄적인 보호 제어는 언제 사용해야 하나요?
-
호출자를 신뢰하여 올바른 콘텐츠에 태그를 지정하고 불필요한 가드레일 처리를 줄이려면 Selective를 사용합니다. 이는 호출자가 사전 검증된 콘텐츠와 사용자 생성 콘텐츠의 조합을 처리하고 특정 부분에 가드레일만 적용하면 되는 경우에 유용합니다. 호출자 태그에 관계없이 모든 항목에 가드레일을 적용하려는 경우 Comprehensive을 사용합니다. 이는 민감한 콘텐츠를 올바르게 식별하기 위해 호출자에게 의존하지 않으려는 경우에 더 안전한 기본값입니다.
- 특정 모델을 포함하거나 적용에서 제외하려면 어떻게 해야 합니까?
-
모델 적용 제어를 사용하여 Amazon Bedrock에서 가드레일이 추론을 위해 적용되는 모델의 범위를 지정합니다. 구성되지 않은 경우 적용은 기본적으로 Amazon Bedrock의 모든 모델에 적용됩니다. 이 제어는 다음 목록을 허용합니다.
-
포함된 모델: 가드레일을 적용할 모델입니다. 특정 모델 식별자 또는 키워드를 수락
ALL하여 모든 모델을 명시적으로 포함합니다. 비어 있으면 적용이 모든 모델에 적용됩니다. -
제외된 모델: 가드레일 적용에서 제외할 모델입니다. 비어 있으면 모델이 제외되지 않습니다.
모델이 두 목록에 모두 나타나면 제외됩니다.
-
- 언제 포함 또는 제외 모델을 사용해야 하나요?
-
-
특정 모델에만 가드레일을 적용하려면 포함된 모델을 사용합니다.
-
광범위한 적용을 원하지만 특정 모델에 대한 예외를 제거해야 하는 경우 제외된 모델을 사용합니다.
-
- 적용 구성에서 사용 중인 가드레일을 삭제할 수 있나요?
-
아니요. 기본적으로 DeleteGuardrail API는 계정 수준 또는 조직 수준 적용 구성과 연결된 가드레일의 삭제를 방지합니다.
