Amazon Bedrock Guardrails 적용으로 교차 계정 보호 적용 - Amazon Bedrock
구현 안내서모니터링가격 책정FAQ

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock Guardrails 적용으로 교차 계정 보호 적용

참고

Amazon Bedrock Guardrails 적용은 미리 보기 중이며 변경될 수 있습니다.

Amazon Bedrock Guardrails 적용을 사용하면 Amazon Bedrock을 사용한 모든 모델 호출에 대해 AWS계정 수준 및 AWS Organizations수준(계정 간)에서 안전 제어를 자동으로 적용할 수 있습니다. 이 중앙 집중식 접근 방식은 여러 계정 및 애플리케이션에서 일관된 보호 기능을 유지하므로 개별 계정 및 애플리케이션에 가드레일을 구성할 필요가 없습니다.

주요 기능

가드레일 적용의 주요 기능은 다음과 같습니다.

  • 조직 수준 적용 -와 함께 Amazon Bedrock 정책(평가판)을 사용하여 조직 단위(OUs), 개별 계정 또는 전체 조직에 걸쳐 Amazon Bedrock을 사용한 모든 모델 호출에 가드레일을 적용합니다AWS Organizations.

  • 계정 수준 적용 - 해당 AWS계정의 모든 Amazon Bedrock 모델 호출에 대해 계정 내에서 가드레일의 특정 버전을 지정합니다.

  • 계층형 보호 - 조직과 애플리케이션별 가드레일이 모두 있는 경우 결합합니다. 효과적인 안전 제어는 두 가드레일과 두 가드레일의 제어가 동일한 경우 가장 제한적인 제어가 우선하는 두 가드레일의 조합입니다.

다음 주제에서는 Amazon Bedrock Guardrails 적용을 사용하는 방법을 설명합니다.

구현 안내서

아래 자습서에서는 AWSOrganization이 있는 계정과 단일 AWS계정에 가드레일을 적용하는 데 필요한 단계를 안내합니다. 이러한 적용을 통해 Amazon Bedrock에 대한 모든 모델 호출은 지정된 가드레일 내에 구성된 보호 장치를 적용합니다.

자습서: 조직 수준 적용

이 자습서에서는 AWS조직 전체에서 가드레일 적용을 설정하는 방법을 안내합니다. 마지막으로 지정된 계정 또는 OUs의 모든 Amazon Bedrock 모델 호출에 자동으로 적용되는 가드레일이 있습니다.

이 자습서를 따라야 하는 사람

AWS가드레일을 생성하고 AWS Organizations정책을 관리할 권한이 있는 조직 관리자(관리 계정 액세스 권한 있음).

필요한 사항

이 자습서를 완료하려면 다음이 필요합니다.

조직 수준 가드레일 적용을 설정하려면
  1. 가드레일 구성 계획

    1. 보호 장치 정의:

      • Amazon Bedrock Guardrails 설명서에서 사용 가능한 가드레일 필터 검토

      • 필요한 필터를 식별합니다. 현재 콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터, 컨텍스트 근거 검사가 지원됩니다.

      • 참고: 자동 추론 정책은 가드레일 적용에 지원되지 않으므로 포함하지 마십시오. 그러면 런타임 오류가 발생합니다.

    2. 대상 계정 식별:

      • 이 가드레일을 적용할 OUs, 계정 또는 전체 조직 결정

  2. 관리 계정에서 가드레일 생성

    다음 방법 중 하나를 사용하여 가드레일을 적용하려는 모든 리전에 가드레일을 생성합니다.

    • 사용AWS Management 콘솔:

      1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명AWS Management 콘솔으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock에서 Amazon Bedrock 콘솔을 엽니다.

      2. 왼쪽 탐색 패널에서 가드레일을 선택합니다.

      3. 가드레일 생성을 선택합니다.

      4. 마법사에 따라 원하는 필터 또는 보호 장치(콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터, 컨텍스트 근거 검사)를 구성합니다.

      5. 자동 추론 정책을 활성화하지 마십시오.

      6. 마법사를 완료하여 가드레일을 생성합니다.

    • API 사용: CreateGuardrail API 사용

    확인

    생성되면 가드레일 랜딩 페이지의 가드레일 목록에 표시되거나 가드레일 이름을 사용하여 가드레일 목록에서 검색해야 합니다.

  3. 가드레일 버전 생성

    가드레일 구성을 변경할 수 없고 멤버 계정에서 수정할 수 없도록 숫자 버전을 생성합니다.

    • 사용AWS Management 콘솔:

      1. Amazon Bedrock 콘솔의 가드레일 페이지에서 이전 단계에서 생성된 가드레일을 선택합니다.

      2. 버전 생성을 선택합니다.

      3. 가드레일 ARN과 버전 번호(예: "1", "2" 등)를 기록해 둡니다.

    • API 사용: CreateGuardrailVersion API 사용

    확인

    가드레일 세부 정보 페이지에서 버전 목록을 확인하여 버전이 성공적으로 생성되었는지 확인합니다.

  4. 리소스 기반 정책 연결

    가드레일에 리소스 기반 정책을 연결하여 교차 계정 액세스를 활성화합니다.

    • 사용 AWS Management 콘솔- 콘솔을 사용하여 리소스 기반 정책을 연결하려면:

      1. Amazon Bedrock Guardrails 콘솔에서 가드레일을 선택합니다.

      2. 추가를 클릭하여 리소스 기반 정책을 추가합니다.

      3. 모든 멤버 계정 또는 조직에 bedrock:ApplyGuardrail 권한을 부여하는 정책을 추가합니다. (가드레일에 리소스 기반 정책 사용조직과 가드레일 공유 섹션 참조)

      4. 정책 저장

    확인

    ApplyGuardrail API를 사용하여 멤버 계정의 액세스를 테스트하여 권한이 올바르게 구성되었는지 확인합니다.

  5. 멤버 계정에서 IAM 권한 구성

    멤버 계정의 모든 역할에 적용된 가드레일에 액세스할 수 있는 IAM 권한이 있는지 확인합니다.

    필수 권한

    멤버 계정 역할에는 관리 계정의 가드레일에 대한 bedrock:ApplyGuardrail 권한이 필요합니다. 자세한 IAM 정책 예제Amazon Bedrock Guardrails 사용 권한 설정는 섹션을 참조하세요.

    확인

    멤버 계정에서 범위가 축소된 권한이 있는 역할이 가드레일을 사용하여 ApplyGuardrail API를 성공적으로 호출할 수 있는지 확인합니다.

  6. 에서 Amazon Bedrock 정책 유형 활성화AWS Organizations

    • 사용 AWS Management 콘솔- 콘솔을 사용하여 Amazon Bedrock 정책 유형을 활성화하려면:

      1. AWS Organizations콘솔로 이동합니다.

      2. 정책 선택

      3. Amazon Bedrock 정책 선택(현재 미리 보기 중)

      4. Amazon Bedrock 정책 활성화를 선택하여 조직의 Amazon Bedrock 정책 유형을 활성화합니다.

    • API 사용 - 정책 유형과 함께 AWS OrganizationsEnablePolicyType API 사용 BEDROCK_POLICY

    확인

    AWS Organizations콘솔에서 Amazon Bedrock 정책 유형이 활성화된 것으로 표시되는지 확인합니다.

  7. AWS Organizations정책 생성 및 연결

    가드레일을 지정하는 관리 정책을 생성하여 대상 계정 또는 OUs에 연결합니다.

    • 사용 AWS Management 콘솔- 콘솔을 사용하여 AWS Organizations정책을 생성하고 연결하려면:

      1. AWS Organizations콘솔에서 정책 > Amazon Bedrock 정책으로 이동합니다.

      2. 정책 생성(Create policy)을 선택합니다.

      3. 가드레일 ARN 및 버전 지정

      4. input_tags 설정을 구성합니다(멤버 계정이 가드레일 입력 태그를 통해 입력의 가드레일을 우회하지 못하도록 무시하도록 설정됨).

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. 정책 저장

      6. 대상 탭으로 이동하여 연결을 선택하여 원하는 대상(조직 루트, OUs 또는 개별 계정)에 정책을 연결합니다.

    • API 사용 - 정책 유형이 인 AWS OrganizationsCreatePolicy API를 사용합니다BEDROCK_POLICY. AttachPolicy를 사용하여 대상에 연결

    자세히 알아보기: 의 Amazon Bedrock 정책AWS Organizations

    확인

    정책이 AWS Organizations콘솔의 올바른 대상에 연결되어 있는지 확인합니다.

  8. 적용 테스트 및 확인

    가드레일이 멤버 계정에 적용되고 있는지 테스트합니다.

    적용되는 가드레일 확인

    • 사용 AWS Management 콘솔- 멤버 계정에서 Amazon Bedrock 콘솔로 이동하여 왼쪽 패널에서 가드레일을 클릭합니다. 가드레일 홈 페이지의 관리 계정의 조직 수준 적용 구성 및 멤버 계정의 조직 수준 적용 가드레일 섹션에 조직이 적용한 가드레일이 표시됩니다.

    • API 사용 - 멤버 계정에서 멤버 계정 ID를 대상 ID로 사용하여 DescribeEffectivePolicy를 호출합니다.

    멤버 계정에서 테스트

    1. InvokeModel, InvokeModelWithResponseStream, Converse 또는 ConverseStream을 사용하여 Amazon Bedrock 추론 호출을 수행합니다.

    2. 적용 가드레일은 입력과 출력 모두에 자동으로 적용되어야 합니다.

    3. 가드레일 평가 정보는 응답을 확인하세요. 가드레일 응답에는 적용된 가드레일 정보가 포함됩니다.

자습서: 계정 수준 적용

이 자습서에서는 단일 AWS계정 내에서 가드레일 적용을 설정하는 방법을 안내합니다. 결국 계정의 모든 Amazon Bedrock 모델 호출에 자동으로 적용되는 가드레일이 생깁니다.

이 자습서를 따라야 하는 사람

AWS가드레일을 생성하고 계정 수준 설정을 구성할 수 있는 권한이 있는 계정 관리자.

필요한 사항

이 자습서를 완료하려면 다음이 필요합니다.

  • 적절한 IAM 권한이 있는 AWS계정

  • 계정의 안전 요구 사항 이해

계정 수준 가드레일 적용을 설정하려면
  1. 가드레일 구성 계획
    보호 정의

    보호 장치를 정의하려면:

    • Amazon Bedrock Guardrails 설명서에서 사용 가능한 가드레일 필터 검토

    • 필요한 필터를 식별합니다. 현재 콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터, 컨텍스트 근거 확인이 지원됩니다.

    • 참고: 자동 추론 정책은 가드레일 적용에 지원되지 않으므로 포함하지 마십시오. 그러면 런타임 오류가 발생합니다.

  2. 가드레일 생성

    가드레일을 적용하려는 모든 리전에서 가드레일을 생성합니다.

    경유AWS Management 콘솔

    콘솔을 사용하여 가드레일을 생성하려면:

    1. Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명AWS Management 콘솔으로에 로그인합니다. 그 다음 https://console.aws.amazon.com/bedrock에서 Amazon Bedrock 콘솔을 엽니다.

    2. 왼쪽 탐색 패널에서 가드레일을 선택합니다.

    3. 가드레일 생성을 선택합니다.

    4. 마법사에 따라 원하는 정책(콘텐츠 필터, 거부된 주제, 단어 필터, 민감한 정보 필터)을 구성합니다.

    5. 자동 추론 정책을 활성화하지 마십시오.

    6. 마법사를 완료하여 가드레일을 생성합니다.

    API를 통해

    CreateGuardrail API를 사용합니다.

    확인

    생성되면 가드레일 랜딩 페이지의 가드레일 목록에 표시되거나 가드레일 이름을 사용하여 가드레일 목록에서 검색해야 합니다.

  3. 가드레일 버전 생성

    가드레일 구성을 변경할 수 없고 멤버 계정에서 수정할 수 없도록 숫자 버전을 생성합니다.

    경유AWS Management 콘솔

    콘솔을 사용하여 가드레일 버전을 생성하려면:

    1. Amazon Bedrock 콘솔의 가드레일 페이지에서 이전 단계에서 생성된 가드레일을 선택합니다.

    2. 버전 생성을 선택합니다.

    3. 가드레일 ARN과 버전 번호(예: "1", "2" 등)를 기록해 둡니다.

    API를 통해

    CreateGuardrailVersion API를 사용합니다.

    확인

    가드레일 세부 정보 페이지에서 버전 목록을 확인하여 버전이 성공적으로 생성되었는지 확인합니다.

  4. 리소스 기반 정책 연결(선택 사항)

    계정의 특정 역할과 가드레일을 공유하려면 리소스 기반 정책을 연결합니다.

    경유AWS Management 콘솔

    콘솔을 사용하여 리소스 기반 정책을 연결하려면:

    1. Amazon Bedrock Guardrails 콘솔에서 가드레일을 선택합니다.

    2. 추가를 클릭하여 리소스 기반 정책을 추가합니다.

    3. 원하는 역할에 bedrock:ApplyGuardrail 권한을 부여하는 정책 추가

    4. 정책 저장

  5. 계정 수준 적용 활성화

    모든 Amazon Bedrock 호출에 가드레일을 사용하도록 계정을 구성합니다. 이 작업은 적용하려는 모든 리전에서 수행해야 합니다.

    경유AWS Management 콘솔

    콘솔을 사용하여 계정 수준 적용을 활성화하려면:

    1. Amazon Bedrock 콘솔로 이동합니다.

    2. 왼쪽 탐색 패널에서 가드레일을 선택합니다.

    3. 계정 수준 적용 구성 섹션에서 추가를 선택합니다.

    4. 가드레일 및 버전 선택

    5. input_tags 설정을 구성합니다(멤버 계정이 가드레일 입력 태그를 통해 입력의 가드레일을 우회하지 않도록 IGNORE로 설정).

    6. 구성 제출

    7. 적용하려는 각 리전에 대해 반복합니다.

    API를 통해

    가드레일을 적용하려는 모든 리전에서 PutEnforcedGuardrailConfiguration API 사용

    확인

    가드레일 페이지의 계정 적용 가드레일 구성 섹션에 계정 적용 가드레일이 표시됩니다. ListEnforcedGuardrailsConfiguration API를 호출하여 적용 가드레일이 나열되도록 할 수 있습니다.

  6. 적용 테스트 및 확인
    계정의 역할을 사용하여 테스트

    계정에서 적용을 테스트하려면:

    1. InvokeModel, ConverseInvokeModelWithResponseStream, 또는를 사용하여 Amazon Bedrock 추론 호출 수행 ConverseStream

    2. 계정 적용 가드레일은 입력과 출력 모두에 자동으로 적용되어야 합니다.

    3. 가드레일 평가 정보는 응답을 확인하세요. 가드레일 응답에는 적용된 가드레일 정보가 포함됩니다.

모니터링

가격 책정

Amazon Bedrock Guardrails 적용은 구성된 보호 장치당 사용된 텍스트 단위 수를 기반으로 Amazon Bedrock Guardrails에 대한 현재 요금 모델을 따릅니다. 요금은 구성된 보호 장치에 따라 적용되는 각 가드레일에 적용됩니다. 개별 보호 조치에 대한 자세한 요금 정보는 Amazon Bedrock 요금을 참조하세요.

FAQ

적용 가드레일이 적용될 때 할당량에 대한 소비는 어떻게 계산되나요?

소비는 각 요청과 연결된 가드레일 ARN별로 계산되며 API 호출을 수행하는 AWS계정에 포함됩니다. 예를 들어 텍스트가 1,000자이고 가드레일이 3개인 ApplyGuardrail 호출은 가드레일의 보호마다 가드레일당 3개의 텍스트 소비 단위를 생성합니다.

Amazon Bedrock 정책을 사용한 멤버 계정 호출은 멤버 계정의 Service Quotas에 포함됩니다. Service Quotas 콘솔 또는 Service Quotas 설명서를 검토하고 Guardrails 런타임 제한이 통화 볼륨에 충분한지 확인합니다.

멤버 계정이 입력 태그를 사용하여 가드레일을 우회하지 못하도록 하려면 어떻게 해야 합니까?

다음에서 사용할 수 있는 input_tags 컨트롤을 사용합니다.

멤버 계정이 부분 콘텐츠에 태그를 지정하지 못하도록 무시할 값을 설정합니다.

요청에 조직 수준 및 계정 수준 적용 가드레일과 가드레일이 모두 있는 경우 어떻게 되나요?

실행 시간에 3개의 가드레일이 모두 적용됩니다. 순 효과는 가장 제한적인 제어가 우선하는 모든 가드레일의 조합입니다.

가드레일을 지원하지 않는 모델은 어떻게 되나요?

가드레일이 지원되지 않는 모델(예: 모델 임베딩)의 경우 런타임 검증 오류가 발생합니다.

적용 구성에서 사용 중인 가드레일을 삭제할 수 있나요?

아니요. 기본적으로 DeleteGuardrail API는 계정 수준 또는 조직 수준 적용 구성과 연결된 가드레일의 삭제를 방지합니다.