View a markdown version of this page

Aplique proteções entre contas com as imposições do Amazon Bedrock Guardrails - Amazon Bedrock
Guia de implementaçãoMonitoramentoPreçosPerguntas frequentes

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aplique proteções entre contas com as imposições do Amazon Bedrock Guardrails

O Amazon Bedrock Guardrails permite que você aplique automaticamente proteções em várias contas em uma organização por meio das políticas do Amazon AWS Organizations Bedrock. Isso permite proteção uniforme em todas as contas com controle e gerenciamento centralizados. Além disso, esse recurso também oferece flexibilidade para aplicar controles em nível de conta e específicos do aplicativo, dependendo dos requisitos do caso de uso.

Capacidades gerais

A seguir estão os principais recursos da fiscalização de grades de proteção:

  • Aplicação em nível organizacional — aplique proteções para todas as invocações de modelo com o Amazon Bedrock em todas as unidades da organização (OUs), contas individuais ou em toda a organização usando as políticas do Amazon Bedrock com. AWS Organizations

  • Aplicação em nível de conta — designe uma versão específica de uma grade de proteção em uma conta AWS para todas as invocações do modelo Amazon Bedrock dessa conta.

  • Proteção em camadas — Combine grades de proteção específicas da organização e do aplicativo quando ambas estiverem presentes. O controle de segurança efetivo será uma união de ambas as grades de proteção com os controles mais restritivos, tendo precedência no caso do mesmo controle de ambas as grades de proteção.

Os tópicos a seguir descrevem como usar as imposições do Amazon Bedrock Guardrails:

Guia de implementação

As etapas abaixo fornecem detalhes sobre a implementação de medidas de proteção para contas dentro de uma AWS organização e para uma única conta. AWS Com essas imposições, todas as invocações de modelo para o Amazon Bedrock aplicarão as proteções configuradas dentro da grade de proteção designada.

Aplicação em nível organizacional

Esta seção detalha a configuração da fiscalização de proteções em sua AWS organização. Depois de configurado, você terá uma grade de proteção que se aplica automaticamente a todas as invocações do modelo Amazon Bedrock em contas especificadas ou. OUs

Pré-requisitos

AWS Administradores da organização (com acesso à conta de gerenciamento) com permissões para criar proteções e gerenciar políticas. AWS Organizations

O que você precisará

O seguinte é obrigatório:

Para configurar a fiscalização de proteções em nível organizacional
  1. Planeje sua configuração de guardrail

    1. Defina suas salvaguardas:

      • Analise os filtros de proteção disponíveis na documentação do Amazon Bedrock Guardrails

      • Identifique qual filtro você precisa. Atualmente, há suporte para filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais e verificações contextuais de fundamentação.

      • Importante

        Não inclua a política de raciocínio automatizado, pois ela não tem suporte para imposições de proteção e causará falhas no tempo de execução.

    2. Identifique as contas-alvo:

      • Determine quais OUs contas ou toda a sua organização terão essa proteção aplicada

  2. Crie sua grade de proteção na conta de gerenciamento

    Crie uma grade de proteção em cada região em que você deseja aplicá-la com um dos seguintes métodos:

    • Usando o Console de gerenciamento da AWS:

      1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

      2. No painel de navegação esquerdo, escolha Guardrails

      3. Escolha Criar guarda-corpo

      4. Siga o assistente para configurar os filtros ou proteções desejados (filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais, verificações contextuais de aterramento)

      5. Não habilite a política de raciocínio automatizado

      6. Complete o assistente para criar sua grade de proteção

    • Usando a API: Use a CreateGuardrailAPI

    Verificar

    Depois de criado, você deve vê-lo na lista de grades de proteção na página inicial do Guardrails ou procurá-lo na lista de grades de proteção usando o nome do guarda-corpo

  3. Crie uma versão de guardrail

    Crie uma versão numérica para garantir que a configuração do guardrail permaneça imutável e não possa ser modificada pelas contas dos membros.

    • Usando o Console de gerenciamento da AWS:

      1. Selecione a grade de proteção criada na etapa anterior na página Guardrails no console do Amazon Bedrock.

      2. Escolha Criar versão

      3. Observe o ARN do guarda-corpo e o número da versão (por exemplo, “1", “2")

    • Usando a API: Use a CreateGuardrailVersionAPI

    Verificar

    Confirme se a versão foi criada com sucesso verificando a lista de versões na página de detalhes do Guardrail.

  4. Anexe uma política baseada em recursos

    Habilite o acesso entre contas anexando uma política baseada em recursos à sua grade de proteção.

    Verificar

    Teste o acesso de uma conta de membro usando a ApplyGuardrailAPI para garantir que a autorização seja configurada corretamente.

  5. Configurar permissões do IAM nas contas dos membros

    Certifique-se de que todas as funções nas contas dos membros tenham permissões do IAM para acessar a grade de proteção aplicada.

    Permissões obrigatórias

    As funções da conta de membro precisam de bedrock:ApplyGuardrail permissão para a grade de proteção da conta de gerenciamento. Consulte Configurar permissões para usar Barreiras de Proteção do Amazon Bedrock para obter exemplos detalhados de políticas do IAM

    Verificar

    Confirme se as funções com permissões reduzidas nas contas dos membros podem chamar a ApplyGuardrail API com sucesso com o guardrail.

  6. Habilite a política Amazon Bedrock. Digite AWS Organizations

    • Usando o Console de gerenciamento da AWS — Para habilitar a política Amazon Bedrock, digite usando o console:

      1. Navegue até o AWS Organizations console

      2. Escolha políticas

      3. Escolha as políticas do Amazon Bedrock

      4. Escolha Ativar políticas do Amazon Bedrock para habilitar o tipo de política Amazon Bedrock para sua organização.

    • Usando a API — Use a AWS Organizations EnablePolicyTypeAPI com o tipo de política BEDROCK_POLICY

    Verificar

    Confirme se o tipo de política do Amazon Bedrock aparece como ativado no AWS Organizations console.

  7. Crie e anexe uma AWS Organizations política

    Crie uma política de gerenciamento que especifique sua grade de proteção e a anexe às suas contas de destino ou. OUs

    • Usando o Console de gerenciamento da AWS — Para criar e anexar uma AWS Organizations política usando o console:

      1. No AWS Organizations console, navegue até Políticas > Políticas do Amazon Bedrock

      2. Escolha Criar política.

      3. Especifique o ARN e a versão do guardrail

        Importante

        Verifique se você está especificando o ARN preciso do guardrail na política. Especificar um ARN incorreto ou inválido resultará em violações de políticas, não aplicação de salvaguardas e na incapacidade de usar os modelos no Amazon Bedrock para inferência.

      4. Configure controles seletivos de proteção de conteúdo (opcional).

        • O Amazon Bedrock APIs permite que os chamadores marquem conteúdo específico em seus prompts de entrada para avaliação do guardrail.

        • Os controles seletivos de proteção de conteúdo permitem que os administradores decidam se devem honrar as decisões de marcação tomadas pelos chamadores da API.

        • Os messages controles system e determinam como as solicitações do sistema e o conteúdo das mensagens são processados por grades de proteção. Cada um aceita um dos seguintes valores:

          • Seletivo: avalie somente o conteúdo dentro das tags de proteção de conteúdo. Quando nenhuma tag é especificada, o comportamento depende do controle. Poissystem, nenhum conteúdo é avaliado e, paramessages, todo o conteúdo é avaliado.

          • Abrangente: avalie todo o conteúdo, independentemente das tags de proteção de conteúdo.

        • Se não estiverem configurados, os dois controles assumem como padrão Abrangente.

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
                    },
                    "selective_content_guarding": {
                        "system": {
                            "@@assign": "selective"
                        },
                        "messages": {
                            "@@assign": "comprehensive"
                        }
                    },
                    "model_enforcement": {
                        "included_models": {
                            "@@assign": ["ALL"]
                        },
                        "excluded_models": {
                            "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
                        }
                    }
                }
            }
        }
    }
}

      5. Salve a política

      6. Anexe a política aos alvos desejados (contas raiz da organização ou contas individuais) navegando até a guia Metas e escolhendo Anexar OUs

    • Usando a API — Use a AWS Organizations CreatePolicyAPI com o tipo de políticaBEDROCK_POLICY. Use AttachPolicypara anexar aos alvos

    Saiba mais: Políticas do Amazon Bedrock em AWS Organizations

    Verificar

    Verifique se a política está conectada aos alvos corretos no AWS Organizations console.

  8. Teste e verifique a aplicação

    Teste se a grade de proteção está sendo aplicada às contas dos membros.

    Verifique qual grade de proteção é aplicada

    • Usando o Console de gerenciamento da AWS — Em uma conta de membro, navegue até o console Amazon Bedrock e escolha Guardrails no painel de navegação esquerdo. Na página inicial do Guardrails, você deve ver a proteção aplicada pela organização na seção Configurações de fiscalização em nível de organização na conta de gerenciamento e Proteções aplicadas em nível de organização na conta de membro

    • Usando a API — Em uma conta de membro, ligue DescribeEffectivePolicycom o ID da sua conta de membro como ID de destino

    Teste a partir de uma conta de membro

    1. Faça uma chamada de inferência do Amazon Bedrock usando InvokeModel, InvokeModelWithResponseStream, Converse ou. ConverseStream

    2. O corrimão imposto deve ser aplicado automaticamente às entradas e saídas

    3. Verifique a resposta para obter informações sobre a avaliação da grade de proteção. A resposta da grade de proteção incluirá informações forçadas da grade de proteção.

Aplicação em nível de conta

Esta seção detalha a configuração da fiscalização de proteção em uma única AWS conta. Depois de configurado, você terá uma grade de proteção que se aplica automaticamente a todas as invocações do modelo Amazon Bedrock em sua conta.

Pré-requisitos

AWS administradores de contas com permissões para criar grades de proteção e definir configurações no nível da conta.

O que você precisará

O seguinte é obrigatório:

  • Uma AWS conta com as permissões apropriadas do IAM

  • Compreensão dos requisitos de segurança da sua conta

Para configurar a fiscalização de proteções em nível de conta
  1. Planeje sua configuração de guardrail
    Defina suas salvaguardas

    Para definir suas salvaguardas:

    • Analise os filtros de proteção disponíveis na documentação do Amazon Bedrock Guardrails

    • Identifique qual filtro você precisa. Atualmente, há suporte para filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais e verificações contextuais de fundamentação.

    • Importante

      Não inclua a política de raciocínio automatizado, pois ela não tem suporte para imposições de proteção e causará falhas no tempo de execução

  2. Criar uma barreira de proteção

    Crie uma grade de proteção em todas as regiões em que você deseja aplicá-la.

    Via Console de gerenciamento da AWS

    Para criar uma grade de proteção usando o console:

    1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

    2. No painel de navegação esquerdo, escolha Guardrails

    3. Escolha Criar guarda-corpo

    4. Siga o assistente para configurar as políticas desejadas (filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais)

    5. Não habilite a política de raciocínio automatizado

    6. Complete o assistente para criar sua grade de proteção

    Por meio da API

    Usar a API CreateGuardrail

    Verificar

    Depois de criado, você deve vê-lo na lista de grades de proteção na página inicial do Guardrails ou procurá-lo na lista de grades de proteção usando o nome do guarda-corpo

  3. Crie uma versão de guardrail

    Crie uma versão numérica para garantir que a configuração do guardrail permaneça imutável e não possa ser modificada pelas contas dos membros.

    Via Console de gerenciamento da AWS

    Para criar uma versão de guardrail usando o console:

    1. Selecione a grade de proteção criada na etapa anterior na página Guardrails no console do Amazon Bedrock.

    2. Escolha Criar versão

    3. Observe o ARN do guarda-corpo e o número da versão (por exemplo, “1", “2")

    Por meio da API

    Usar a API CreateGuardrailVersion

    Verificar

    Confirme se a versão foi criada com sucesso verificando a lista de versões na página de detalhes do Guardrail.

  4. Anexe uma política baseada em recursos (opcional)

    Se você quiser compartilhar a grade de proteção com funções específicas em sua conta, anexe uma política baseada em recursos.

    Via Console de gerenciamento da AWS

    Para anexar uma política baseada em recursos usando o console:

    1. No console Amazon Bedrock Guardrails, selecione seu guarda-corpo

    2. Escolha Adicionar para adicionar uma política baseada em recursos

    3. Adicione uma política que conceda bedrock:ApplyGuardrail permissão às funções desejadas

    4. Salve a política

  5. Habilite a fiscalização em nível de conta

    Configure a conta para usar sua grade de proteção para todas as invocações do Amazon Bedrock. Isso deve ser feito em todas as regiões em que você deseja fiscalização.

    Via Console de gerenciamento da AWS

    Para ativar a fiscalização em nível de conta usando o console:

    1. Navegue até o console Amazon Bedrock

    2. Escolha Guardrails no painel de navegação esquerdo

    3. Na seção Configurações de fiscalização em nível de conta, escolha Adicionar

    4. Selecione sua grade de proteção e versão

    5. Configure controles seletivos de proteção de conteúdo (opcional).

      • O Amazon Bedrock APIs permite que os chamadores marquem conteúdo específico em seus prompts de entrada para avaliação do guardrail.

      • Os controles seletivos de proteção de conteúdo permitem que os administradores decidam se devem honrar as decisões de marcação tomadas pelos chamadores da API.

      • Os messages controles system e determinam como as solicitações do sistema e o conteúdo das mensagens são processados por grades de proteção. Cada um aceita um dos seguintes valores:

        • Seletivo: avalie somente o conteúdo dentro das tags de proteção de conteúdo.

        • Abrangente: avalie todo o conteúdo, independentemente das tags de proteção de conteúdo.

      • Se não estiverem configurados, os dois controles assumem como padrão Abrangente.

    6. Envie a configuração

    7. Repita o procedimento para cada região em que você deseja a fiscalização

    Por meio da API

    Use a PutEnforcedGuardrailConfiguration API em todas as regiões em que você deseja aplicar o guardrail

    Verificar

    Você deve ver a proteção aplicada à conta na seção Configuração da proteção aplicada à conta na página Guardrails. Você pode chamar a ListEnforcedGuardrailsConfigurationAPI para garantir que a grade de proteção aplicada esteja listada.

  6. Teste e verifique a aplicação
    Teste usando uma função em sua conta

    Para testar a fiscalização em sua conta:

    1. Faça uma chamada de inferência do Amazon Bedrock usandoInvokeModel,,Converse, ou InvokeModelWithResponseStream ConverseStream

    2. A grade de proteção aplicada pela conta deve ser aplicada automaticamente às entradas e saídas

    3. Verifique a resposta para obter informações sobre a avaliação da grade de proteção. A resposta da grade de proteção incluirá informações forçadas da grade de proteção.

Monitoramento

  • Acompanhe intervenções e métricas de guardrail usando CloudWatch métricas para Amazon Bedrock Guardrails

  • Analise CloudTrail os registros de chamadas de ApplyGuardrail API para monitorar padrões de uso, como AccessDenied exceções que indicam problemas de configuração de permissão do IAM. Veja os eventos de dados do Amazon Bedrock em CloudTrail

Preços

A aplicação do Amazon Bedrock Guardrails segue o modelo de preços atual do Amazon Bedrock Guardrails com base no número de unidades de texto consumidas por proteção configurada. As cobranças se aplicam a cada grade de proteção aplicada de acordo com suas proteções configuradas. Para obter informações detalhadas sobre preços de salvaguardas individuais, consulte Amazon Bedrock Pricing.

Perguntas frequentes

Como o consumo em relação às cotas é calculado quando as grades de proteção impostas se aplicam?

O consumo será calculado por ARN de proteção associado a cada solicitação e será contabilizado na AWS conta que está fazendo a chamada de API. Por exemplo: uma ApplyGuardrail chamada com 1000 caracteres de texto e 3 grades de proteção geraria 3 unidades de consumo de texto por proteção por proteção na grade de proteção.

As chamadas para contas de membros usando a Amazon Bedrock Policy contarão para as Quotas de Serviço da conta de membro. Analise o Service Quotas Console ou a documentação de Service Quotas e certifique-se de que os limites de tempo de execução do Guardrails sejam suficientes para o volume de chamadas.

O que acontece se eu tiver barreiras de proteção impostas em nível organizacional e em nível de conta, bem como uma grade de proteção em minha solicitação?

Todas as 3 grades de proteção serão aplicadas em tempo de execução. O efeito final é a união de todas as grades de proteção, com o controle mais restritivo tendo precedência.

Quando devo usar o controle de proteção seletivo ou abrangente?

Use o Selective quando você confia nos chamadores para marcar o conteúdo certo e quiser reduzir o processamento desnecessário de proteções. Isso é útil quando os chamadores lidam com uma mistura de conteúdo pré-validado e gerado pelo usuário e precisam apenas de proteções aplicadas a partes específicas. Use Abrangente quando quiser impor barreiras de proteção em tudo, independentemente das tags do chamador. Esse é o padrão mais seguro quando você não quer confiar nos chamadores para identificar corretamente o conteúdo confidencial.

Como posso incluir ou excluir determinados modelos da fiscalização?

Use o controle de imposição de modelos para definir quais modelos no Amazon Bedrock uma grade de proteção se aplica para inferência. Se não for configurada, a fiscalização se aplica a todos os modelos no Amazon Bedrock por padrão. Esse controle aceita as seguintes listas:

  • Modelos incluídos: modelos para reforçar a grade de proteção. Aceita identificadores de modelo específicos ou a palavra-chave ALL para incluir explicitamente todos os modelos. Quando vazia, a fiscalização se aplica a todos os modelos.

  • Modelos excluídos: modelos a serem excluídos da fiscalização do guarda-corpo. Quando vazio, nenhum modelo é excluído.

Se um modelo aparecer nas duas listas, ele será excluído.

Quando devo usar modelos de inclusão versus exclusão?

  • Use os modelos incluídos quando quiser aplicar a grade de proteção somente em modelos específicos.

  • Use modelos excluídos quando quiser uma aplicação ampla, mas precisar criar exceções para modelos específicos.

Posso excluir uma grade de proteção que está sendo usada em uma configuração de fiscalização?

Não. Por padrão, a DeleteGuardrailAPI impede a exclusão de barreiras associadas às configurações de fiscalização em nível de conta ou organização.