Aplique proteções entre contas com as imposições do Amazon Bedrock Guardrails - Amazon Bedrock
Guia de implementaçãoMonitoramento PreçosPerguntas frequentes

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aplique proteções entre contas com as imposições do Amazon Bedrock Guardrails

nota

As imposições do Amazon Bedrock Guardrails estão em versão prévia e estão sujeitas a alterações.

As imposições do Amazon Bedrock Guardrails permitem que você aplique automaticamente controles de segurança em um nível de AWS conta e em um AWS Organizations nível (entre contas) para todas as invocações de modelo com o Amazon Bedrock. Essa abordagem centralizada mantém proteções consistentes em várias contas e aplicativos, eliminando a necessidade de configurar grades de proteção para contas e aplicativos individuais.

Capacidades gerais

A seguir estão os principais recursos da fiscalização de grades de proteção:

  • Aplicação em nível organizacional — aplique proteções para todas as invocações de modelo com o Amazon Bedrock em todas as unidades da organização (OUs), contas individuais ou toda a organização usando as políticas do Amazon Bedrock (em versão prévia) com. AWS Organizations

  • Aplicação em nível de conta — designe uma versão específica de uma grade de proteção em uma conta AWS para todas as invocações do modelo Amazon Bedrock dessa conta.

  • Proteção em camadas — Combine grades de proteção específicas da organização e do aplicativo quando ambas estiverem presentes. O controle de segurança efetivo será uma união de ambas as grades de proteção com os controles mais restritivos, tendo precedência no caso do mesmo controle de ambas as grades de proteção.

Os tópicos a seguir descrevem como usar as imposições do Amazon Bedrock Guardrails:

Guia de implementação

Os tutoriais abaixo descrevem as etapas necessárias para aplicar barreiras de proteção para contas com uma AWS organização e para uma única conta. AWS Com essas imposições, todas as invocações de modelo para o Amazon Bedrock aplicarão as proteções configuradas dentro da grade de proteção designada.

Tutorial: Aplicação em nível organizacional

Este tutorial explica como configurar a fiscalização da proteção em toda a sua AWS organização. Ao final, você terá uma grade de proteção que se aplica automaticamente a todas as invocações do modelo Amazon Bedrock em contas especificadas ou. OUs

Quem deve seguir este tutorial

AWSAdministradores da organização (com acesso à conta de gerenciamento) com permissões para criar proteções e gerenciar políticas. AWS Organizations

O que você precisará

O seguinte é necessário para concluir este tutorial:

Para configurar a fiscalização de proteções em nível organizacional
  1. Planeje sua configuração de guardrail

    1. Defina suas salvaguardas:

      • Analise os filtros de guardrail disponíveis na documentação do Amazon Bedrock Guardrails

      • Identifique qual filtro você precisa. Atualmente, há suporte para filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais e verificações contextuais de fundamentação.

      • Observação: não inclua a política de raciocínio automatizado, pois ela não tem suporte para imposições de proteção e causará falhas no tempo de execução.

    2. Identifique as contas-alvo:

      • Determine quais OUs contas ou toda a sua organização terão essa proteção aplicada

  2. Crie sua grade de proteção na conta de gerenciamento

    Crie uma grade de proteção em cada região em que você deseja aplicá-la com um dos seguintes métodos:

    • Usando oConsole de gerenciamento da AWS:

      1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

      2. No painel de navegação esquerdo, escolha Guardrails

      3. Escolha Criar guarda-corpo

      4. Siga o assistente para configurar os filtros ou proteções desejados (filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais, verificações contextuais de aterramento)

      5. Não ative a política de raciocínio automatizado

      6. Complete o assistente para criar sua grade de proteção

    • Usando a API: Use a CreateGuardrailAPI

    Verificar

    Depois de criado, você deve vê-lo na lista de grades de proteção na página inicial do Guardrails ou procurá-lo na lista de grades de proteção usando o nome do guarda-corpo

  3. Crie uma versão do Guardrail

    Crie uma versão numérica para garantir que a configuração do guardrail permaneça imutável e não possa ser modificada pelas contas dos membros.

    • Usando oConsole de gerenciamento da AWS:

      1. Selecione a grade de proteção criada na etapa anterior na página Guardrails no console do Amazon Bedrock

      2. Escolha Criar versão

      3. Observe o ARN do guardrail e o número da versão (por exemplo, “1", “2" etc.)

    • Usando a API: Use a CreateGuardrailVersionAPI

    Verificar

    Confirme se a versão foi criada com sucesso verificando a lista de versões na página de detalhes do Guardrail.

  4. Anexe uma política baseada em recursos

    Habilite o acesso entre contas anexando uma política baseada em recursos à sua grade de proteção.

    Verificar

    Teste o acesso de uma conta de membro usando a ApplyGuardrailAPI para garantir que a autorização seja configurada corretamente.

  5. Configurar permissões do IAM em contas de membros

    Certifique-se de que todas as funções nas contas dos membros tenham permissões do IAM para acessar a grade de proteção aplicada.

    Permissões obrigatórias

    As funções da conta de membro precisam de bedrock:ApplyGuardrail permissão para a grade de proteção da conta de gerenciamento. Consulte Configurar permissões para usar Barreiras de Proteção do Amazon Bedrock para obter exemplos detalhados de políticas do IAM

    Verificar

    Confirme se as funções com permissões reduzidas nas contas dos membros podem chamar a ApplyGuardrail API com sucesso com o guardrail.

  6. Ative a política Amazon Bedrock. Digite AWS Organizations

    • Usando o Console de gerenciamento da AWS — Para habilitar a política Amazon Bedrock, digite usando o console:

      1. Navegue até o AWS Organizations console

      2. Escolha políticas

      3. Escolha as políticas do Amazon Bedrock (atualmente em versão prévia)

      4. Escolha Habilitar políticas do Amazon Bedrock para habilitar o tipo de política Amazon Bedrock para sua organização

    • Usando a API — Use a AWS Organizations EnablePolicyTypeAPI com o tipo de política BEDROCK_POLICY

    Verificar

    Confirme se o tipo de política do Amazon Bedrock aparece como ativado no AWS Organizations console.

  7. Criar e anexar uma AWS Organizations política

    Crie uma política de gerenciamento que especifique sua grade de proteção e a anexe às suas contas de destino ou. OUs

    • Usando o Console de gerenciamento da AWS — Para criar e anexar uma AWS Organizations política usando o console:

      1. No AWS Organizations console, navegue até Políticas > Políticas do Amazon Bedrock

      2. Escolha Criar política.

      3. Especifique o ARN e a versão do guarda-corpo

      4. input_tagsDefina a configuração (defina como ignorar para evitar que as contas dos membros contornem a grade de proteção na entrada por meio de etiquetas de entrada de grades de proteção).

        {
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
                    },
                    "input_tags": {
                        "@@assign": "honor"
                    }
                }
            }
        }
    }
}

      5. Salve a política

      6. Anexe a política aos alvos desejados (contas raiz da organização ou contas individuais) navegando até a guia Metas e escolhendo Anexar OUs

    • Usando a API — Use a AWS Organizations CreatePolicyAPI com o tipo de políticaBEDROCK_POLICY. Use AttachPolicypara anexar aos alvos

    Saiba mais: Políticas do Amazon Bedrock em AWS Organizations

    Verificar

    Verifique se a política está conectada aos alvos corretos no AWS Organizations console.

  8. Teste e verifique a aplicação

    Teste se a grade de proteção está sendo aplicada às contas dos membros.

    Verifique qual corrimão é aplicado

    • Usando o Console de gerenciamento da AWS — Em uma conta de membro, navegue até o console Amazon Bedrock e clique em Guardrails no painel esquerdo. Na página inicial do Guardrails, você deve ver a proteção aplicada pela organização na seção Configurações de fiscalização em nível de organização na conta de gerenciamento e Proteções aplicadas em nível de organização na conta de membro

    • Usando a API — Em uma conta de membro, ligue DescribeEffectivePolicycom o ID da sua conta de membro como ID de destino

    Teste a partir de uma conta de membro

    1. Faça uma chamada de inferência do Amazon Bedrock usando InvokeModel, InvokeModelWithResponseStream, Converse ou. ConverseStream

    2. O corrimão imposto deve ser aplicado automaticamente às entradas e saídas

    3. Verifique a resposta para obter informações sobre a avaliação da grade de proteção. A resposta da grade de proteção incluirá informações forçadas da grade de proteção.

Tutorial: Aplicação em nível de conta

Este tutorial explica como configurar a fiscalização da proteção em uma única AWS conta. Ao final, você terá uma grade de proteção que se aplica automaticamente a todas as invocações do modelo Amazon Bedrock em sua conta.

Quem deve seguir este tutorial

AWSadministradores de contas com permissões para criar grades de proteção e definir configurações no nível da conta.

O que você precisará

O seguinte é necessário para concluir este tutorial:

  • Uma AWS conta com as permissões apropriadas do IAM

  • Compreensão dos requisitos de segurança da sua conta

Para configurar a fiscalização da proteção em nível de conta
  1. Planeje sua configuração de guardrail
    Defina suas proteções

    Para definir suas salvaguardas:

    • Analise os filtros de guardrail disponíveis na documentação do Amazon Bedrock Guardrails

    • Identifique qual filtro você precisa. Atualmente, há suporte para filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais e verificações contextuais de fundamentação.

    • Observação: não inclua a política de raciocínio automatizado, pois ela não tem suporte para imposições de proteção e causará falhas no tempo de execução

  2. Criar uma barreira de proteção

    Crie uma grade de proteção em cada região em que você deseja aplicá-la.

    Via Console de gerenciamento da AWS

    Para criar uma grade de proteção usando o console:

    1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

    2. No painel de navegação esquerdo, escolha Guardrails

    3. Escolha Criar guarda-corpo

    4. Siga o assistente para configurar as políticas desejadas (filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais)

    5. Não ative a política de raciocínio automatizado

    6. Complete o assistente para criar sua grade de proteção

    Via API

    Usar a API CreateGuardrail

    Verificar

    Depois de criado, você deve vê-lo na lista de grades de proteção na página inicial do Guardrails ou procurá-lo na lista de grades de proteção usando o nome do guarda-corpo

  3. Crie uma versão de guardrail

    Crie uma versão numérica para garantir que a configuração do guardrail permaneça imutável e não possa ser modificada pelas contas dos membros.

    Via Console de gerenciamento da AWS

    Para criar uma versão de guardrail usando o console:

    1. Selecione a grade de proteção criada na etapa anterior na página Guardrails no console do Amazon Bedrock

    2. Escolha Criar versão

    3. Observe o ARN do guardrail e o número da versão (por exemplo, “1", “2" etc.)

    Via API

    Usar a API CreateGuardrailVersion

    Verificar

    Confirme se a versão foi criada com sucesso verificando a lista de versões na página de detalhes do Guardrail.

  4. Anexe uma política baseada em recursos (opcional)

    Se você quiser compartilhar a grade de proteção com funções específicas em sua conta, anexe uma política baseada em recursos.

    Via Console de gerenciamento da AWS

    Para anexar uma política baseada em recursos usando o console:

    1. No console Amazon Bedrock Guardrails, selecione seu guarda-corpo

    2. Clique em Adicionar para adicionar uma política baseada em recursos

    3. Adicione uma política que conceda bedrock:ApplyGuardrail permissão às funções desejadas

    4. Salve a política

  5. Habilite a fiscalização em nível de conta

    Configure a conta para usar sua grade de proteção para todas as invocações do Amazon Bedrock. Isso deve ser feito em todas as regiões em que você deseja fiscalização.

    Via Console de gerenciamento da AWS

    Para ativar a fiscalização em nível de conta usando o console:

    1. Navegue até o console Amazon Bedrock

    2. Escolha Guardrails no painel de navegação esquerdo

    3. Na seção Configurações de fiscalização em nível de conta, escolha Adicionar

    4. Selecione sua grade de proteção e versão

    5. input_tagsDefina a configuração (defina como IGNORAR para evitar que as contas dos membros contornem a grade de proteção na entrada por meio das tags de entrada do Guardrails)

    6. Envie a configuração

    7. Repita o procedimento para cada região em que você deseja a fiscalização

    Via API

    Use a PutEnforcedGuardrailConfiguration API em todas as regiões em que você deseja aplicar o guardrail

    Verificar

    Você deve ver a grade de proteção aplicada à conta na seção Configuração da grade de proteção aplicada à conta na página Guardrails. Você pode chamar a ListEnforcedGuardrailsConfigurationAPI para garantir que a grade de proteção aplicada esteja listada

  6. Teste e verifique a aplicação
    Teste usando uma função em sua conta

    Para testar a fiscalização em sua conta:

    1. Faça uma chamada de inferência do Amazon Bedrock usandoInvokeModel,,Converse, ou InvokeModelWithResponseStream ConverseStream

    2. A grade de proteção aplicada pela conta deve ser aplicada automaticamente às entradas e saídas

    3. Verifique a resposta para obter informações sobre a avaliação da grade de proteção. A resposta da grade de proteção incluirá informações forçadas da grade de proteção.

Monitoramento

  • Acompanhe intervenções e métricas de guardrail usando CloudWatch métricas para Amazon Bedrock Guardrails

  • Analise CloudTrail os registros de chamadas de ApplyGuardrail API para monitorar padrões de uso, como AccessDenied exceções que indicam problemas de configuração de permissão do IAM. Veja os eventos de dados do Amazon Bedrock em CloudTrail

Preços

A aplicação do Amazon Bedrock Guardrails segue o modelo de preços atual do Amazon Bedrock Guardrails com base no número de unidades de texto consumidas por proteção configurada. As cobranças se aplicam a cada grade de proteção aplicada de acordo com suas proteções configuradas. Para obter informações detalhadas sobre preços de salvaguardas individuais, consulte os preços do Amazon Bedrock.

Perguntas frequentes

Como o consumo em relação às cotas é calculado quando as grades de proteção impostas se aplicam?

O consumo será calculado por ARN de proteção associado a cada solicitação e será contabilizado na AWS conta que está fazendo a chamada de API. Por exemplo: uma ApplyGuardrail chamada com 1000 caracteres de texto e 3 grades de proteção geraria 3 unidades de consumo de texto por grade de proteção por proteção na grade de proteção.

As chamadas para contas de membros usando a Amazon Bedrock Policy contarão para as Quotas de Serviço da conta de membro. Analise o Service Quotas Console ou a documentação de Service Quotas e certifique-se de que os limites de tempo de execução do Guardrails sejam suficientes para o volume de chamadas.

Como faço para evitar que as contas dos membros contornem as grades de proteção usando tags de entrada?

Use o input_tags controle disponível em:

Defina o valor a ser ignorado para evitar que as contas dos membros marquem conteúdo parcial.

O que acontece se eu tiver barreiras de proteção impostas em nível organizacional e em nível de conta, bem como uma grade de proteção em minha solicitação?

Todas as 3 grades de proteção serão aplicadas em tempo de execução. O efeito final é a união de todas as grades de proteção, com o controle mais restritivo tendo precedência.

O que acontece com modelos que não suportam grades de proteção?

Para modelos em que não há suporte para Guardrails (como modelos de incorporação), um erro de validação de tempo de execução será gerado.

Posso excluir uma grade de proteção que está sendo usada em uma configuração de fiscalização?

Não. Por padrão, a DeleteGuardrailAPI impede a exclusão de barreiras associadas às configurações de fiscalização no nível da conta ou da organização.