As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Aplique proteções entre contas com as imposições do Amazon Bedrock Guardrails
[O Amazon Bedrock Guardrails permite que você aplique automaticamente proteções em várias contas em uma organização por meio das políticas do Amazon AWS Organizations Bedrock.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) Isso permite proteção uniforme em todas as contas com controle e gerenciamento centralizados. Além disso, esse recurso também oferece flexibilidade para aplicar controles em nível de conta e específicos do aplicativo, dependendo dos requisitos do caso de uso.
**Capacidades gerais**
A seguir estão os principais recursos da fiscalização de grades de proteção:
+ **Aplicação em nível organizacional —** aplique proteções para todas as invocações de modelo com o Amazon Bedrock em todas as unidades da organização (OUs), contas individuais ou em toda a organização usando as políticas do Amazon Bedrock com. AWS Organizations
+ **Aplicação em nível de conta** — designe uma versão específica de uma grade de proteção em uma conta AWS para todas as invocações do modelo Amazon Bedrock dessa conta.
+ **Proteção em camadas** — Combine grades de proteção específicas da organização e do aplicativo quando ambas estiverem presentes. O controle de segurança efetivo será uma união de ambas as grades de proteção com os controles mais restritivos, tendo precedência no caso do mesmo controle de ambas as grades de proteção.
Os tópicos a seguir descrevem como usar as imposições do Amazon Bedrock Guardrails:
**Topics**
+ [Guia de implementação](#guardrails-enforcements-implementation-guide)
+ [Monitoramento](#monitoring)
+ [Preços](#pricing)
+ [Perguntas frequentes](#faq)
## Guia de implementação
As etapas abaixo fornecem detalhes sobre a implementação de medidas de proteção para contas dentro de uma AWS organização e para uma única conta. AWS Com essas imposições, todas as invocações de modelo para o Amazon Bedrock aplicarão as proteções configuradas dentro da grade de proteção designada.
### Aplicação em nível organizacional
Esta seção detalha a configuração da fiscalização de proteções em sua AWS organização. Depois de configurado, você terá uma grade de proteção que se aplica automaticamente a todas as invocações do modelo Amazon Bedrock em contas especificadas ou. OUs
**Pré-requisitos**
AWS Administradores da organização (com acesso à conta de gerenciamento) com permissões para criar proteções e gerenciar políticas. AWS Organizations
**O que você precisará**
O seguinte é obrigatório:
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)com acesso à conta de gerenciamento
+ [Permissões do IAM](guardrails-permissions.md#guardrails-permissions-use) [para criar barreiras e gerenciar políticas AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)
+ Compreensão dos requisitos de segurança da sua organização
**Para configurar a fiscalização de proteções em nível organizacional**
1.
**Planeje sua configuração de guardrail**
1. Defina suas salvaguardas:
+ Analise os filtros de proteção disponíveis na documentação do [Amazon Bedrock](guardrails.md) Guardrails
+ Identifique qual filtro você precisa. Atualmente, há suporte para filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais e verificações contextuais de fundamentação.
+
**Importante**
Não inclua a política de raciocínio automatizado, pois ela não tem suporte para imposições de proteção e causará falhas no tempo de execução.
1. Identifique as contas-alvo:
+ Determine quais OUs contas ou toda a sua organização terão essa proteção aplicada
1.
**Crie sua grade de proteção na conta de gerenciamento**
Crie uma grade de proteção em cada região em que você deseja aplicá-la com um dos seguintes métodos:
+ Usando o Console de gerenciamento da AWS:
1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. No painel de navegação esquerdo, escolha **Guardrails**
1. Escolha **Criar guarda-corpo**
1. Siga o assistente para configurar os filtros ou proteções desejados (filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais, verificações contextuais de aterramento)
1. Não habilite a política de raciocínio automatizado
1. Complete o assistente para criar sua grade de proteção
+ Usando a API: Use a [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html)API
**Verificar**
Depois de criado, você deve vê-lo na lista de grades de proteção na página inicial do Guardrails ou procurá-lo na lista de grades de proteção usando o nome do guarda-corpo
1.
**Crie uma versão de guardrail**
Crie uma versão numérica para garantir que a configuração do guardrail permaneça imutável e não possa ser modificada pelas contas dos membros.
+ Usando o Console de gerenciamento da AWS:
1. Selecione a grade de proteção criada na etapa anterior na página Guardrails no console do Amazon Bedrock.
1. Escolha **Criar versão**
1. Observe o ARN do guarda-corpo e o número da versão (por exemplo, “1", “2")
+ Usando a API: Use a [CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html)API
**Verificar**
Confirme se a versão foi criada com sucesso verificando a lista de versões na página de detalhes do Guardrail.
1.
**Anexe uma política baseada em recursos**
Habilite o acesso entre contas anexando uma política baseada em recursos à sua grade de proteção.
+ Usando o Console de gerenciamento da AWS — Para anexar uma política baseada em recursos usando o console:
1. No console Amazon Bedrock Guardrails, selecione seu guarda-corpo
1. Escolha **Adicionar** para adicionar uma política baseada em recursos
1. Adicione uma política que conceda `bedrock:ApplyGuardrail` permissão a todas as contas ou organizações membros. Consulte [Compartilhe o guardrail com sua organização](guardrails-resource-based-policies.md#share-guardrail-with-organization) em [Usando políticas baseadas em recursos para grades de proteção](guardrails-resource-based-policies.md).
1. Salve a política
**Verificar**
Teste o acesso de uma conta de membro usando a [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API para garantir que a autorização seja configurada corretamente.
1.
**Configurar permissões do IAM nas contas dos membros**
Certifique-se de que todas as funções nas contas dos membros tenham permissões do IAM para acessar a grade de proteção aplicada.
**Permissões obrigatórias**
As funções da conta de membro precisam de `bedrock:ApplyGuardrail` permissão para a grade de proteção da conta de gerenciamento. Consulte [Configurar permissões para usar Barreiras de Proteção do Amazon Bedrock](guardrails-permissions.md) para obter exemplos detalhados de políticas do IAM
**Verificar**
Confirme se as funções com permissões reduzidas nas contas dos membros podem chamar a `ApplyGuardrail` API com sucesso com o guardrail.
1.
**Habilite a política Amazon Bedrock. Digite AWS Organizations**
+ Usando o Console de gerenciamento da AWS — Para habilitar a política Amazon Bedrock, digite usando o console:
1. Navegue até o AWS Organizations console
1. Escolha **políticas**
1. Escolha as políticas **do Amazon Bedrock**
1. Escolha **Ativar políticas do Amazon Bedrock** para habilitar o tipo de política Amazon Bedrock para sua organização.
+ Usando a API — Use a AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)API com o tipo de política `BEDROCK_POLICY`
**Verificar**
Confirme se o tipo de política do Amazon Bedrock aparece como ativado no AWS Organizations console.
1.
**Crie e anexe uma AWS Organizations política**
Crie uma política de gerenciamento que especifique sua grade de proteção e a anexe às suas contas de destino ou. OUs
+ Usando o Console de gerenciamento da AWS — Para criar e anexar uma AWS Organizations política usando o console:
1. No AWS Organizations console, navegue até **Políticas > Políticas do** **Amazon Bedrock**
1. Escolha **Criar política**.
1. Especifique o ARN e a versão do guardrail
**Importante**
Verifique se você está especificando o ARN preciso do guardrail na política. Especificar um ARN incorreto ou inválido resultará em violações de políticas, não aplicação de salvaguardas e na incapacidade de usar os modelos no Amazon Bedrock para inferência.
1. Configure controles seletivos de proteção de conteúdo (opcional).
+ O Amazon Bedrock APIs permite que os chamadores [marquem conteúdo específico em seus prompts de entrada](guardrails-tagging.md) para avaliação do guardrail.
+ Os controles seletivos de proteção de conteúdo permitem que os administradores decidam se devem honrar as decisões de marcação tomadas pelos chamadores da API.
+ Os `messages` controles `system` e determinam como as solicitações do sistema e o conteúdo das mensagens são processados por grades de proteção. Cada um aceita um dos seguintes valores:
+ **Seletivo**: avalie somente o conteúdo dentro das tags de proteção de conteúdo. Quando nenhuma tag é especificada, o comportamento depende do controle. Pois`system`, nenhum conteúdo é avaliado e, para`messages`, todo o conteúdo é avaliado.
+ **Abrangente**: avalie todo o conteúdo, independentemente das tags de proteção de conteúdo.
+ Se não estiverem configurados, os dois controles assumem como padrão **Abrangente**.
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
},
"selective_content_guarding": {
"system": {
"@@assign": "selective"
},
"messages": {
"@@assign": "comprehensive"
}
},
"model_enforcement": {
"included_models": {
"@@assign": ["ALL"]
},
"excluded_models": {
"@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
}
}
}
}
}
}
}
```
1. Salve a política
1. **Anexe a política aos alvos desejados (contas raiz da organização ou contas individuais) navegando até a guia **Metas** e escolhendo Anexar OUs**
+ Usando a API — Use a AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)API com o tipo de política`BEDROCK_POLICY`. Use [AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html)para anexar aos alvos
Saiba mais: [Políticas do Amazon Bedrock](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) em AWS Organizations
**Verificar**
Verifique se a política está conectada aos alvos corretos no AWS Organizations console.
1.
**Teste e verifique a aplicação**
Teste se a grade de proteção está sendo aplicada às contas dos membros.
**Verifique qual grade de proteção é aplicada**
+ Usando o Console de gerenciamento da AWS — Em uma conta de membro, navegue até o console Amazon Bedrock e escolha **Guardrails** no painel de navegação esquerdo. **Na página inicial do Guardrails, você deve ver a proteção aplicada pela organização na seção **Configurações de fiscalização em nível de organização na conta de gerenciamento e Proteções aplicadas em nível de organização** na conta de membro**
+ Usando a API — Em uma conta de membro, ligue [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)com o ID da sua conta de membro como ID de destino
**Teste a partir de uma conta de membro**
1. Faça uma chamada de inferência do Amazon Bedrock usando [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html), [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html), [Converse ou. [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
1. O corrimão imposto deve ser aplicado automaticamente às entradas e saídas
1. Verifique a resposta para obter informações sobre a avaliação da grade de proteção. A resposta da grade de proteção incluirá informações forçadas da grade de proteção.
### Aplicação em nível de conta
Esta seção detalha a configuração da fiscalização de proteção em uma única AWS conta. Depois de configurado, você terá uma grade de proteção que se aplica automaticamente a todas as invocações do modelo Amazon Bedrock em sua conta.
**Pré-requisitos**
AWS administradores de contas com permissões para criar grades de proteção e definir configurações no nível da conta.
**O que você precisará**
O seguinte é obrigatório:
+ Uma AWS conta com as permissões apropriadas do IAM
+ Compreensão dos requisitos de segurança da sua conta
**Para configurar a fiscalização de proteções em nível de conta**
1.
**Planeje sua configuração de guardrail**
**Defina suas salvaguardas**
Para definir suas salvaguardas:
+ Analise os filtros de proteção disponíveis na documentação do [Amazon Bedrock](guardrails.md) Guardrails
+ Identifique qual filtro você precisa. Atualmente, há suporte para filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais e verificações contextuais de fundamentação.
+
**Importante**
Não inclua a política de raciocínio automatizado, pois ela não tem suporte para imposições de proteção e causará falhas no tempo de execução
1.
**Criar uma barreira de proteção**
Crie uma grade de proteção em todas as regiões em que você deseja aplicá-la.
**Via Console de gerenciamento da AWS**
Para criar uma grade de proteção usando o console:
1. Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. No painel de navegação esquerdo, escolha **Guardrails**
1. Escolha **Criar guarda-corpo**
1. Siga o assistente para configurar as políticas desejadas (filtros de conteúdo, tópicos negados, filtros de palavras, filtros de informações confidenciais)
1. Não habilite a política de raciocínio automatizado
1. Complete o assistente para criar sua grade de proteção
**Por meio da API**
Usar a API `CreateGuardrail`
**Verificar**
Depois de criado, você deve vê-lo na lista de grades de proteção na página inicial do Guardrails ou procurá-lo na lista de grades de proteção usando o nome do guarda-corpo
1.
**Crie uma versão de guardrail**
Crie uma versão numérica para garantir que a configuração do guardrail permaneça imutável e não possa ser modificada pelas contas dos membros.
**Via Console de gerenciamento da AWS**
Para criar uma versão de guardrail usando o console:
1. Selecione a grade de proteção criada na etapa anterior na página Guardrails no console do Amazon Bedrock.
1. Escolha **Criar versão**
1. Observe o ARN do guarda-corpo e o número da versão (por exemplo, “1", “2")
**Por meio da API**
Usar a API `CreateGuardrailVersion`
**Verificar**
Confirme se a versão foi criada com sucesso verificando a lista de versões na página de detalhes do Guardrail.
1.
**Anexe uma política baseada em recursos (opcional)**
Se você quiser compartilhar a grade de proteção com funções específicas em sua conta, anexe uma política baseada em recursos.
**Via Console de gerenciamento da AWS**
Para anexar uma política baseada em recursos usando o console:
1. No console Amazon Bedrock Guardrails, selecione seu guarda-corpo
1. Escolha **Adicionar** para adicionar uma política baseada em recursos
1. Adicione uma política que conceda `bedrock:ApplyGuardrail` permissão às funções desejadas
1. Salve a política
1.
**Habilite a fiscalização em nível de conta**
Configure a conta para usar sua grade de proteção para todas as invocações do Amazon Bedrock. Isso deve ser feito em todas as regiões em que você deseja fiscalização.
**Via Console de gerenciamento da AWS**
Para ativar a fiscalização em nível de conta usando o console:
1. Navegue até o console Amazon Bedrock
1. Escolha **Guardrails** no painel de navegação esquerdo
1. **Na seção **Configurações de fiscalização em nível de conta**, escolha Adicionar**
1. Selecione sua grade de proteção e versão
1. Configure controles seletivos de proteção de conteúdo (opcional).
+ O Amazon Bedrock APIs permite que os chamadores [marquem conteúdo específico em seus prompts de entrada](guardrails-tagging.md) para avaliação do guardrail.
+ Os controles seletivos de proteção de conteúdo permitem que os administradores decidam se devem honrar as decisões de marcação tomadas pelos chamadores da API.
+ Os `messages` controles `system` e determinam como as solicitações do sistema e o conteúdo das mensagens são processados por grades de proteção. Cada um aceita um dos seguintes valores:
+ **Seletivo**: avalie somente o conteúdo dentro das tags de proteção de conteúdo.
+ **Abrangente**: avalie todo o conteúdo, independentemente das tags de proteção de conteúdo.
+ Se não estiverem configurados, os dois controles assumem como padrão **Abrangente**.
1. Envie a configuração
1. Repita o procedimento para cada região em que você deseja a fiscalização
**Por meio da API**
Use a `PutEnforcedGuardrailConfiguration` API em todas as regiões em que você deseja aplicar o guardrail
**Verificar**
Você deve ver a proteção aplicada à conta na seção Configuração da proteção **aplicada à conta na página Guardrails.** Você pode chamar a [ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html)API para garantir que a grade de proteção aplicada esteja listada.
1.
**Teste e verifique a aplicação**
**Teste usando uma função em sua conta**
Para testar a fiscalização em sua conta:
1. Faça uma chamada de inferência do Amazon Bedrock usando`InvokeModel`,,`Converse`, ou `InvokeModelWithResponseStream` `ConverseStream`
1. A grade de proteção aplicada pela conta deve ser aplicada automaticamente às entradas e saídas
1. Verifique a resposta para obter informações sobre a avaliação da grade de proteção. A resposta da grade de proteção incluirá informações forçadas da grade de proteção.
## Monitoramento
+ Acompanhe intervenções e métricas de guardrail usando [CloudWatch métricas para Amazon](monitoring-guardrails-cw-metrics.md) Bedrock Guardrails
+ Analise CloudTrail os registros de chamadas de `ApplyGuardrail` API para monitorar padrões de uso, como AccessDenied exceções que indicam problemas de configuração de permissão do IAM. Veja os [eventos de dados do Amazon Bedrock](logging-using-cloudtrail.md#service-name-data-events-cloudtrail) em CloudTrail
## Preços
A aplicação do Amazon Bedrock Guardrails segue o modelo de preços atual do Amazon Bedrock Guardrails com base no número de unidades de texto consumidas por proteção configurada. As cobranças se aplicam a cada grade de proteção aplicada de acordo com suas proteções configuradas. Para obter informações detalhadas sobre preços de salvaguardas individuais, consulte [Amazon Bedrock](https://aws.amazon.com/bedrock/pricing/) Pricing.
## Perguntas frequentes
**Como o consumo em relação às cotas é calculado quando as grades de proteção impostas se aplicam?**
O consumo será calculado por ARN de proteção associado a cada solicitação e será contabilizado na AWS conta que está fazendo a chamada de API. Por exemplo: uma `ApplyGuardrail` chamada com 1000 caracteres de texto e 3 grades de proteção geraria 3 unidades de consumo de texto por proteção por proteção na grade de proteção.
As chamadas para contas de membros usando a Amazon Bedrock Policy contarão para as Quotas de Serviço da conta de membro. Analise o Service Quotas Console ou a documentação de [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/bedrock.html) e certifique-se de que os limites de tempo de execução do Guardrails sejam suficientes para o volume de chamadas.
**O que acontece se eu tiver barreiras de proteção impostas em nível organizacional e em nível de conta, bem como uma grade de proteção em minha solicitação?**
Todas as 3 grades de proteção serão aplicadas em tempo de execução. O efeito final é a união de todas as grades de proteção, com o controle mais restritivo tendo precedência.
**Quando devo usar o controle de proteção seletivo ou abrangente?**
Use o **Selective** quando você confia nos chamadores para marcar o conteúdo certo e quiser reduzir o processamento desnecessário de proteções. Isso é útil quando os chamadores lidam com uma mistura de conteúdo pré-validado e gerado pelo usuário e precisam apenas de proteções aplicadas a partes específicas. Use **Abrangente** quando quiser impor barreiras de proteção em tudo, independentemente das tags do chamador. Esse é o padrão mais seguro quando você não quer confiar nos chamadores para identificar corretamente o conteúdo confidencial.
**Como posso incluir ou excluir determinados modelos da fiscalização?**
Use o controle de imposição de modelos para definir quais modelos no Amazon Bedrock uma grade de proteção se aplica para inferência. Se não for configurada, a fiscalização se aplica a todos os modelos no Amazon Bedrock por padrão. Esse controle aceita as seguintes listas:
+ **Modelos incluídos:** modelos para reforçar a grade de proteção. Aceita identificadores de modelo específicos ou a palavra-chave `ALL` para incluir explicitamente todos os modelos. Quando vazia, a fiscalização se aplica a todos os modelos.
+ **Modelos excluídos:** modelos a serem excluídos da fiscalização do guarda-corpo. Quando vazio, nenhum modelo é excluído.
Se um modelo aparecer nas duas listas, ele será excluído.
**Quando devo usar modelos de inclusão versus exclusão?**
+ Use **os modelos incluídos** quando quiser aplicar a grade de proteção somente em modelos específicos.
+ Use **modelos excluídos** quando quiser uma aplicação ampla, mas precisar criar exceções para modelos específicos.
**Posso excluir uma grade de proteção que está sendo usada em uma configuração de fiscalização?**
Não. Por padrão, a [DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html)API impede a exclusão de barreiras associadas às configurações de fiscalização em nível de conta ou organização.