使用敏感資訊篩選條件從對話中移除 PII - Amazon Bedrock
為您的護欄設定敏感資訊政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用敏感資訊篩選條件從對話中移除 PII

Amazon Bedrock Guardrails 可協助偵測輸入提示或模型回應中標準格式的敏感資訊,例如個人身分識別資訊 (PIIs)。您也可以使用規則表達式 (regex) 定義使用案例或組織特定的敏感資訊。

您可以設定下列模式來處理護欄偵測到的敏感資訊:

  • 封鎖 — 敏感資訊篩選政策可以封鎖包含敏感資訊的請求或回應。這類應用程式的範例可能包括一般問題,並根據公有文件回答應用程式。如果在提示或回應中偵測到敏感資訊,護欄會封鎖所有內容,並傳回您設定的訊息。

  • 遮罩 — 敏感資訊篩選政策可以匿名化或修訂模型請求或回應中的資訊。例如, 護欄會遮罩 PIIs,同時產生使用者和客戶服務客服人員之間的對話摘要。如果在模型請求或回應中偵測到敏感資訊,護欄會將其遮罩,並將其取代為 PII 類型 (例如 {NAME}{EMAIL})。

Amazon Bedrock Guardrails 提供下列 PIIs來封鎖或匿名化:

  • 一般

    • ADDRESS

      實體地址,例如 "100 Main Street, Anytown, USA" 或 "Suite #12, Building 123"。地址可以包含街道、建築物、位置、城市、州、國家/地區、郡、郵遞區號、選區和鄰里等資訊。

    • AGE

      個人的年齡,包括數量和時間單位。例如,在「我 40 歲」一詞中,Amazon Bedrock Guardrails 將「40 歲」視為年齡。

    • 名稱

      個人的姓名。此實體類型不包含標題,例如 Dr.、Mr.、Mrs. 或 Miss。Amazon Bedrock Guardrails 不會將此實體類型套用至屬於組織或地址的名稱。例如,護欄將 "John Doe Organization" 視為組織,而它將 "Jane Doe Street" 視為地址。

    • EMAIL

      電子郵件地址,例如 marymajor@email.com

    • 電話

      電話號碼。此實體類型還包括傳真和呼叫器號碼。

    • USERNAME

      識別帳戶的使用者名稱,例如登入名稱、螢幕名稱、別名或控制代碼。

    • 密碼

      用作密碼的英數字串,例如 "*very20special#pass*"。

    • DRIVER_ID

      指派給駕照的號碼,這是官方文件,允許個人在公有道路上操作一或多個機動車輛。駕照號碼由英數字元組成。

    • LICENSE_PLATE

      車輛車牌由註冊車輛的州或國家/地區核發。客車的格式通常為 5 到 8 位數,由大寫字母和數字組成。格式會根據發行狀態或國家/地區的位置而有所不同。

    • VEHICLE_IDENTIFICATION_NUMBER

      車輛識別號碼 (VIN) 可唯一識別車輛。VIN 內容和格式在 ISO 3779 規格中定義。每個國家/地區都有 VINs 的特定代碼和格式。

  • 財務

    • CREDIT_DEBIT_CARD_CVV

      VISA、MasterCard 和 Discover 信用卡和簽帳金融卡上存在的三位數卡片驗證碼 (CVV)。對於 American Express 信用卡或簽帳金融卡,CVV 是四位數的數字代碼。

    • CREDIT_DEBIT_CARD_EXPIRY

      信用卡或簽帳卡到期日 此數字通常為四位數,格式通常為月/年月/年。Amazon Bedrock Guardrails 會辨識過期日期,例如 01/2101/20212021 年 1 月

    • CREDIT_DEBIT_CARD_NUMBER

      信用卡或簽帳卡號碼。這些數字的長度從 13 到 16 位數不等。不過,當只有最後四位數字時,Amazon Bedrock 也會辨識信用卡或簽帳金融卡號碼。

    • PIN 碼

      您可以用來存取銀行帳戶的四位數個人識別號碼 (PIN)。

    • INTERNATIONAL_BANK_ACCOUNT_NUMBER

      國際銀行帳戶號碼在每個國家都有特定的格式。如需詳細資訊,請參閱 https://www.iban.com/structure

    • SWIFT_CODE

      SWIFT 代碼是銀行識別符代碼 (BIC) 的標準格式,用於指定特定的銀行或分支。銀行使用這些代碼進行匯款,例如國際電匯。

      SWIFT 代碼由八個或 11 個字元組成。11 位數代碼是指特定的分支,而 8 位數代碼 (或結尾為 'XXX' 的 11 位數代碼) 是指總部或主要辦公室。

  • IT

    • IP_ADDRESS

      IPv4 地址,例如 198.51.100.0

    • MAC_ADDRESS

      媒體存取控制 (MAC) 地址是指派給網路介面控制器 (NIC) 的唯一識別符。

    • URL

      網址,例如 www.example.com

    • AWS_ACCESS_KEY

      與私密存取金鑰相關聯的唯一識別符;您可以使用存取金鑰 ID 和私密存取金鑰,以密碼編譯方式簽署程式設計 AWS 請求。

    • AWS_SECRET_KEY

      與存取金鑰相關聯的唯一識別符。您可以使用存取金鑰 ID 和私密存取金鑰,以密碼編譯方式簽署程式設計 AWS 請求。

  • 美國特定

    • US_BANK_ACCOUNT_NUMBER

      美國銀行帳號,通常為 10 到 12 位數。

    • US_BANK_ROUTING_NUMBER

      美國銀行帳戶的分行代碼。這些通常為九位數,

    • US_INDIVIDUAL_TAX_IDENTIFICATION_NUMBER

      美國個人納稅人識別號碼 (ITIN) 是一個以「9」開頭的九位數號碼,並包含「7」或「8」作為第四位數。ITIN 可以使用空格或破折號在第三個數字後面格式化。

    • US_PASSPORT_NUMBER

      美國護照號碼。護照號碼範圍為 6 到 9 個英數字元。

    • US_SOCIAL_SECURITY_NUMBER

      美國社會安全號碼 (SSN) 是核發給美國公民、永久居民和臨時工作居民的九位數號碼。

  • 加拿大特定

    • CA_HEALTH_NUMBER

      加拿大健康服務號碼是 10 位數的唯一識別符,個人需要此識別符才能存取醫療保健利益。

    • CA_SOCIAL_MANAGEMENT_NUMBER

      加拿大社會保險號碼 (SIN) 是九位數的唯一識別符,個人需要此識別符才能存取政府計劃和利益。

      SIN 格式為三位數的三組,例如 123-456-789。SIN 可以透過稱為 Luhn 演算法的簡單檢查位數程序進行驗證。

  • 英國特定

    • UK_NATION_HEALTH_SERVICE_NUMBER

      英國國家衛生服務號碼是 10-17 位數字,例如 485 777 3456。目前的系統會將 10 位數字格式化為第三位數和第六位數之後的空格。最後一個數字是錯誤偵測檢查總和。

    • UK_國家_保險_編號

      英國國民保險號碼 (NINO) 可讓個人存取國民保險 (社會安全) 利益。它也用於英國稅務系統中的某些目的。

      數字為九位數,以兩個字母開頭,後面接著六個數字和一個字母。NINO 的格式可以是在兩個字母後面加上空格或破折號,並在第二、四和六位數後面加上。

    • UK_UNIQUE_TAXPAYER_REFERENCE_NUMBER

      英國唯一納稅人參考 (UTR) 是識別納稅人或企業的 10 位數號碼。

  • Custom (自訂)

    • Regex 篩選條件

      您可以使用規則表達式來定義護欄的模式,以識別並對其採取行動,例如序號或預訂 ID。

注意

提供足夠的內容時,PII 模型會更有效率地執行。為了提高其準確性,請包含更多內容資訊,並避免向模型提交單字或短語。由於 PII 可以與內容相關 (例如,數字字串可能代表 AWS KMS key 或使用者 ID,視周圍資訊而定),因此提供完整的內容對於準確識別至關重要。

注意

敏感資訊篩選條件的自訂 regex 篩選條件不支援 regex 預期相符項目。

為您的護欄設定敏感資訊政策

您可以使用 AWS Management Console 或 Amazon Bedrock API 來設定護欄的敏感資訊政策。

Console

  1. AWS Management Console 使用具有使用 Amazon Bedrock 主控台之許可的 IAM 主體登入 。然後,開啟位於 https://https://console.aws.amazon.com/bedrock/ 的 Amazon Bedrock 主控台。

  2. 從左側導覽窗格中,選擇護欄,然後選擇建立護欄

  3. 針對提供護欄詳細資訊頁面,執行下列動作:

    1. 護欄詳細資訊區段中,提供護欄的名稱和選用的描述

    2. 針對封鎖提示的訊息,輸入套用護欄時顯示的訊息。選取為回應套用相同的封鎖訊息核取方塊,以在將護欄套用至回應時使用相同的訊息。

    3. (選用) 若要為您的護欄啟用跨區域推論,請展開跨區域推論,然後選取為您的護欄啟用跨區域推論。選擇護欄設定檔,定義可路由護欄推論請求 AWS 區域 的目的地。

    4. (選用) 根據預設,您的護欄會使用 加密 AWS 受管金鑰。若要使用您自己的客戶受管 KMS 金鑰,請展開 KMS 金鑰選擇,然後選取自訂加密設定 (進階) 核取方塊。

      您可以選取現有的 AWS KMS 金鑰,或選取建立金鑰以建立新的 AWS KMS 金鑰

    5. (選用) 若要將標籤新增至護欄,請展開標籤,然後為您定義的每個標籤選取新增標籤。

      如需詳細資訊,請參閱標記 Amazon Bedrock 資源

    6. 選擇下一步

  4. 新增敏感資訊篩選條件頁面上,執行下列動作來設定篩選條件以封鎖或遮罩敏感資訊:

    1. PII 類型區段中,設定個人身分識別資訊 (PII) 類別以封鎖、遮罩或不採取任何動作 (偵測模式)。您有下列選項:

      • 若要新增所有 PII 類型,請選取新增 PII 類型旁的下拉箭頭。然後選取要套用的護欄行為。

        警告

        如果您指定行為,您為 PII 類型設定的任何現有行為都會遭到覆寫。

      • 若要刪除 PII 類型,請選取垃圾桶圖示 ( Trapezoid-shaped diagram showing data flow from source to destination through AWS Transfer Family. )。

      • 若要刪除包含錯誤的列,請選取全部刪除,然後選取刪除有錯誤的所有列

      • 若要刪除所有 PII 類型,請選取全部刪除,然後選取刪除所有資料列

      • 若要搜尋資料列,請在搜尋列中輸入表達式。

      • 若要僅顯示有錯誤的列,請選取標記為顯示全部的下拉式功能表,然後選取僅顯示錯誤

      • 若要設定資料表中每個頁面的大小或資料表中的資料欄顯示,請選取設定圖示 ( Gear icon representing settings or configuration options. )。設定您的偏好設定,然後選取確認

    2. Regex 模式區段中,使用規則表達式來定義要篩選的護欄模式。您有下列選項:

      • 若要新增模式,請選取新增規則運算式模式。設定下列欄位:

        欄位 描述
        名稱 模式的名稱
        Regex 模式 定義模式的規則表達式
        輸入 選擇是否封鎖包含模式的內容,或使用識別符將其遮罩。若要不採取任何動作,請選取偵測 (不採取任何動作)
        輸出
        新增描述 (選用) 撰寫模式的描述

      • 若要編輯模式,請在動作欄中選取與主題相同列中的三個點圖示。然後選取編輯。完成編輯後,請選取確認

      • 若要刪除模式,請選取要刪除模式的核取方塊。選取刪除,然後選取刪除選取

      • 若要刪除所有模式,請選取刪除,然後選取全部刪除

      • 若要搜尋模式,請在搜尋列中輸入表達式。

      • 若要設定資料表中每個頁面的大小或資料表中的資料欄顯示,請選取設定圖示 ( Gear icon representing settings or configuration options. )。設定您的偏好設定,然後選取確認

    3. 當您完成設定敏感資訊篩選條件時,請選取下一步略過以檢視和建立

API

若要使用敏感資訊政策建立護欄,請傳送 CreateGuardrail 請求。請求格式如下:

POST /guardrails HTTP/1.1
Content-type: application/json

{
    "blockedInputMessaging": "string",
    "blockedOutputsMessaging": "string",
    "sensitiveInformationPolicyConfig": {
        "piiEntitiesConfig": [{
            "type": "ADDRESS | EMAIL | PHONE | NAME | SSN | ...",
            "action": "BLOCK | ANONYMIZE | NONE",
            "inputAction": "BLOCK | ANONYMIZE | NONE",
            "inputEnabled": true,
            "outputAction": "BLOCK | ANONYMIZE | NONE",
            "outputEnabled": true
        }],
        "regexesConfig": [{
            "name": "string",
            "pattern": "string",
            "action": "BLOCK | ANONYMIZE | NONE",
            "description": "string",
            "inputAction": "BLOCK | ANONYMIZE | NONE",
            "inputEnabled": true,
            "outputAction": "BLOCK | ANONYMIZE | NONE",
            "outputEnabled": true
        }]
    },
    "description": "string",
    "kmsKeyId": "string",
    "name": "string",
    "tags": [{
        "key": "string",
        "value": "string"
    }],
    "crossRegionConfig": {
        "guardrailProfileIdentifier": "string"
    }
}

  • description 為護欄指定 name和 。

  • 指定當護欄成功封鎖 blockedInputMessagingblockedOutputsMessaging欄位中的提示或模型回應時的訊息。

  • sensitiveInformationPolicyConfig 物件中設定敏感資訊政策:

    • 使用piiEntitiesConfig陣列來設定預先定義的 PII 實體類型:

      • type 欄位中指定 PII 實體類型。有效值包括 ADDRESSEMAILUS_SOCIAL_SECURITY_NUMBER、、 PHONE NAME等。

      • action 欄位中指定偵測到 PII 實體時要採取的動作。選擇BLOCK封鎖內容、ANONYMIZE遮罩內容,或選擇不採取任何動作NONE,但傳回偵測資訊。

      • (選用) 使用 inputActionoutputActioninputEnabledoutputEnabled來設定提示和回應的不同行為。

    • 使用regexesConfig陣列定義要偵測的自訂模式:

      • name 為 regex 模式指定 (1-100 個字元)。

      • 定義pattern要偵測的規則表達式 (1-500 個字元)。

      • 指定在偵測到模式時action要採取的 。選擇BLOCK封鎖內容、ANONYMIZE遮罩內容,或選擇不採取任何動作NONE,但傳回偵測資訊。

      • (選用) description為 regex 模式提供 (1-1000 個字元)。

      • (選用) 使用 inputActionoutputActioninputEnabledoutputEnabled來設定提示和回應的不同行為。

  • (選用) 將任何標籤連接到護欄。如需詳細資訊,請參閱標記 Amazon Bedrock 資源

  • (選用) 為了安全起見,請在 kmsKeyId 欄位中包含 KMS 金鑰的 ARN。

  • (選用) 若要啟用跨區域推論,請在 crossRegionConfig 物件中指定護欄設定檔。

回應格式如下:

HTTP/1.1 202
Content-type: application/json

{
    "createdAt": "string",
    "guardrailArn": "string",
    "guardrailId": "string",
    "version": "string"
}