亚马逊AWS官方博客

Amazon Bedrock 护栏通过集中控制和管理支持跨账户防护

今日,我们宣布 Amazon Bedrock 护栏跨账户防护功能正式发布。这项新功能支持在企业内多个 AWS 账户间集中实施和管理安全控制措施。

借助这项新功能,您可以在组织管理账户中的全新 Amazon Bedrock 策略内指定护栏,该护栏会自动为使用 Amazon Bedrock 进行的每次模型调用跨所有成员实体执行已配置的防护措施。这种组织范围内的实施支持通过集中控制和管理实现对所有账户和生成式人工智能应用程序的统一保护。除了组织级防护外,此功能还可以根据使用场景灵活应用账户级或特定于应用程序的控制措施。

  • 组织级强制执行通过策略设置将组织管理账户中的单一护栏应用到组织内的所有实体。该护栏会自动对所有成员实体(包括组织单元(OU)和单个账户)的所有 Amazon Bedrock 模型调用强制执行内容过滤。
  • 账户级强制执行在单个 AWS 账户内对所有 Amazon Bedrock 模型调用自动执行已配置的护栏。账户级护栏中配置的安全措施适用于所有推理 API 调用。

现在,您可以通过单个统一方案建立并集中管理可靠、全面的防护体系。这样既有助于持续遵守企业负责任的人工智能要求,又能大幅减轻监控单个账户和应用程序的管理负担。您的安全团队不再需要单独监督和验证每个账户的配置或合规性。

开始使用 Amazon Bedrock 护栏集中强制执行功能
您可以开始在 Amazon Bedrock 护栏控制台中进行账户级和组织级强制执行配置。在配置强制执行规则前,您需要先创建特定版本的护栏(使护栏配置不可变且成员账户无法修改)并完成使用新功能的先决条件,例如基于资源的护栏策略

要启用账户级强制执行,请在账户级强制执行配置部分选择创建

您可以选择要自动应用至此区域内该账户所有 Bedrock 推理调用的护栏和版本。本次正式发布还新增了一项功能:支持通过包含排除行为指定受强制执行影响的模型。

您还可以通过全面防护或选择性防护为系统提示和用户提示配置选择性内容防护控制措施。

  • 如果您想为所有内容强制执行护栏,而不考虑调用方标记内容,请使用全面防护。在您不希望依赖调用方正确识别敏感内容的情况下,这是更安全的默认选项。
  • 如果您信任调用方正确标记内容,并且希望减少不必要的护栏处理,请使用选择性防护。这适用于调用方需要同时处理预验证内容和用户生成内容,并且仅需对特定部分应用护栏的场景。

创建强制执行后,您可以使用账户内的角色对其进行测试和验证。账户级强制执行护栏应该自动应用于提示和输出。

请查看响应中的护栏评测信息。护栏响应将包括强制性护栏信息。您还可以通过 InvokeModelInvokeModelWithResponseStreamConverseConverseStream 等 API 发起 Bedrock 推理调用进行测试。

要启用组织级强制执行,请前往 AWS Organizations 控制台并选择策略菜单。 您可以在控制台中启用 Bedrock 策略

您可以创建指定护栏的 Bedrock 策略,并将其附加到目标账户或 OU。选择已启用的 Bedrock 策略,然后选择创建策略。在 AWS Organizations 中指定护栏 ARN 和版本,然后配置输入标记设置。要了解更多信息,请访问 AWS Organizations 中的 Amazon Bedrock 策略Amazon Bedrock 策略语法和示例

创建策略后,在目标选项卡中将策略附加到所需的组织单元、账户或根目录。

搜索并选择要将策略附加到的组织根目录、OU 或单个账户,然后选择附加策略

您可以在成员账户中测试护栏是否生效,并验证强制执行的护栏。在附加的成员账户中,您应该会在组织级强制执行配置部分看到该组织强制执行的护栏。

此后,系统将自动对所有成员实体的每一次模型推理请求强制执行指定护栏内的基础防护,从而确保一致的安全控制。为了满足各个团队或应用程序的不同要求,您可以通过组织将不同的策略和相关护栏附加到不同的成员实体。

注意事项
以下是关于正式发布版功能的关键注意事项:

  • 现在,您可以选择在 Bedrock 中包含或排除特定模型以进行推理,从而对模型调用启用集中强制执行。您也可以选择对系统提示和输入提示进行部分或全部防护。要了解更多信息,请访问在 Amazon Bedrock 护栏强制执行中应用跨账户防护
  • 请确保在策略中指定准确的护栏 Amazon 资源名称(ARN)。指定错误或无效的 ARN 会导致违反策略、不执行防护措施,以及无法使用 Amazon Bedrock 模型进行推理。要了解更多信息,请访问 使用 Amazon Bedrock 策略的最佳实践
  • 此功能不支持自动推理检查功能。

现已推出
Amazon Bedrock 护栏跨账户防护功能现已在所有支持 Bedrock 护栏的 AWS 商业区域和 GovCloud 区域正式发布。有关区域可用性和未来路线图,请访问按区域列出的 AWS 功能。费用将根据每条强制性护栏配置的防护措施收取。有关各项防护措施的详细定价信息,请访问 Amazon Bedrock 定价页面。

立即在 Amazon Bedrock 控制台中试用这些功能,并将反馈发送至 AWS re:Post for Amazon Bedrock 护栏或通过您常用的 AWS Support 联系人发送反馈。

Channy