亚马逊AWS官方博客

AWS Audit Manager 将生成式人工智能最佳实践框架扩展到 Amazon SageMaker

有时,我会听到技术负责人说他们想提高生成式人工智能应用程序的可见性和治理能力。您如何监控和治理数据的使用和生成,以解决有关安全性、弹性、隐私和准确性的问题,或根据负责任的人工智能最佳实践进行验证等? 除了在实施阶段考虑这些问题外,您如何保持长期的可观测性以及如何在软件的整个生命周期中进行合规性检查?

今天,我们将在 AWS Audit Manager 上发布 AWS Audit Manager 生成式人工智能最佳实践框架的更新。该框架简化了证据收集过程,它提供了 110 种标准控件以便于您持续审计和监控生成式人工智能工作负载的合规状况,为了符合最佳实践要求,这些控件已预先进行了配置。其中的一些示例包括查看是否有个人身份信息(PII)数据未经匿名处理就被用于训练模型,验证是否强制执行多重身份验证(MFA)来获取所用的任何数据集的访问权限,以及定期测试自定义模型的备份版本以确保它们在系统中断之前是可靠的等。这些控控件过以下方式来执行任务:从 AWS ConfigAWS Security Hub 获取合规性检查、从 AWS CloudTrail 收集用户活动日志,以及通过对相关 AWS 服务进行应用程序编程接口(API)调用来捕获配置数据。如果您需要自定义级别的灵活性,也可以创建自己的自定义控件。

以前,v1 中包含的标准控件已预先配置为可与 Amazon Bedrock 配合使用,目前在这个新版本中,Amazon SageMaker 也作为数据来源包含在内,因此您可以更轻松地在 Amazon Bedrock 和 Amazon SageMaker 上对生成式人工智能工作负载进行更严格的控制,并可以观察到工作负载的情况。

强制执行生成式人工智能工作负载的最佳实践
“AWS 生成式人工智能最佳实践框架 v2”中包含的标准控件按准确性、公平、隐私、弹性、负责任、安全、可靠和可持续等领域进行组织。

控件可以执行自动或手动检查,也可以两种方式混合使用。例如,有一个控件用于随时间推移对模型的准确性进行定期审查。它通过调用 Amazon BedrockSageMaker API 自动检索相关模型的列表,但随后它需要在特定时间上传手动证据,表明已经对每个模型进行了审查。

您还可以通过包含或排除控件或通过自定义预定义控件来自定义框架。当您需要调整框架以满足不同国家/地区的法规或当框架随着时间推移发生变化而需要对其进行更新时,这可能非常有用。您甚至可以从头开始创建自己的控件,但我建议首先在 Audit Manager 控件库中搜索是否有适合或足够接近您的需求的控件,以这些控件作为起点,这样可以节省一些时间。

控件库界面包含一个搜索框和三个选项卡:常用、标准和自定义。

控件库指可以在其中浏览和搜索常用、标准和自定义控件的位置。

首先您需要创建评测。让我们来看看这个过程。

第 1 步:评测详细信息
首先在 AWS 管理控制台中导航到 Audit Manager,然后选择“评测”。选择“创建评测”;这将带您进入设置过程。

给评测起个名字。如果需要,也可以添加描述。

评测创建过程的第 1 步的屏幕显示。它有一个文本框,您必须在其中输入评测的名称;还有一个描述文本框,您可以选择在其中输入描述。

为该评测选择一个名称,并可以选择添加描述。

接下来,选择一个 Amazon Simple Storage Service(S3)存储桶,Audit Manager 在其中存储其生成的评测报告。请注意,您不必在与评测相同的 AWS 区域中选择存储桶,但这是建议的做法,因为这样您的评测最多可以收集 22000 个证据项,如果您使用跨区域存储桶,则配额将大幅度减少至 3500 项。

包含文本框和按钮的界面,您可以在文本框中键入或搜索您的 S3 存储桶,按钮用于浏览和创建新存储桶。

选择 AWS Audit Manager 可以存储报告的 S3 存储桶。

接下来,我们需要选择想要使用的框架。框架可以有效地充当模板,以便可在评测中使用其所有控件。

在这种情况下,我们想使用“AWS 生成式人工智能最佳实践框架 v2”框架。使用搜索框,并单击弹出的匹配结果以激活过滤器。

我们在框架搜索框中键入“生成式”,这足以产生一些结果,其中最上面一条结果是“AWS 生成式人工智能最佳实践框架 v2”

使用搜索框查找“AWS 生成式人工智能最佳实践框架 V2”

然后,您应该看到框架的卡片出现。如果您愿意,可以选择框架的标题来了解更多信息并浏览其中包含的所有控件。

通过选择卡片中的单选按钮将其选中。

一个包含框架标题和摘要的小部件,其中的单选按钮已选中。

选中单选按钮以选择框架。

您现在有机会对您的评测进行标记。与任何其他资源一样,建议您使用有意义的元数据对其进行标记,如果您需要一些指导,请查看标记 AWS 资源的最佳实践

第 2 步:指定范围内的 AWS 账户
这个屏幕非常直接明了。只需选择您希望通过评测中的控件持续进行评估的 AWS 账户即可。默认情况下,它显示您当前正在使用的 AWS 账户。Audit Manager 确实支持对多个账户进行评测并将报告合并到一个 AWS 账户中,但是,如果您想使用该功能,则必须先显式地启用与 AWS Organizations 的集成

显示了所有可用 AWS 账户的屏幕,您可在其中选择要纳入评测的 AWS 账户。

选择您想要纳入评测的 AWS 账户。

我选择其中列出的自己的账户,然后选择“下一步”

第 3 步:指定审计所有者
现在,我们只需要选择应具有使用和管理此评测的完全权限的 IAM 用户即可。这是一个非常简单的步骤。从所提供的 Identity and Access Management(IAM)用户或角色列表中选择,或使用搜索框进行搜索。建议您使用 AWSAuditManagerAdministratorAccess 策略。

你必须至少选择一个用户或角色,即使角色或用户是你自己也需要,在这一步我也是这样做的。

用于搜索和选择 IAM 用户或角色的界面。

选择具有该评测的完全权限并充当所有者的 IAM 用户或角色。

第 4 步:查看并创建
现在,剩下要做的就是查看您的选择,然后单击“创建评测”以完成该过程。

创建评测后,Audit Manager 将开始在选定的 AWS 账户中收集证据,然后您开始生成报告,并在摘要屏幕中显示任何不合规的资源。请记住,第一次评测可能需要长达 24 小时才能出现。

评测的摘要屏幕,其中显示了各种详细信息,例如有多少可用控件,每个控件的状态(显示控件是否“正在审核”)或每个控件的合规性状态,还有可供您重访评测配置的选项卡。

您可以随时访问评测详细信息屏幕,以检查任何控件的状态。

结论
“AWS 生成式人工智能最佳实践框架 v2”现已在所有提供 Amazon Bedrock 和 Amazon SageMaker 的 AWS 区域的 AWS Audit Manager 框架库中提供。

您可以访问按区域划分的 AWS 服务,检查您的首选区域中是否提供 Audit Manager。

如果想要更深入地了解,请查看有关如何入门的分步指南