Amazon Bedrock Guardrails, 중앙 집중식 제어 및 관리로 교차 계정 보호 지원

오늘 Amazon Bedrock Guardrails의 교차 계정 세이프가드 정식 출시 소식을 발표합니다. 이 새로운 기능을 사용하면 한 조직 내 여러 AWS 계정에 안전 제어를 중앙 집중식으로 적용하고 관리할 수 있습니다.

이 새 기능을 통해 조직의 관리 계정 내에서 신규 Amazon Bedrock 정책에 가드레일을 하나 지정하여 Amazon Bedrock을 사용하는 모든 모델 간접 호출에 대해 모든 멤버 엔터티에 구성된 세이프가드를 자동으로 적용하도록 할 수 있습니다. 이렇게 조직 전체에 구현하면 모든 계정과 생성형 AI 애플리케이션에 중앙 집중식 제어와 관리를 사용해 균일한 보호가 지원됩니다. 또한 이 기능은 조직 차원의 세이프가드 외에 사용 사례 요구 사항에 따라 계정 수준 및 애플리케이션별 제어를 적용하는 유연성도 제공합니다.

• 조직 수준 적용은 정책 설정을 통해 조직 내 모든 엔터티에 조직의 관리 계정에서 정한 가드레일 하나를 적용합니다. 이 가드레일이 조직 단위(OU) 및 개별 계정을 포함한 모든 멤버 엔터티에서 모든 Amazon Bedrock 모델 간접 호출에 자동으로 필터를 적용합니다.
• 계정 수준 적용은 AWS 계정의 모든 Amazon Bedrock 모델 간접 호출에 구성된 세이프가드를 자동으로 적용합니다. 계정 수준 가드레일에서 구성된 세이프가드가 모든 추론 API 직접 호출에 적용됩니다.

이제 통합형 접근 방식 하나를 통해 믿을 수 있고 종합적인 보호를 정립해 중앙에서 관리할 수 있습니다. 이렇게 하면 사내 책임 있는 AI 요구 사항을 일관되게 준수하고, 각 계정과 애플리케이션을 개별적으로 모니터링하는 행정 부담을 대폭 줄일 수 있습니다. 더 이상 보안팀이 각 계정의 구성이나 규정 준수를 따로 감독하고 확인할 필요가 없습니다.

Amazon Bedrock Guardrails에서 중앙 집중식 적용 시작하기
계정 수준 및 조직 수준 적용 구성은 Amazon Bedrock Guardrails 콘솔에서 시작하면 됩니다. 적용을 구성하기 전에 특정 버전으로 가드레일을 만들어 해당 가드레일 구성이 변경 불가한 상태로 유지되고 멤버 계정이 수정할 수 없도록 해야 하며, 가드레일에 대한 리소스 기반 정책과 같은 새 기능을 사용하는 데 수반되는 전제 조건을 충족해야 합니다.

계정 수준 적용을 활성화하려면 계정 수준 적용 구성 섹션에서 생성을 선택합니다.

이 리전의 이 계정에서 모든 Bedrock 추론 호출에 자동으로 적용할 가드레일과 버전을 선택할 수 있습니다. 정식 출시와 함께 Include 또는 Exclude 동작을 사용해 해당 적용으로 인해 어느 모델이 영향을 받는지 정의하는 새 기능도 도입합니다.

또한 Comprehensive 또는 Selective를 사용해 시스템 프롬프트와 사용자 프롬프트의 선택적 콘텐츠 보호 제어를 구성할 수도 있습니다.

• 어떤 호출자 태그든 관계없이 모든 항목에 가드레일을 적용하고자 하는 경우, Comprehensive를 사용하세요. 민감한 콘텐츠를 정확하게 식별하는 데 호출자에 의존하지 않으려면 이것이 기본값으로 더 안전합니다.
• 호출자가 적절한 콘텐츠를 태그한다고 믿을 수 있고, 불필요한 가드레일 처리를 줄이고자 하는 경우 Selective를 사용하세요. 이 기능은 호출자가 사전 검증된 콘텐츠와 사용자가 생성한 콘텐츠가 섞인 콘텐츠를 다루는 경우, 그리고 특정 부분에만 가드레일을 적용해야 하는 경우에 유용합니다.

적용을 생성하고 나면 계정의 역할을 사용해 적용을 테스트 및 확인할 수 있습니다. 계정에 적용된 가드레일이 프롬프트와 출력에 모두 자동으로 적용되어야 합니다.

응답을 보고 가드레일 평가 정보를 확인하세요. 가드레일 응답에는 적용된 가드레일 정보가 포함됩니다. 또한 InvokeModel, InvokeModelWithResponseStream, Converse 또는 ConverseStream API를 사용하여 Bedrock 추론을 호출해 테스트하는 방법도 있습니다.

조직 수준 적용을 활성화하려면 AWS Organizations 콘솔로 이동해 정책 메뉴를 선택합니다. 콘솔에서 Bedrock 정책을 활성화할 수 있습니다.

가드레일을 지정하는 Bedrock 정책을 생성해 이 정책을 대상 계정 또는 OU에 연결할 수 있습니다. 활성화된 Bedrock 정책을 선택하고 정책 생성을 선택하세요. 가드레일 ARN과 버전을 지정하고 AWS Organizations의 입력 태그 설정을 구성합니다. 자세한 내용은 AWS Organizations의 Amazon Bedrock 정책 및 Amazon Bedrock 정책 구문 및 예제를 참조하세요.

정책을 생성하고 나면 대상 탭에서 해당 정책을 원하는 조직 단위, 계정, 루트에 연결할 수 있습니다.

정책을 연결할 조직 루트, OU 또는 개별 계정을 검색하여 선택한 다음 정책 연결을 선택합니다.

멤버 계정에 적용되는 가드레일을 테스트하고, 어느 가드레일이 적용되는지 확인할 수 있습니다. 연결된 멤버 계정에서, 조직 수준 적용 구성 섹션 아래를 보면 조직 적용된 가드레일이 표시되어 있습니다.

지정된 가드레일 내 기본 세이프가드가 모든 멤버 엔터티의 모든 모델 추론 요청에 자동으로 적용되어 일관성 있는 안전 제어를 보장합니다. 개별 팀이나 애플리케이션의 다양한 요구 사항을 수용하려면 조직을 통해 여러 멤버 엔터티에 연결된 가드레일에 다양한 정책을 연결하면 됩니다.

알아야 할 사항
GA 기능에 관해 알아야 할 몇 가지 주요 고려 사항은 다음과 같습니다.

• 이제 Bedrock에서 추론에 포함하거나 추론에서 제외할 특정 모델을 선택하여 모델 간접 호출에서 중앙 집중식 적용을 활성화할 수 있습니다. 또한 시스템 프롬프트와 입력 프롬프트 일부 또는 전체를 보호하기로 선택할 수도 있습니다. 자세한 내용은 Amazon Bedrock Guardrails 적용을 사용해 교차 계정 세이프가드 적용을 참조하세요.
• 정책에 정확한 가드레일 Amazon 리소스 이름(ARN)을 지정해야 합니다. 잘못되거나 무효인 ARN을 지정하면 정책 위반이 발생하고, 세이프가드가 적용되지 않으며, Amazon Bedrock의 모델을 추론에 사용할 수 없게 됩니다. 자세한 내용은 Amazon Bedrock 정책 사용 모범 사례를 참조하세요.
• 이 기능에서는 자동 추론 검사가 지원되지 않습니다.

지금 이용 가능
Amazon Bedrock Guardrails의 교차 계정 세이프가드는 오늘부터 Bedrock Guardrails가 제공되는 모든 AWS 상용 및 GovCloud 리전에서 사용할 수 있습니다. 리전별 가용 여부와 향후 로드맵은 리전별 AWS 기능을 참조하세요. 각각의 적용된 가드레일의 구성된 세이프가드에 따라 요금이 부과됩니다. 각 세이프가드의 자세한 요금 정보는 Amazon Bedrock 요금 페이지를 참조하세요.

Amazon Bedrock 콘솔에서 이 기능을 사용해 보고, Amazon Bedrock Guardrails용 AWS re:Post 또는 평소 연락하는 AWS Support 담당자를 통해 피드백을 보내주세요.

— Channy