Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Aplica medidas de seguridad entre cuentas con las medidas de seguridad de Amazon Bedrock Guardrails
**nota**
Las medidas de cumplimiento de Amazon Bedrock Guardrails están en versión preliminar y están sujetas a cambios.
Las medidas de seguridad de Amazon Bedrock Guardrails le permiten aplicar automáticamente controles de seguridad a nivel de AWS cuenta y a AWS Organizations nivel (en todas las cuentas) para todas las invocaciones de modelos con Amazon Bedrock. Este enfoque centralizado mantiene medidas de protección uniformes en varias cuentas y aplicaciones, lo que elimina la necesidad de configurar barreras de protección para cuentas y aplicaciones individuales.
**Capacidades clave**
Las principales funciones de los dispositivos de protección son las siguientes:
+ **Aplicación a nivel de la organización**: aplique barreras a todas las invocaciones de modelos con Amazon Bedrock en todas las unidades organizativas (OUs), las cuentas individuales o toda la organización mediante las políticas de Amazon Bedrock (en versión preliminar) con. AWS Organizations
+ **Aplicación a nivel de cuenta**: designe una versión concreta de una barrera de protección dentro de una cuenta AWS para todas las invocaciones del modelo Amazon Bedrock desde esa cuenta.
+ **Protección por capas: combine barreras de protección** específicas de la organización y de la aplicación cuando ambas estén presentes. El control de seguridad efectivo consistirá en la unión de ambas barandillas, y prevalecerán los controles más restrictivos en caso de que se controle el mismo nivel desde ambas barandillas.
En los siguientes temas se describe cómo utilizar las medidas de seguridad de Amazon Bedrock Guardrails:
**Topics**
+ [Guía de implementación](#guardrails-enforcements-implementation-guide)
+ [Supervisión](#monitoring)
+ [Precios](#pricing)
+ [Preguntas frecuentes](#faq)
## Guía de implementación
En los tutoriales que aparecen a continuación, se explican los pasos necesarios para aplicar barreras de protección a las cuentas de una AWS organización y a las cuentas individuales. AWS Con estas medidas, todas las invocaciones modelo a Amazon Bedrock aplicarán las protecciones configuradas dentro de la barandilla designada.
### Tutorial: Aplicación a nivel de la organización
En este tutorial, se explica cómo configurar la aplicación de las barreras de seguridad en toda la organización. AWS Al final, dispondrá de una barrera de protección que se aplicará automáticamente a todas las invocaciones del modelo Amazon Bedrock en cuentas específicas o. OUs
**¿Quién debería seguir este tutorial**
AWS Administradores de la organización (con acceso a la cuenta de administración) con permisos para crear barreras y administrar AWS Organizations políticas.
**Lo que necesitarás**
Se requiere lo siguiente para completar este tutorial:
+ Una [AWS organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) con acceso a una cuenta de administración
+ [Permisos de IAM](guardrails-permissions.md#guardrails-permissions-use) [para crear barreras y gestionar políticas AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)
+ Comprensión de los requisitos de seguridad de su organización
**Para configurar la aplicación de las barandillas a nivel de la organización**
1.
**Planifique la configuración de la barandilla**
1. Defina sus medidas de protección:
+ Consulte los filtros de barandilla disponibles en la documentación de [Amazon Bedrock](guardrails.md) Guardrails
+ Identifique qué filtro necesita. Actualmente, se admiten los filtros de contenido, los temas rechazados, los filtros de palabras, los filtros de información confidencial y las comprobaciones contextuales.
+ **Nota:** No incluyas la política de razonamiento automatizado, ya que no es compatible con las medidas cautelares y provocará errores en el tiempo de ejecución.
1. Identifique las cuentas objetivo:
+ Determine a qué OUs cuentas o a toda la organización se les aplicará esta barrera
1.
**Cree su barrera en la cuenta de administración**
Cree una barandilla en cada región en la que desee reforzarla con uno de los siguientes métodos:
+ Usando: Consola de administración de AWS
1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. **En el panel de navegación izquierdo, selecciona Guardrails**
1. **Elija Crear barandilla**
1. Siga las instrucciones del asistente para configurar los filtros o medidas de seguridad que desee (filtros de contenido, temas rechazados, filtros de palabras, filtros de información confidencial, comprobaciones contextuales)
1. No habilite la política de razonamiento automático
1. Complete el asistente para crear su barandilla
+ Uso de la API: utilice la API [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html)
**Verificar**
Una vez creada, debería verla en la lista de barandas de la página de inicio o buscarla en la lista de barandillas por el nombre de la barandilla
1.
**Cree una versión de barandilla**
Cree una versión numérica para garantizar que la configuración de la barandilla permanezca inmutable y las cuentas de los miembros no puedan modificarla.
+ Uso de: Consola de administración de AWS
1. Seleccione la barandilla creada en el paso anterior en la página Guardrails de la consola Amazon Bedrock.
1. **Seleccione Crear versión**
1. Anote el ARN de la barandilla y el número de versión (p. ej., «1", «2", etc.)
+ Uso de la API: utilice la API [CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html)
**Verificar**
Confirme que la versión se creó correctamente consultando la lista de versiones en la página de detalles de Guardrail.
1.
**Adjunte una política basada en recursos**
Habilite el acceso entre cuentas adjuntando una política basada en recursos a su barandilla.
+ Uso de Consola de administración de AWS : para adjuntar una política basada en recursos mediante la consola:
1. En la consola Amazon Bedrock Guardrails, selecciona tu barandilla
1. Haga clic en **Agregar para agregar** una política basada en recursos
1. Agregue una política que conceda `bedrock:ApplyGuardrail` permisos a todas las cuentas u organizaciones de los miembros. Consulte [Comparta la barandilla con su organización](guardrails-resource-based-policies.md#share-guardrail-with-organization) en [Uso de políticas basadas en recursos para barandas](guardrails-resource-based-policies.md).
1. Guarde la política
**Verificar**
Pruebe el acceso desde la cuenta de un miembro mediante la [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API para asegurarse de que la autorización esté configurada correctamente.
1.
**Configure los permisos de IAM en las cuentas de los miembros**
Asegúrese de que todos los roles de las cuentas de los miembros tengan permisos de IAM para acceder a la barrera obligatoria.
**Permisos necesarios**
Los roles de las cuentas de los miembros necesitan `bedrock:ApplyGuardrail` permiso para la barrera de protección de la cuenta de administración. Consulte [Configuración de permisos para usar Barreras de protección para Amazon Bedrock](guardrails-permissions.md) para ver ejemplos detallados de políticas de IAM
**Verificar**
Confirma que los roles con permisos limitados en las cuentas de los miembros puedan llamar correctamente a la `ApplyGuardrail` API sin problemas.
1.
**Habilita el tipo de política de Amazon Bedrock en AWS Organizations**
+ Uso del Consola de administración de AWS — Para habilitar el tipo de política Amazon Bedrock mediante la consola:
1. Navegue hasta la consola AWS Organizations
1. Elija **políticas**
1. Elige **las políticas de Amazon Bedrock** (actualmente en versión preliminar)
1. Seleccione **Habilitar políticas de Amazon Bedrock** para habilitar el tipo de política de Amazon Bedrock para su organización.
+ Uso de la API: utilice la AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)API con el tipo de política `BEDROCK_POLICY`
**Verificar**
Confirma que el tipo de política de Amazon Bedrock aparece como activado en la AWS Organizations consola.
1.
**Cree y adjunte una política AWS Organizations**
Cree una política de administración que especifique su barrera de protección y adjúntela a sus cuentas de destino o. OUs
+ Uso de Consola de administración de AWS : para crear y adjuntar una AWS Organizations política mediante la consola:
1. En la AWS Organizations consola, vaya a **Políticas > Políticas** de **Amazon Bedrock**
1. Elija **Create Policy**
1. Especifique el ARN y la versión de la barandilla
1. [Configure el `input_tags` ajuste (ajústelo para evitar que las cuentas de los miembros pasen por alto la barandilla de entrada a través de las etiquetas de entrada de la barandilla).](guardrails-tagging.md)
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
},
"input_tags": {
"@@assign": "honor"
}
}
}
}
}
}
```
1. Guarde la política
1. **Adjunta la política a los objetivos que desees (organización OUs, raíz o cuentas individuales) accediendo a la pestaña **Objetivos** y seleccionando Adjuntar**
+ Uso de la API: utilice la AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)API con el tipo `BEDROCK_POLICY` de política. Se usa [AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html)para adjuntar a los objetivos
Más información: [Políticas de Amazon Bedrock](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) en AWS Organizations
**Verificar**
Comprueba que la política esté asociada a los objetivos correctos de la AWS Organizations consola.
1.
**Pruebe y verifique su cumplimiento**
Compruebe que se aplique la barrera de seguridad en las cuentas de los miembros.
**Compruebe qué barandilla se aplica**
+ Con Consola de administración de AWS : Desde una cuenta de miembro, navegue hasta la consola de Amazon Bedrock y haga clic en **Guardrails** en el panel izquierdo. **En la página de inicio de Guardrails, deberías ver la barrera de protección reforzada por la organización en la sección **Configuraciones de aplicación a nivel de organización en la cuenta de administración y Barreras de protección forzadas a nivel** de organización en la cuenta de miembro**
+ Uso de la API: desde una cuenta de miembro, llame con su ID de cuenta de miembro como ID de destino [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)
**Realiza la prueba desde una cuenta de miembro**
1. Realice una llamada de inferencia de Amazon Bedrock mediante [InvokeModel[InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html), [Converse o. [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
1. La barandilla reforzada debería aplicarse automáticamente tanto a las entradas como a las salidas
1. Compruebe la respuesta para obtener información sobre la evaluación de la barandilla. La respuesta sobre la barandilla incluirá información sobre la barandilla forzada.
### Tutorial: Aplicación de normas a nivel de cuenta
En este tutorial, se explica cómo configurar la aplicación de medidas cautelares en una sola cuenta. AWS Al final, dispondrá de una barrera de protección que se aplicará automáticamente a todas las invocaciones del modelo Amazon Bedrock en su cuenta.
**¿Quién debería seguir este tutorial**
AWS administradores de cuentas con permisos para crear barandas y configurar los ajustes a nivel de cuenta.
**Lo que necesitarás**
Se requiere lo siguiente para completar este tutorial:
+ Una AWS cuenta con los permisos de IAM adecuados
+ Comprensión de los requisitos de seguridad de su cuenta
**Para configurar la aplicación de medidas cautelares a nivel de cuenta**
1.
**Planifique la configuración de la barandilla**
**Defina sus medidas de seguridad**
Para definir sus medidas de protección:
+ Consulte los filtros de barandilla disponibles en la documentación de [Amazon Bedrock](guardrails.md) Guardrails
+ Identifique qué filtro necesita. Actualmente, se admiten los filtros de contenido, los temas rechazados, los filtros de palabras, los filtros de información confidencial y las comprobaciones contextuales.
+ **Nota:** No incluyas la política de razonamiento automatizado, ya que no es compatible con las normas de seguridad y provocará fallos en el tiempo de ejecución
1.
**Creación de una barrera de protección**
Cree una barrera de protección en cada región en la que desee aplicarla.
**Vía Consola de administración de AWS**
Para crear una barandilla con la consola:
1. Inicie sesión Consola de administración de AWS con una identidad de IAM que tenga permisos para usar la consola Amazon Bedrock. A continuación, abra la consola de Amazon Bedrock en [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. **En el panel de navegación izquierdo, selecciona Guardrails**
1. **Elija Crear barandilla**
1. Siga las instrucciones del asistente para configurar las políticas que desee (filtros de contenido, temas rechazados, filtros de palabras, filtros de información confidencial)
1. No habilite la política de razonamiento automatizado
1. Complete el asistente para crear su barandilla
**A través de la API**
Uso de la API de `CreateGuardrail`.
**Verificar**
Una vez creada, deberías verla en la lista de barandas de la página de inicio o buscarla en la lista de barandillas con el nombre de la barandilla
1.
**Cree una versión de barandilla**
Cree una versión numérica para garantizar que la configuración de la barandilla permanezca inmutable y las cuentas de los miembros no puedan modificarla.
**A través de Consola de administración de AWS**
Para crear una versión de barandilla mediante la consola:
1. Seleccione la barandilla creada en el paso anterior en la página Guardrails de la consola Amazon Bedrock.
1. **Seleccione Crear versión**
1. Anote el ARN de la barandilla y el número de versión (p. ej., «1", «2", etc.)
**A través de la API**
Uso de la API de `CreateGuardrailVersion`.
**Verificar**
Compruebe que la versión se ha creado correctamente consultando la lista de versiones en la página de detalles de Guardrail.
1.
**Adjunte una política basada en recursos (opcional)**
Si quieres compartir la barrera con funciones específicas de tu cuenta, adjunta una política basada en recursos.
**A través de Consola de administración de AWS**
Para adjuntar una política basada en recursos mediante la consola:
1. En la consola Amazon Bedrock Guardrails, selecciona tu barandilla
1. Haga clic en **Agregar para agregar** una política basada en recursos
1. Agregue una política que conceda `bedrock:ApplyGuardrail` permisos a las funciones deseadas
1. Guarde la política
1.
**Habilite la aplicación a nivel de cuenta**
Configure la cuenta para usar su barandilla en todas las invocaciones de Amazon Bedrock. Esto debe hacerse en todas las regiones en las que desee hacer cumplir la ley.
**Vía Consola de administración de AWS**
Para habilitar la aplicación a nivel de cuenta mediante la consola:
1. Navegue hasta la consola Amazon Bedrock
1. Seleccione **Guardrails en el panel** de navegación izquierdo
1. **En la sección de **configuraciones de aplicación a nivel de cuenta**, elija Agregar**
1. Seleccione su barandilla y su versión
1. Configura la `input_tags` configuración (ajústala en IGNORAR para evitar que las cuentas de los miembros pasen por alto la barandilla de entrada a través de las etiquetas de entrada de la barandilla)
1. Envíe la configuración
1. Repita el procedimiento para cada región en la que desee que se aplique
**A través de la API**
Utilice la `PutEnforcedGuardrailConfiguration` API en todas las regiones en las que desee reforzar la barandilla
**Verificar**
Deberías ver la barrera de protección reforzada por la cuenta en la sección Configuración de la barrera de protección **forzada por la cuenta en la página de barreras de protección.** Puedes llamar a la [ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html)API para asegurarte de que la barandilla forzada aparezca en la lista
1.
**Pruebe y verifique la aplicación**
**Prueba a usar un rol en tu cuenta**
Para probar el cumplimiento desde tu cuenta, sigue estos pasos:
1. Realice una llamada de inferencia de Amazon Bedrock utilizando`InvokeModel`,`Converse`, `InvokeModelWithResponseStream` o `ConverseStream`
1. La barrera impuesta por la cuenta debería aplicarse automáticamente tanto a las entradas como a las salidas
1. Compruebe la respuesta para obtener información sobre la evaluación de la barandilla. La respuesta sobre la barandilla incluirá información sobre la barandilla forzada.
## Supervisión
+ Realice un seguimiento de las intervenciones y las métricas de las barandillas mediante las métricas de [Amazon CloudWatch Bedrock](monitoring-guardrails-cw-metrics.md) Guardrails
+ Revise CloudTrail los registros de las llamadas a la `ApplyGuardrail` API para monitorear los patrones de uso, como las AccessDenied excepciones que indiquen problemas de configuración de los permisos de IAM. Consulte los [eventos de datos de Amazon Bedrock](logging-using-cloudtrail.md#service-name-data-events-cloudtrail) en CloudTrail
## Precios
La aplicación de Amazon Bedrock Guardrails sigue el modelo de precios actual de Amazon Bedrock Guardrails en función del número de unidades de texto consumidas por dispositivo de protección configurado. Se aplican cargos a cada barandilla reforzada de acuerdo con las protecciones configuradas. Para obtener información detallada sobre los precios y las medidas de seguridad individuales, consulta [Amazon Bedrock Pricing](https://aws.amazon.com/bedrock/pricing/).
## Preguntas frecuentes
**¿Cómo se calcula el consumo con arreglo a las cuotas cuando se aplican barreras obligatorias?**
El consumo se calculará por cada ARN de barandilla asociado a cada solicitud y se tendrá en cuenta para la AWS cuenta que realiza la llamada a la API. Por ejemplo: una `ApplyGuardrail` llamada con 1000 caracteres de texto y 3 barandillas generaría 3 unidades de texto de consumo por barandilla y por salvaguarda de la barandilla.
Las llamadas a cuentas de miembros que utilicen la Política de Amazon Bedrock se tendrán en cuenta a efectos de los Service Quotas de la cuenta de miembro. Revise la [documentación de Service Quotas Console o Service Quotas](https://docs.aws.amazon.com/general/latest/gr/bedrock.html) y asegúrese de que los límites de tiempo de ejecución de sus Guardrails sean suficientes para su volumen de llamadas.
**¿Cómo puedo evitar que las cuentas de los miembros pasen por alto las barreras mediante etiquetas de entrada?**
Utilice el `input_tags` control disponible en:
+ Políticas de Amazon Bedrock AWS Organizations
+ La API de [PutEnforcedGuardrailConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_PutEnforcedGuardrailConfiguration.html)
Establezca el valor en ignorar para evitar que las cuentas de los miembros etiqueten contenido parcial.
**¿Qué sucede si mi solicitud incluye barreras de seguridad obligatorias tanto a nivel de organización como de cuenta?**
Las tres barandillas se aplicarán durante el tiempo de ejecución. El efecto neto es la unión de todas las barandillas, prevaleciendo el control más restrictivo.
**¿Qué ocurre con los modelos que no admiten barandas?**
En el caso de los modelos en los que no se admiten barandas (como los modelos integrados), se generará un error de validación en tiempo de ejecución.
**¿Puedo eliminar una barandilla que se esté utilizando en una configuración de cumplimiento?**
No. De forma predeterminada, la [DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html)API impide la eliminación de las barreras asociadas a las configuraciones de aplicación a nivel de cuenta o de organización.