Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Appliquez des mesures de protection entre comptes grâce aux mesures d'application d'Amazon Bedrock Guardrails
**Note**
Amazon Bedrock Guardrails Enforcements est en cours de prévisualisation et peut faire l'objet de modifications.
Les applications Amazon Bedrock Guardrails vous permettent d'appliquer automatiquement des contrôles de sécurité au niveau du AWS compte et à un AWS Organizations niveau (entre les comptes) pour toutes les invocations de modèles avec Amazon Bedrock. Cette approche centralisée assure des garanties cohérentes sur plusieurs comptes et applications, éliminant ainsi le besoin de configurer des garde-fous pour des comptes et applications individuels.
**Capacités clés**
Les principales capacités de l'application des garde-corps sont les suivantes :
+ **Application au niveau de l'organisation** — Appliquez des garde-fous à tous les modèles d'invocation avec Amazon Bedrock au sein des unités organisationnelles (OUs), des comptes individuels ou de l'ensemble de votre organisation en utilisant les politiques d'Amazon Bedrock (en version préliminaire) avec. AWS Organizations
+ **Application au niveau du compte** — Désignez une version particulière d'un garde-corps au sein d'un compte AWS pour toutes les invocations du modèle Amazon Bedrock provenant de ce compte.
+ **Protection par couches** : combinez des garde-fous spécifiques à l'organisation et à l'application lorsque les deux sont présents. Le contrôle de sécurité efficace sera une union des deux garde-corps, les contrôles les plus restrictifs ayant préséance en cas de même commande depuis les deux garde-corps.
Les rubriques suivantes décrivent comment utiliser les outils d'application d'Amazon Bedrock Guardrails :
**Topics**
+ [Guide de mise en œuvre](#guardrails-enforcements-implementation-guide)
+ [Contrôle](#monitoring)
+ [Tarification](#pricing)
+ [Questions fréquentes (FAQ)](#faq)
## Guide de mise en œuvre
Les didacticiels ci-dessous décrivent les étapes nécessaires pour appliquer des mesures de protection aux comptes appartenant à une AWS organisation et à un compte unique AWS . Grâce à ces mesures, toutes les invocations de modèles adressées à Amazon Bedrock appliqueront les mesures de protection configurées dans le garde-corps désigné.
### Tutoriel : Application de la loi au niveau de l'organisation
Ce didacticiel vous explique comment configurer l'application des garde-fous au sein de votre AWS organisation. À la fin, vous aurez un garde-fou qui s'appliquera automatiquement à toutes les invocations du modèle Amazon Bedrock sur des comptes spécifiques ou. OUs
**Qui devrait suivre ce tutoriel**
AWS Administrateurs de l'organisation (ayant accès à un compte de gestion) autorisés à créer des garde-fous et à gérer AWS Organizations les politiques.
**Ce dont vous aurez besoin**
Les éléments suivants sont nécessaires pour suivre ce didacticiel :
+ Une [AWS organisation disposant](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) d'un accès à un compte de gestion
+ [Autorisations IAM](guardrails-permissions.md#guardrails-permissions-use) [pour créer des garde-fous et gérer les politiques AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)
+ Compréhension des exigences de sécurité de votre organisation
**Pour configurer l'application des garde-fous au niveau de l'organisation**
1.
**Planifiez la configuration de votre garde-corps**
1. Définissez vos mesures de protection :
+ Consultez les filtres de garde-corps disponibles dans la documentation [Amazon Bedrock](guardrails.md) Guardrails
+ Identifiez le filtre dont vous avez besoin. Actuellement, les filtres de contenu, les sujets refusés, les filtres de mots, les filtres d'informations sensibles et les vérifications contextuelles de base sont pris en charge.
+ **Remarque :** N'incluez pas la politique de raisonnement automatique, car elle n'est pas prise en charge pour l'application des garde-fous et peut entraîner des échecs d'exécution.
1. Identifiez les comptes cibles :
+ Déterminez quels OUs comptes ou l'ensemble de votre organisation feront appliquer ce garde-fou
1.
**Créez votre garde-corps dans le compte de gestion**
Créez un garde-corps dans chaque région où vous souhaitez le renforcer à l'aide de l'une des méthodes suivantes :
+ À l'aide du AWS Management Console :
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. Dans le panneau de navigation de gauche, choisissez **Guardrails**
1. Choisissez **Créer un garde-corps**
1. Suivez l'assistant pour configurer les filtres ou les mesures de protection souhaités (filtres de contenu, sujets refusés, filtres de mots, filtres d'informations sensibles, vérifications contextuelles de base)
1. Ne pas activer la politique de raisonnement automatique
1. Complétez l'assistant pour créer votre garde-corps
+ Utilisation de l'API : utilisez l'[CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html)API
**Vérification**
Une fois créé, vous devriez le voir dans la liste des rambardes sur la page d'accueil des rambardes ou le rechercher dans la liste des rambardes en utilisant le nom du garde-corps
1.
**Création d'une version de garde-corps**
Créez une version numérique pour garantir que la configuration du garde-corps reste immuable et ne peut pas être modifiée par les comptes des membres.
+ À l'aide du AWS Management Console :
1. Sélectionnez le garde-corps créé à l'étape précédente sur la page Gardrails de la console Amazon Bedrock.
1. Choisissez **Créer une version**
1. Notez l'ARN du garde-corps et le numéro de version (par exemple, « 1 », « 2 », etc.)
+ Utilisation de l'API : utilisez l'[CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html)API
**Vérification**
Vérifiez que la version a été créée avec succès en consultant la liste des versions sur la page détaillée de Guardrail.
1.
**Joindre une politique basée sur les ressources**
Activez l'accès entre comptes en attachant une politique basée sur les ressources à votre garde-fou.
+ Utilisation de AWS Management Console — Pour associer une politique basée sur les ressources à l'aide de la console :
1. Dans la console Amazon Bedrock Guardrails, sélectionnez votre garde-corps
1. Cliquez sur **Ajouter** pour ajouter une politique basée sur les ressources
1. Ajoutez une politique qui accorde `bedrock:ApplyGuardrail` l'autorisation à tous les comptes membres ou à toutes les organisations. Consultez [Partagez le garde-corps avec votre organisation](guardrails-resource-based-policies.md#share-guardrail-with-organization) dans [Utiliser des politiques basées sur les ressources pour les garde-fous](guardrails-resource-based-policies.md).
1. Enregistrez la politique
**Vérification**
Testez l'accès depuis un compte membre à l'aide de l'[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API pour vous assurer que l'autorisation est correctement configurée.
1.
**Configuration des autorisations IAM dans les comptes membres**
Assurez-vous que tous les rôles des comptes membres disposent des autorisations IAM pour accéder au garde-fou imposé.
**Autorisations requises**
Les rôles des comptes membres nécessitent une `bedrock:ApplyGuardrail` autorisation pour assurer le garde-fou du compte de gestion. Voir [Configuration d’autorisations pour utiliser les barrières de protection Amazon Bedrock](guardrails-permissions.md) pour des exemples de politiques IAM détaillés
**Vérification**
Vérifiez que les rôles dotés d'autorisations limitées dans les comptes membres peuvent appeler correctement l'`ApplyGuardrail`API à l'aide du garde-fou.
1.
**Activez le type de politique Amazon Bedrock dans AWS Organizations**
+ Utilisation de AWS Management Console — Pour activer la politique Amazon Bedrock, tapez à l'aide de la console :
1. Accédez à la AWS Organizations console
1. Choisissez **les politiques**
1. Choisissez les **politiques d'Amazon Bedrock** (actuellement en version préliminaire)
1. Choisissez **Activer les politiques Amazon Bedrock** pour activer le type de politique Amazon Bedrock pour votre organisation.
+ Utilisation de l'API — Utiliser l' AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)API avec le type de politique `BEDROCK_POLICY`
**Vérification**
Vérifiez que le type de politique Amazon Bedrock est activé dans la AWS Organizations console.
1.
**Créer et joindre une AWS Organizations politique**
Créez une politique de gestion qui spécifie votre garde-fou et attachez-la à vos comptes cibles ou. OUs
+ À l'aide de AWS Management Console — Pour créer et associer une AWS Organizations politique à l'aide de la console, procédez comme suit :
1. Dans la AWS Organizations console, accédez à **Politiques > Politiques** **d'Amazon Bedrock**
1. Choisir **Create policy (Créer une stratégie)**
1. Spécifiez l'ARN et la version de votre garde-corps
1. Configurez le `input_tags` paramètre (défini sur ignorer pour empêcher les comptes membres de contourner le garde-corps lors de l'entrée via les balises de saisie [Guardrails](guardrails-tagging.md)).
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
},
"input_tags": {
"@@assign": "honor"
}
}
}
}
}
}
```
1. Enregistrez la politique
1. **Associez la politique aux cibles souhaitées (racine de l'organisation ou comptes individuels) en accédant à l'onglet **Cibles** et en choisissant Joindre OUs**
+ Utilisation de l'API — Utilisez l' AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)API avec le type de politique`BEDROCK_POLICY`. [AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html)À utiliser pour attacher à des cibles
Pour en savoir plus : [Politiques d'Amazon Bedrock](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) dans AWS Organizations
**Vérification**
Vérifiez que la politique est attachée aux bonnes cibles dans la AWS Organizations console.
1.
**Tester et vérifier l'application**
Vérifiez que le garde-fou est appliqué sur les comptes des membres.
**Vérifiez quel garde-corps est appliqué**
+ À l'aide de AWS Management Console — Depuis un compte membre, accédez à la console Amazon Bedrock, cliquez sur **Guardrails** dans le panneau de gauche. Sur la page d'accueil de Guardrails, vous devriez voir le garde-corps appliqué par l'organisation dans la section **Configurations d'application au niveau de l'organisation dans le compte de gestion et Garde-corps appliqués au niveau** de l'**organisation** dans le compte membre.
+ Utilisation de l'API — À partir d'un compte membre, appelez [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)avec votre identifiant de compte membre comme identifiant cible
**Tester depuis un compte membre**
1. Passez un appel d'inférence Amazon Bedrock en utilisant [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html), [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html), [Converse ou. [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
1. Le garde-corps imposé devrait s'appliquer automatiquement aux entrées et aux sorties
1. Consultez la réponse pour obtenir des informations sur l'évaluation du garde-corps. La réponse du garde-corps comprendra des informations sur le garde-corps imposé.
### Tutoriel : Application au niveau du compte
Ce didacticiel vous explique comment configurer l'application des garde-fous au sein d'un seul AWS compte. À la fin, vous disposerez d'un garde-fou qui s'appliquera automatiquement à toutes les invocations du modèle Amazon Bedrock sur votre compte.
**Qui devrait suivre ce tutoriel**
AWS administrateurs de comptes autorisés à créer des garde-fous et à configurer les paramètres au niveau du compte.
**Ce dont vous aurez besoin**
Les éléments suivants sont nécessaires pour suivre ce didacticiel :
+ Un AWS compte doté des autorisations IAM appropriées
+ Compréhension des exigences de sécurité de votre compte
**Pour configurer l'application des garde-fous au niveau du compte**
1.
**Planifiez la configuration de votre garde-corps**
**Définissez vos mesures de protection**
Pour définir vos mesures de protection :
+ Consultez les filtres de garde-corps disponibles dans la documentation [Amazon Bedrock](guardrails.md) Guardrails
+ Identifiez le filtre dont vous avez besoin. Actuellement, les filtres de contenu, les sujets refusés, les filtres de mots, les filtres d'informations sensibles et les vérifications contextuelles de base sont pris en charge.
+ **Remarque :** N'incluez pas la politique de raisonnement automatique, car elle n'est pas prise en charge pour l'application des garde-fous et peut entraîner des échecs d'exécution
1.
**Création d’une barrière de protection**
Créez un garde-corps dans chaque région où vous souhaitez le renforcer.
**Via AWS Management Console**
Pour créer un garde-corps à l'aide de la console :
1. Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. Dans le panneau de navigation de gauche, choisissez **Guardrails**
1. Choisissez **Créer un garde-corps**
1. Suivez l'assistant pour configurer les politiques souhaitées (filtres de contenu, sujets refusés, filtres de mots, filtres d'informations sensibles)
1. Ne pas activer la politique de raisonnement automatique
1. Complétez l'assistant pour créer votre garde-corps
**Via l'API**
Utilisation de l'API `CreateGuardrail`
**Vérification**
Une fois créé, vous devriez le voir dans la liste des rambardes sur la page d'accueil des rambardes ou le rechercher dans la liste des rambardes en utilisant le nom du garde-corps
1.
**Création d'une version de garde-corps**
Créez une version numérique pour garantir que la configuration du garde-corps reste immuable et ne peut pas être modifiée par les comptes des membres.
**Via AWS Management Console**
Pour créer une version de garde-corps à l'aide de la console :
1. Sélectionnez le garde-corps créé à l'étape précédente sur la page Gardrails de la console Amazon Bedrock.
1. Choisissez **Créer une version**
1. Notez l'ARN du garde-corps et le numéro de version (par exemple, « 1 », « 2 », etc.)
**Via l'API**
Utilisation de l'API `CreateGuardrailVersion`
**Vérification**
Vérifiez que la version a été créée avec succès en consultant la liste des versions sur la page détaillée de Guardrail.
1.
**Joindre une politique basée sur les ressources (facultatif)**
Si vous souhaitez partager le garde-fou avec des rôles spécifiques dans votre compte, joignez une politique basée sur les ressources.
**Via AWS Management Console**
Pour associer une politique basée sur les ressources à l'aide de la console :
1. Dans la console Amazon Bedrock Guardrails, sélectionnez votre garde-corps
1. Cliquez sur **Ajouter** pour ajouter une politique basée sur les ressources
1. Ajoutez une politique qui accorde `bedrock:ApplyGuardrail` l'autorisation aux rôles souhaités
1. Enregistrez la politique
1.
**Permettre l'application au niveau du compte**
Configurez le compte pour utiliser votre garde-corps pour toutes les invocations d'Amazon Bedrock. Cela doit être fait dans toutes les régions où vous souhaitez faire appliquer la loi.
**Via AWS Management Console**
Pour activer l'application au niveau du compte à l'aide de la console :
1. Accédez à la console Amazon Bedrock
1. Choisissez **Guardrails dans le panneau** de navigation de gauche
1. **Dans la section **Configurations d'application au niveau du compte**, choisissez Ajouter**
1. Sélectionnez votre garde-corps et votre version
1. Configurez le `input_tags` paramètre (défini sur IGNORE pour empêcher les comptes membres de contourner le garde-corps en entrée via les balises de saisie Guardrails)
1. Soumettre la configuration
1. Répétez l'opération pour chaque région où vous souhaitez faire appliquer la loi
**Via l'API**
Utilisez l'`PutEnforcedGuardrailConfiguration`API dans toutes les régions où vous souhaitez appliquer le garde-corps
**Vérification**
Vous devriez voir le garde-corps imposé par le compte dans la section **Configuration du garde-corps imposé par le compte sur la page Gardrails**. Vous pouvez appeler [ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html)l'API pour vous assurer que le garde-corps imposé est répertorié
1.
**Tester et vérifier l'application**
**Testez l'utilisation d'un rôle dans votre compte**
Pour tester l'application de la loi depuis votre compte, procédez comme suit :
1. Passez un appel d'inférence Amazon Bedrock en utilisant`InvokeModel`,`Converse`, ou `InvokeModelWithResponseStream` `ConverseStream`
1. Le garde-fou imposé par le compte devrait s'appliquer automatiquement aux entrées et aux sorties
1. Consultez la réponse pour obtenir des informations sur l'évaluation du garde-corps. La réponse du garde-corps comprendra des informations sur le garde-corps imposé.
## Contrôle
+ Suivez les interventions et les mesures relatives aux garde-corps à l'aide des [CloudWatch métriques d'Amazon Bedrock](monitoring-guardrails-cw-metrics.md) Guardrails
+ Consultez CloudTrail les journaux des appels `ApplyGuardrail` d'API afin de surveiller les modèles d'utilisation tels que les AccessDenied exceptions indiquant des problèmes de configuration des autorisations IAM. Consultez les [événements liés aux données d'Amazon Bedrock](logging-using-cloudtrail.md#service-name-data-events-cloudtrail) dans CloudTrail
## Tarification
L'application d'Amazon Bedrock Guardrails suit le modèle de tarification actuel d'Amazon Bedrock Guardrails basé sur le nombre d'unités de texte consommées par sauvegarde configurée. Des frais s'appliquent à chaque garde-corps appliqué en fonction de ses mesures de protection configurées. Pour obtenir des informations détaillées sur les prix relatifs aux garanties individuelles, veuillez consulter les [tarifs d'Amazon Bedrock](https://aws.amazon.com/bedrock/pricing/).
## Questions fréquentes (FAQ)
**Comment est calculée la consommation par rapport aux quotas lorsque des barrières de sécurité renforcées s'appliquent ?**
La consommation sera calculée par ARN de garde-corps associé à chaque demande et sera comptabilisée dans le AWS compte effectuant l'appel d'API. Par exemple : un `ApplyGuardrail` appel contenant 1 000 caractères de texte et 3 rambardes générerait 3 unités de texte consommées par garde-corps et par dispositif de protection intégré au garde-corps.
Les appels effectués dans le cadre de la politique Amazon Bedrock seront pris en compte dans le calcul des Quotas de Service relatifs au compte membre. Consultez la console Service Quotas ou la [documentation Service Quotas](https://docs.aws.amazon.com/general/latest/gr/bedrock.html) et assurez-vous que les limites d'exécution de Guardrails sont suffisantes pour votre volume d'appels.
**Comment empêcher les comptes membres de contourner les barrières de sécurité à l'aide de balises de saisie ?**
Utilisez le `input_tags` contrôle disponible dans :
+ Politiques d'Amazon Bedrock AWS Organizations
+ API [PutEnforcedGuardrailConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_PutEnforcedGuardrailConfiguration.html)
Définissez la valeur à ignorer pour empêcher les comptes membres de baliser un contenu partiel.
**Que se passe-t-il si ma demande comporte des barrières de sécurité appliquées à la fois au niveau de l'organisation et au niveau du compte ?**
Les 3 rambardes seront appliquées au moment de l'exécution. L'effet net est une union de tous les garde-fous, le contrôle le plus restrictif ayant la priorité.
**Que se passe-t-il avec les modèles qui ne sont pas compatibles avec les glissières de sécurité ?**
Pour les modèles sur lesquels Guardrails ne sont pas pris en charge (tels que les modèles d'intégration), une erreur de validation d'exécution sera générée.
**Puis-je supprimer un garde-corps utilisé dans une configuration d'application ?**
Non Par défaut, l'[DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html)API empêche la suppression des barrières de sécurité associées aux configurations d'application au niveau du compte ou de l'organisation.