Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Terapkan perlindungan lintas akun dengan penegakan Amazon Bedrock Guardrails
**catatan**
Penegakan Amazon Bedrock Guardrails sedang dalam pratinjau dan dapat berubah sewaktu-waktu.
Penegakan Amazon Bedrock Guardrails memungkinkan Anda menerapkan kontrol keamanan secara otomatis di tingkat akun dan pada tingkat tertentu (di seluruh AWS akun) untuk semua AWS Organizations pemanggilan model dengan Amazon Bedrock. Pendekatan terpusat ini mempertahankan perlindungan yang konsisten di beberapa akun dan aplikasi, menghilangkan kebutuhan untuk mengonfigurasi pagar pembatas untuk akun dan aplikasi individual.
**Kemampuan kunci**
Berikut ini adalah kemampuan utama penegakan pagar pembatas:
+ **Penegakan tingkat organisasi** — Terapkan pagar pembatas untuk semua pemanggilan model dengan Amazon Bedrock di seluruh unit organisasi (OUs), akun individual, atau seluruh organisasi Anda menggunakan kebijakan Amazon Bedrock (dalam pratinjau) dengan. AWS Organizations
+ **Penegakan tingkat akun** - Tentukan versi pagar pembatas tertentu dalam akun AWS untuk semua pemanggilan model Amazon Bedrock dari akun itu.
+ **Perlindungan berlapis** - Gabungkan pagar pembatas khusus organisasi dan aplikasi saat keduanya hadir. Kontrol keselamatan yang efektif akan menjadi penyatuan kedua pagar pembatas dengan kontrol yang paling ketat diutamakan jika terjadi kontrol yang sama dari kedua pagar pembatas.
Topik berikut menjelaskan cara menggunakan penegakan Amazon Bedrock Guardrails:
**Topics**
+ [Panduan Implementasi](#guardrails-enforcements-implementation-guide)
+ [Memantau](#monitoring)
+ [Harga](#pricing)
+ [Pertanyaan yang Sering Diajukan](#faq)
## Panduan Implementasi
Tutorial di bawah ini berjalan melalui langkah-langkah yang diperlukan untuk menegakkan pagar pembatas untuk akun dengan AWS Organisasi dan untuk satu akun. AWS Dengan penegakan ini, semua pemanggilan model ke Amazon Bedrock akan menegakkan perlindungan yang dikonfigurasi dalam pagar pembatas yang ditentukan.
### Tutorial: Penegakan Tingkat Organisasi
Tutorial ini memandu Anda melalui pengaturan penegakan pagar pembatas di seluruh organisasi Anda AWS . Pada akhirnya, Anda akan memiliki pagar pembatas yang secara otomatis berlaku untuk semua pemanggilan model Amazon Bedrock di seluruh akun tertentu atau. OUs
**Siapa yang harus mengikuti tutorial ini**
AWS Administrator organisasi (dengan akses akun manajemen) dengan izin untuk membuat pagar pembatas dan mengelola kebijakan. AWS Organizations
**Apa yang Anda butuhkan**
Berikut ini diperlukan untuk menyelesaikan tutorial ini:
+ [AWS Organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dengan akses akun manajemen
+ [Izin IAM](guardrails-permissions.md#guardrails-permissions-use) [untuk membuat pagar pembatas dan mengelola kebijakan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)
+ Memahami persyaratan keselamatan organisasi Anda
**Untuk mengatur penegakan pagar pembatas tingkat organisasi**
1.
**Rencanakan konfigurasi pagar pembatas Anda**
1. Tentukan perlindungan Anda:
+ Tinjau filter pagar pembatas yang tersedia dalam dokumentasi [Amazon Bedrock](guardrails.md) Guardrails
+ Identifikasi filter mana yang Anda butuhkan. Saat ini, filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual didukung.
+ **Catatan:** Jangan sertakan kebijakan penalaran otomatis, karena tidak didukung untuk penegakan pagar pembatas dan akan menyebabkan kegagalan runtime.
1. Identifikasi akun target:
+ Tentukan mana OUs, akun, atau seluruh organisasi Anda yang akan memberlakukan pagar pembatas ini
1.
**Buat pagar pembatas Anda di akun manajemen**
Buat pagar pembatas di setiap wilayah tempat Anda ingin menegakkannya dengan salah satu metode berikut:
+ Menggunakan Konsol Manajemen AWS:
1. Masuk ke Konsol Manajemen AWS dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).
1. Di panel navigasi kiri, pilih **Guardrails**
1. Pilih **Buat pagar pembatas**
1. Ikuti panduan untuk mengonfigurasi filter atau perlindungan yang Anda inginkan (filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual)
1. Jangan aktifkan kebijakan penalaran otomatis
1. Lengkapi wizard untuk membuat pagar pembatas Anda
+ Menggunakan API: Gunakan [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html)API
**Verifikasi**
Setelah dibuat, Anda akan melihatnya di daftar pagar pembatas di halaman arahan Guardrails atau mencarinya di daftar pagar pembatas menggunakan nama pagar pembatas
1.
**Buat Versi Guardrail**
Buat versi numerik untuk memastikan konfigurasi pagar pembatas tetap tidak berubah dan tidak dapat dimodifikasi oleh akun anggota.
+ Menggunakan Konsol Manajemen AWS:
1. Pilih pagar pembatas yang dibuat pada langkah sebelumnya di halaman Guardrails di konsol Amazon Bedrock
1. Pilih **Buat versi**
1. Perhatikan ARN pagar pembatas dan nomor versi (misalnya, “1", “2", dll.)
+ Menggunakan API: Gunakan [CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html)API
**Verifikasi**
Konfirmasikan bahwa versi berhasil dibuat dengan memeriksa daftar versi di halaman detail Guardrail.
1.
**Lampirkan Kebijakan Berbasis Sumber Daya**
Aktifkan akses lintas akun dengan melampirkan kebijakan berbasis sumber daya ke pagar pembatas Anda.
+ Menggunakan Konsol Manajemen AWS — Untuk melampirkan kebijakan berbasis sumber daya menggunakan konsol:
1. Di konsol Amazon Bedrock Guardrails, pilih pagar pembatas
1. Klik **Tambah** untuk menambahkan kebijakan berbasis sumber daya
1. Tambahkan kebijakan yang memberikan `bedrock:ApplyGuardrail` izin ke semua akun atau organisasi anggota. Lihat [Bagikan pagar pembatas dengan organisasi Anda](guardrails-resource-based-policies.md#share-guardrail-with-organization) di[Menggunakan kebijakan berbasis sumber daya untuk pagar pembatas](guardrails-resource-based-policies.md).
1. Simpan kebijakan
**Verifikasi**
Uji akses dari akun anggota menggunakan [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API untuk memastikan otorisasi dikonfigurasi dengan benar.
1.
**Konfigurasikan Izin IAM di Akun Anggota**
Pastikan semua peran di akun anggota memiliki izin IAM untuk mengakses pagar pembatas yang diberlakukan.
**Izin yang diperlukan**
Peran akun anggota memerlukan `bedrock:ApplyGuardrail` izin untuk pagar pembatas akun manajemen. Lihat [Siapkan izin untuk menggunakan Amazon Bedrock Guardrails](guardrails-permissions.md) contoh kebijakan IAM yang mendetail
**Verifikasi**
Konfirmasikan bahwa peran dengan izin cakupan bawah di akun anggota dapat berhasil memanggil `ApplyGuardrail` API dengan pagar pembatas.
1.
**Aktifkan Jenis Kebijakan Batuan Dasar Amazon di AWS Organizations**
+ Menggunakan Konsol Manajemen AWS — Untuk mengaktifkan jenis kebijakan Amazon Bedrock menggunakan konsol:
1. Arahkan ke AWS Organizations konsol
1. Pilih **Kebijakan**
1. Pilih **kebijakan Amazon Bedrock** (saat ini dalam pratinjau)
1. Pilih **Aktifkan kebijakan Amazon Bedrock** untuk mengaktifkan jenis kebijakan Amazon Bedrock untuk organisasi Anda
+ Menggunakan API — Gunakan AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)API dengan tipe kebijakan `BEDROCK_POLICY`
**Verifikasi**
Konfirmasikan jenis kebijakan Amazon Bedrock ditampilkan sebagai diaktifkan di AWS Organizations konsol.
1.
**Membuat dan Melampirkan AWS Organizations Kebijakan**
Buat kebijakan manajemen yang menentukan pagar pembatas Anda dan lampirkan ke akun target Anda atau. OUs
+ Menggunakan Konsol Manajemen AWS — Untuk membuat dan melampirkan AWS Organizations kebijakan menggunakan konsol:
1. Di AWS Organizations konsol, navigasikan ke **Kebijakan > Kebijakan** **Amazon Bedrock**
1. Pilih **Buat kebijakan**.
1. Tentukan ARN dan versi pagar pembatas Anda
1. Konfigurasikan `input_tags` pengaturan (atur untuk mengabaikan untuk mencegah akun anggota melewati pagar pembatas pada input melalui tag input [pagar pembatas](guardrails-tagging.md)).
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
},
"input_tags": {
"@@assign": "honor"
}
}
}
}
}
}
```
1. Simpan kebijakan
1. **Lampirkan kebijakan ke target yang Anda inginkan (root organisasi OUs, atau akun individual) dengan menavigasi ke tab **Target** dan memilih Lampirkan**
+ Menggunakan API — Gunakan AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)API dengan tipe kebijakan`BEDROCK_POLICY`. Gunakan [AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html)untuk melampirkan ke target
Pelajari lebih lanjut: [Kebijakan Amazon Bedrock](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) di AWS Organizations
**Verifikasi**
Periksa apakah kebijakan dilampirkan ke target yang benar di AWS Organizations konsol.
1.
**Uji dan verifikasi penegakan**
Uji bahwa pagar pembatas diberlakukan pada akun anggota.
**Verifikasi pagar pembatas mana yang diberlakukan**
+ Menggunakan Konsol Manajemen AWS — Dari akun anggota, navigasikan ke konsol Amazon Bedrock, klik **Guardrails di panel** kiri. **Di halaman beranda Guardrails, Anda akan melihat pagar pembatas yang diberlakukan organisasi di bawah bagian **Konfigurasi penegakan tingkat organisasi di akun manajemen dan pagar pembatas yang diberlakukan tingkat Organisasi** di akun anggota**
+ Menggunakan API — Dari akun anggota, hubungi [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)dengan ID akun anggota Anda sebagai ID target
**Uji dari akun anggota**
1. Buat panggilan inferensi Amazon Bedrock menggunakan [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html),, [Converse [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html), atau. [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
1. Pagar pembatas yang diberlakukan harus secara otomatis berlaku untuk input dan output
1. Periksa respons untuk informasi penilaian pagar pembatas. Respons pagar pembatas akan mencakup informasi pagar pembatas yang diberlakukan.
### Tutorial: Penegakan Tingkat Akun
Tutorial ini memandu Anda melalui pengaturan penegakan pagar pembatas dalam satu AWS akun. Pada akhirnya, Anda akan memiliki pagar pembatas yang secara otomatis berlaku untuk semua pemanggilan model Amazon Bedrock di akun Anda.
**Siapa yang harus mengikuti tutorial ini**
AWS administrator akun dengan izin untuk membuat pagar pembatas dan mengonfigurasi pengaturan tingkat akun.
**Apa yang Anda butuhkan**
Berikut ini diperlukan untuk menyelesaikan tutorial ini:
+ AWS Akun dengan izin IAM yang sesuai
+ Memahami persyaratan keamanan akun Anda
**Untuk mengatur penegakan pagar pembatas tingkat akun**
1.
**Rencanakan konfigurasi pagar pembatas**
**Tentukan perlindungan Anda**
Untuk menentukan perlindungan Anda:
+ Tinjau filter pagar pembatas yang tersedia dalam dokumentasi [Amazon Bedrock](guardrails.md) Guardrails
+ Identifikasi filter mana yang Anda butuhkan. Saat ini, filter konten, topik yang ditolak, filter kata, filter informasi sensitif, pemeriksaan pentanahan kontekstual didukung.
+ **Catatan:** Jangan sertakan kebijakan penalaran otomatis, karena tidak didukung untuk penegakan pagar pembatas dan akan menyebabkan kegagalan runtime
1.
**Buat pagar pembatas Anda**
Buat pagar pembatas di setiap wilayah tempat Anda ingin menegakkannya.
**Melalui Konsol Manajemen AWS**
Untuk membuat pagar pembatas menggunakan konsol:
1. Masuk ke Konsol Manajemen AWS dengan identitas IAM yang memiliki izin untuk menggunakan konsol Amazon Bedrock. Kemudian, buka konsol Amazon Bedrock di [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock).
1. Di panel navigasi kiri, pilih **Guardrails**
1. Pilih **Buat pagar pembatas**
1. Ikuti panduan untuk mengonfigurasi kebijakan yang Anda inginkan (filter konten, topik yang ditolak, filter kata, filter informasi sensitif)
1. Jangan aktifkan kebijakan penalaran otomatis
1. Lengkapi wizard untuk membuat pagar pembatas Anda
**Melalui API**
Gunakan `CreateGuardrail` API
**Verifikasi**
Setelah dibuat, Anda akan melihatnya di daftar pagar pembatas di halaman arahan Guardrails atau mencarinya di daftar pagar pembatas menggunakan nama pagar pembatas
1.
**Buat versi pagar pembatas**
Buat versi numerik untuk memastikan konfigurasi pagar pembatas tetap tidak berubah dan tidak dapat dimodifikasi oleh akun anggota.
**Melalui Konsol Manajemen AWS**
Untuk membuat versi pagar pembatas menggunakan konsol:
1. Pilih pagar pembatas yang dibuat pada langkah sebelumnya di halaman Guardrails di konsol Amazon Bedrock
1. Pilih **Buat versi**
1. Perhatikan ARN pagar pembatas dan nomor versi (misalnya, “1", “2", dll.)
**Melalui API**
Gunakan `CreateGuardrailVersion` API
**Verifikasi**
Konfirmasikan bahwa versi berhasil dibuat dengan memeriksa daftar versi di halaman detail Guardrail.
1.
**Lampirkan kebijakan berbasis sumber daya (opsional)**
Jika Anda ingin berbagi pagar pembatas dengan peran tertentu di akun Anda, lampirkan kebijakan berbasis sumber daya.
**Melalui Konsol Manajemen AWS**
Untuk melampirkan kebijakan berbasis sumber daya menggunakan konsol:
1. Di konsol Amazon Bedrock Guardrails, pilih pagar pembatas
1. Klik **Tambah** untuk menambahkan kebijakan berbasis sumber daya
1. Menambahkan kebijakan yang memberikan `bedrock:ApplyGuardrail` izin ke peran yang diinginkan
1. Simpan kebijakan
1.
**Aktifkan penegakan tingkat akun**
Konfigurasikan akun untuk menggunakan pagar pembatas untuk semua pemanggilan Amazon Bedrock. Ini harus dilakukan di setiap wilayah di mana Anda ingin penegakan hukum.
**Melalui Konsol Manajemen AWS**
Untuk mengaktifkan penegakan tingkat akun menggunakan konsol:
1. Arahkan ke konsol Amazon Bedrock
1. Pilih **Guardrails** di panel navigasi kiri
1. **Di bagian **Konfigurasi penegakan tingkat akun**, pilih Tambah**
1. Pilih pagar pembatas dan versi
1. Konfigurasikan `input_tags` pengaturan (atur ke IGNORE untuk mencegah akun anggota melewati pagar pembatas pada input melalui tag input Pagar Pembatas)
1. Kirim konfigurasi
1. Ulangi untuk setiap wilayah di mana Anda ingin penegakan
**Melalui API**
Gunakan `PutEnforcedGuardrailConfiguration` API di setiap wilayah tempat Anda ingin menerapkan pagar pembatas
**Verifikasi**
Anda akan melihat pagar pembatas yang diberlakukan akun di bawah bagian Konfigurasi pagar pembatas yang **diberlakukan akun di halaman Guardrails**. Anda dapat memanggil [ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html)API untuk memastikan bahwa pagar pembatas yang diberlakukan terdaftar
1.
**Uji dan verifikasi penegakan**
**Uji menggunakan peran di akun Anda**
Untuk menguji penegakan hukum dari akun Anda:
1. Membuat panggilan inferensi Amazon Bedrock menggunakan`InvokeModel`,,`Converse`, `InvokeModelWithResponseStream` atau `ConverseStream`
1. Pagar pembatas yang diberlakukan akun harus secara otomatis berlaku untuk input dan output
1. Periksa respons untuk informasi penilaian pagar pembatas. Respons pagar pembatas akan mencakup informasi pagar pembatas yang diberlakukan.
## Memantau
+ [Lacak intervensi dan metrik pagar pembatas menggunakan metrik CloudWatch untuk Amazon Bedrock Guardrails](monitoring-guardrails-cw-metrics.md)
+ Tinjau CloudTrail log untuk panggilan `ApplyGuardrail` API untuk memantau pola penggunaan seperti AccessDenied pengecualian yang menunjukkan masalah konfigurasi izin IAM. Lihat [peristiwa data Amazon Bedrock](logging-using-cloudtrail.md#service-name-data-events-cloudtrail) di CloudTrail
## Harga
Penegakan Amazon Bedrock Guardrails mengikuti model penetapan harga saat ini untuk Amazon Bedrock Guardrails berdasarkan jumlah unit teks yang dikonsumsi per perlindungan yang dikonfigurasi. Biaya berlaku untuk setiap pagar pembatas yang diberlakukan sesuai dengan pengamanan yang dikonfigurasikan. Untuk informasi harga terperinci tentang perlindungan individu, silakan lihat Harga [Amazon](https://aws.amazon.com/bedrock/pricing/) Bedrock.
## Pertanyaan yang Sering Diajukan
**Bagaimana konsumsi terhadap kuota dihitung ketika pagar pembatas yang diberlakukan berlaku?**
Konsumsi akan dihitung per ARN pagar pembatas yang terkait dengan setiap permintaan dan akan dihitung ke AWS akun yang melakukan panggilan API. Misalnya: `ApplyGuardrail` panggilan dengan 1000 karakter teks dan 3 pagar pembatas akan menghasilkan 3 unit teks konsumsi per pagar pembatas per pengaman di pagar pembatas.
Panggilan akun anggota menggunakan Kebijakan Dasar Dasar Amazon akan dihitung terhadap Service Quotas untuk akun anggota. Tinjau dokumentasi Konsol Service [Quotas atau Service Quotas](https://docs.aws.amazon.com/general/latest/gr/bedrock.html) dan pastikan batas waktu proses Guardrails cukup untuk volume panggilan Anda.
**Bagaimana cara mencegah akun anggota melewati pagar pembatas menggunakan tag input?**
Gunakan `input_tags` kontrol yang tersedia di:
+ Kebijakan Amazon Bedrock AWS Organizations
+ [PutEnforcedGuardrailConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_PutEnforcedGuardrailConfiguration.html)API
Tetapkan nilai yang akan diabaikan untuk mencegah akun anggota menandai sebagian konten.
**Apa yang terjadi jika saya memiliki pagar pembatas yang diberlakukan di tingkat organisasi dan tingkat akun serta pagar pembatas dalam permintaan saya?**
Semua 3 pagar pembatas akan diberlakukan saat runtime. Efek bersihnya adalah penyatuan semua pagar pembatas, dengan kontrol yang paling ketat diutamakan.
**Apa yang terjadi dengan model yang tidak mendukung pagar pembatas?**
Untuk model di mana Guardrails tidak didukung (seperti menyematkan model), kesalahan validasi runtime akan ditampilkan.
**Dapatkah saya menghapus pagar pembatas yang digunakan dalam konfigurasi penegakan hukum?**
Tidak. Secara default, [DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html)API mencegah penghapusan pagar pembatas yang terkait dengan konfigurasi penegakan tingkat akun atau tingkat organisasi.