Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Applica misure di protezione tra account con le misure di applicazione di Amazon Bedrock Guardrails
**Nota**
Le imposizioni di Amazon Bedrock Guardrails sono disponibili in anteprima e sono soggette a modifiche.
Le implementazioni di Amazon Bedrock Guardrails consentono di applicare automaticamente i controlli di sicurezza a livello di account e a AWS Organizations livello (tra AWS account) per tutte le chiamate dei modelli con Amazon Bedrock. Questo approccio centralizzato mantiene protezioni coerenti su più account e applicazioni, eliminando la necessità di configurare barriere per singoli account e applicazioni.
**Funzionalità chiave**
Di seguito sono elencate le funzionalità principali dei sistemi di protezione dei guardrail:
+ **Applicazione a livello di organizzazione**: applica barriere a tutte le chiamate dei modelli con Amazon Bedrock tra le unità organizzative (OUs), i singoli account o l'intera organizzazione utilizzando le politiche di Amazon Bedrock (in anteprima) con. AWS Organizations
+ **Applicazione a livello di account**: designa una versione particolare di un guardrail all'interno di un account AWS per tutte le chiamate del modello Amazon Bedrock da quell'account.
+ **Protezione a più livelli**: combina barriere organizzative e specifiche dell'applicazione quando entrambe sono presenti. Il controllo di sicurezza efficace sarà l'unione di entrambi i guardrail, con i controlli più restrittivi che avranno la precedenza in caso di uno stesso controllo da entrambi i guardrail.
I seguenti argomenti descrivono come utilizzare le imposizioni di Amazon Bedrock Guardrails:
**Topics**
+ [Guida all'implementazione](#guardrails-enforcements-implementation-guide)
+ [Monitoraggio](#monitoring)
+ [Prezzi](#pricing)
+ [Domande frequenti](#faq)
## Guida all'implementazione
I tutorial riportati di seguito illustrano i passaggi necessari per applicare le barriere agli account con un' AWS organizzazione e per un singolo account. AWS Con queste misure, tutte le chiamate dei modelli ad Amazon Bedrock applicheranno le protezioni configurate all'interno del guardrail designato.
### Tutorial: applicazione a livello di organizzazione
Questo tutorial illustra come impostare l'applicazione del guardrail in tutta l'organizzazione. AWS Alla fine, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock su account specifici o. OUs
**Chi dovrebbe seguire questo tutorial**
AWS Amministratori dell'organizzazione (con accesso all'account di gestione) con autorizzazioni per creare barriere e gestire le politiche. AWS Organizations
**Cosa ti servirà**
Per completare questo tutorial sono necessari i seguenti requisiti:
+ Un'[AWS organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) con accesso all'account di gestione
+ [Autorizzazioni IAM](guardrails-permissions.md#guardrails-permissions-use) [per creare barriere e gestire le politiche AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)
+ Comprensione dei requisiti di sicurezza della tua organizzazione
**Per impostare l'applicazione del guardrail a livello di organizzazione**
1.
**Pianifica la configurazione del guardrail**
1. Definisci le tue protezioni:
+ Consulta i filtri guardrail disponibili nella documentazione di [Amazon Bedrock](guardrails.md) Guardrails
+ Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri di contenuto, argomenti negati, filtri di parole, filtri per informazioni sensibili e controlli contestuali di base.
+ **Nota:** non includete la politica di ragionamento automatico, in quanto non è supportata per le imposizioni del guardrail e causerà errori di runtime.
1. Identifica gli account target:
+ Determina a quali OUs account o all'intera organizzazione verrà applicata questa barriera
1.
**Crea il tuo guardrail nell'account di gestione**
Crea un guardrail in ogni regione in cui desideri applicarlo con uno dei seguenti metodi:
+ Usando il: Console di gestione AWS
1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. **Nel pannello di navigazione a sinistra, scegli Guardrails**
1. **Scegli Crea guardrail**
1. Segui la procedura guidata per configurare i filtri o le protezioni desiderate (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili, controlli contestuali di base)
1. Non abilitate la politica di ragionamento automatico
1. Completa la procedura guidata per creare il tuo guardrail
+ Utilizzo dell'API: utilizza l'API [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html)
**Verifica**
Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail
1.
**Crea una versione di Guardrail**
Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.
+ Utilizzando: Console di gestione AWS
1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock
1. **Scegli Crea versione**
1. Annota l'ARN del guardrail e il numero di versione (ad esempio, «1", «2", ecc.)
+ Utilizzo dell'API: utilizza l'API [CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html)
**Verifica**
Conferma che la versione è stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.
1.
**Allega una politica basata sulle risorse**
Abilita l'accesso su più account allegando una politica basata sulle risorse al tuo guardrail.
+ Utilizzo di Console di gestione AWS : per allegare una policy basata sulle risorse tramite la console:
1. Nella console Amazon Bedrock Guardrails, seleziona il tuo guardrail
1. Fai clic su **Aggiungi per aggiungere una politica basata** sulle risorse
1. Aggiungi una politica che conceda l'`bedrock:ApplyGuardrail`autorizzazione a tutti gli account membri o all'organizzazione. Consulta [Condividi guardrail con la tua organizzazione](guardrails-resource-based-policies.md#share-guardrail-with-organization) in [Utilizzo di politiche basate sulle risorse per i guardrail](guardrails-resource-based-policies.md).
1. Salva la politica
**Verifica**
Verifica l'accesso da un account membro utilizzando l'[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API per assicurarti che l'autorizzazione sia configurata correttamente.
1.
**Configura le autorizzazioni IAM negli account dei membri**
Assicurati che tutti i ruoli negli account dei membri dispongano delle autorizzazioni IAM per accedere al guardrail applicato.
**Autorizzazioni richieste**
I ruoli degli account membro richiedono `bedrock:ApplyGuardrail` l'autorizzazione per il guardrail dell'account di gestione. Vedi esempi [Configurazione delle autorizzazioni per utilizzare Guardrail per Amazon Bedrock](guardrails-permissions.md) dettagliati di policy IAM
**Verifica**
Verifica che i ruoli con autorizzazioni limitate negli account dei membri possano chiamare correttamente l'`ApplyGuardrail`API con il guardrail.
1.
**Abilita il tipo di policy Amazon Bedrock in AWS Organizations**
+ Utilizzo di Console di gestione AWS : per abilitare il tipo di policy Amazon Bedrock utilizzando la console:
1. Passa alla console AWS Organizations
1. Scegli **Politiche**
1. Scegli **le politiche di Amazon Bedrock** (attualmente in anteprima)
1. Scegli **Abilita le politiche di Amazon Bedrock** per abilitare il tipo di policy Amazon Bedrock per la tua organizzazione
+ Utilizzo dell'API: utilizza l' AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)API con il tipo di policy `BEDROCK_POLICY`
**Verifica**
Verifica che il tipo di policy di Amazon Bedrock sia visualizzato come abilitato nella AWS Organizations console.
1.
**Crea e allega una policy AWS Organizations**
Crea una politica di gestione che specifichi il tuo guardrail e allegala ai tuoi account di destinazione oppure. OUs
+ Utilizzo di Console di gestione AWS : per creare e allegare una AWS Organizations politica utilizzando la console:
1. Nella AWS Organizations console, accedi a **Politiche > Politiche** **Amazon Bedrock**
1. Selezionare **Creare policy**
1. Specificate l'ARN e la versione del guardrail
1. Configura l'`input_tags`impostazione (imposta su ignore per evitare che gli account dei membri aggirino il guardrail in ingresso tramite i tag di input [guardrails](guardrails-tagging.md)).
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
},
"input_tags": {
"@@assign": "honor"
}
}
}
}
}
}
```
1. Salva la politica
1. **Allega la politica agli obiettivi desiderati (account principali dell'organizzazione o singoli account) accedendo alla scheda **Target** e selezionando Allega OUs**
+ Utilizzo dell'API: utilizza l' AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)API con il tipo di `BEDROCK_POLICY` policy. [AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html)Da utilizzare per il collegamento agli obiettivi
Per saperne di più: [politiche di Amazon Bedrock](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html) in AWS Organizations
**Verifica**
Verifica che la policy sia associata agli obiettivi corretti nella AWS Organizations console.
1.
**Testa e verifica l'applicazione**
Verifica che il guardrail venga applicato agli account dei membri.
**Verifica quale guardrail è applicato**
+ Utilizzando Console di gestione AWS : da un account membro, accedi alla console Amazon Bedrock, fai clic su **Guardrails** nel pannello di sinistra. **Nella home page di Guardrails, dovresti vedere il guardrail applicato a livello di organizzazione nella sezione **Configurazioni di applicazione a livello di organizzazione nell'account di gestione e i guardrail applicati a livello di organizzazione nell'account** membro**
+ Utilizzo dell'API: da un account membro, chiama con l'ID del tuo account membro come ID di destinazione [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)
**Esegui il test da un account membro**
1. Effettua una chiamata di inferenza Amazon Bedrock utilizzando [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html), [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html), [Converse o. [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
1. Il guardrail imposto dovrebbe applicarsi automaticamente sia agli ingressi che alle uscite
1. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.
### Tutorial: applicazione a livello di account
Questo tutorial ti guida attraverso la configurazione di Guardrail Enforcement all'interno di un singolo account. AWS Alla fine, avrai un guardrail che si applica automaticamente a tutte le chiamate del modello Amazon Bedrock nel tuo account.
**Chi dovrebbe seguire questo tutorial**
AWS amministratori di account con i permessi per creare guardrail e configurare le impostazioni a livello di account.
**Cosa ti servirà**
Per completare questo tutorial sono necessari i seguenti requisiti:
+ Un AWS account con autorizzazioni IAM appropriate
+ Comprensione dei requisiti di sicurezza del tuo account
**Per impostare l'applicazione del guardrail a livello di account**
1.
**Pianifica la configurazione del guardrail**
**Definisci le tue protezioni**
Per definire le tue misure di protezione:
+ Consulta i filtri guardrail disponibili nella documentazione di [Amazon Bedrock](guardrails.md) Guardrails
+ Identifica il filtro di cui hai bisogno. Attualmente sono supportati filtri di contenuto, argomenti negati, filtri di parole, filtri per informazioni sensibili e controlli contestuali di base.
+ **Nota:** non includete la politica di ragionamento automatico, in quanto non è supportata per le imposizioni del guardrail e causerà errori di runtime
1.
**Creare un guardrail**
Crea un guardrail in ogni regione in cui desideri applicarlo.
**Tramite Console di gestione AWS**
Per creare un guardrail utilizzando la console:
1. Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in [https://console.aws.amazon.com/bedrock.](https://console.aws.amazon.com/bedrock)
1. **Nel pannello di navigazione a sinistra, scegli Guardrails**
1. **Scegli Crea guardrail**
1. Segui la procedura guidata per configurare le politiche desiderate (filtri per i contenuti, argomenti negati, filtri per parole, filtri per informazioni sensibili)
1. Non abilitate la politica di ragionamento automatico
1. Completa la procedura guidata per creare il tuo guardrail
**Tramite API**
Utilizzare l'API `CreateGuardrail`
**Verifica**
Una volta creato, dovresti vederlo nell'elenco dei guardrail sulla landing page di Guardrails o cercarlo nell'elenco dei guardrail usando il nome del guardrail
1.
**Crea una versione guardrail**
Crea una versione numerica per garantire che la configurazione del guardrail rimanga immutabile e non possa essere modificata dagli account dei membri.
**Tramite Console di gestione AWS**
Per creare una versione guardrail utilizzando la console:
1. Seleziona il guardrail creato nel passaggio precedente nella pagina Guardrails sulla console Amazon Bedrock
1. **Scegli Crea versione**
1. Annota l'ARN del guardrail e il numero di versione (ad esempio, «1", «2", ecc.)
**Tramite API**
Utilizzare l'API `CreateGuardrailVersion`
**Verifica**
Verifica che la versione sia stata creata correttamente controllando l'elenco delle versioni nella pagina dei dettagli di Guardrail.
1.
**Allega una politica basata sulle risorse (opzionale)**
Se desideri condividere il guardrail con ruoli specifici nel tuo account, allega una politica basata sulle risorse.
**Tramite Console di gestione AWS**
Per allegare una policy basata sulle risorse utilizzando la console:
1. Nella console Amazon Bedrock Guardrails, seleziona il tuo guardrail
1. Fai clic su **Aggiungi per aggiungere una politica basata** sulle risorse
1. Aggiungi una politica che conceda l'`bedrock:ApplyGuardrail`autorizzazione ai ruoli desiderati
1. Salva la politica
1.
**Abilita l'applicazione a livello di account**
Configura l'account per utilizzare il tuo guardrail per tutte le chiamate di Amazon Bedrock. Questa operazione deve essere eseguita in tutte le regioni in cui si desidera che venga applicata.
**Tramite Console di gestione AWS**
Per abilitare l'applicazione a livello di account utilizzando la console:
1. Passa alla console Amazon Bedrock
1. Scegli **Guardrails nel pannello** di navigazione a sinistra
1. **Nella sezione **Configurazioni di applicazione a livello di account**, scegli Aggiungi**
1. Seleziona il guardrail e la versione
1. Configura l'`input_tags`impostazione (imposta su IGNORE per impedire agli account dei membri di aggirare il guardrail in ingresso tramite i tag di input di Guardrails)
1. Invia la configurazione
1. Ripeti l'operazione per ogni regione in cui desideri che venga applicata
**Tramite API**
Utilizza l'`PutEnforcedGuardrailConfiguration`API in ogni regione in cui desideri applicare il guardrail
**Verifica**
Dovresti vedere il guardrail applicato all'account nella sezione Account enforced guardrail **configuration nella pagina Guardrails**. Puoi chiamare l'[ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html)API per assicurarti che il guardrail applicato sia elencato
1.
**Testa e verifica l'applicazione**
**Prova a utilizzare un ruolo nel tuo account**
Per verificare l'applicazione delle norme dal tuo account:
1. Effettua una chiamata di inferenza Amazon Bedrock utilizzando`InvokeModel`,`Converse`, o `InvokeModelWithResponseStream` `ConverseStream`
1. Il guardrail imposto dall'account dovrebbe applicarsi automaticamente sia agli input che agli output
1. Controlla la risposta per le informazioni sulla valutazione del guardrail. La risposta del guardrail includerà informazioni sul guardrail forzato.
## Monitoraggio
+ Tieni traccia degli interventi e delle metriche del guardrail utilizzando i parametri [CloudWatch per Amazon Bedrock](monitoring-guardrails-cw-metrics.md) Guardrails
+ CloudTrail Esamina i log delle chiamate `ApplyGuardrail` API per monitorare i modelli di utilizzo, ad esempio le eccezioni che indicano problemi di configurazione delle autorizzazioni IAM AccessDenied . Visualizza gli [eventi relativi ai dati di Amazon Bedrock](logging-using-cloudtrail.md#service-name-data-events-cloudtrail) in CloudTrail
## Prezzi
L'applicazione di Amazon Bedrock Guardrails segue l'attuale modello di prezzo di Amazon Bedrock Guardrails basato sul numero di unità di testo consumate per ogni protezione configurata. I costi si applicano a ciascun parapetto forzato in base alle protezioni configurate. Per informazioni dettagliate sui prezzi delle singole protezioni, consulta la pagina dei prezzi di [Amazon Bedrock](https://aws.amazon.com/bedrock/pricing/).
## Domande frequenti
**Come viene calcolato il consumo in base alle quote quando si applicano le barriere forzate?**
Il consumo verrà calcolato per guardrail ARN associato a ciascuna richiesta e verrà conteggiato AWS nell'account che effettua la chiamata API. Ad esempio: una `ApplyGuardrail` chiamata con 1000 caratteri di testo e 3 guardrail genererebbe 3 unità di testo di consumo per guardrail per dispositivo di protezione nel guardrail.
Le chiamate all'account membro che utilizzano la politica di Amazon Bedrock verranno conteggiate ai fini del calcolo delle Service Quotas per l'account del membro. Consulta la documentazione di Service Quotas Console o [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/bedrock.html) e assicurati che i limiti di runtime di Guardrails siano sufficienti per il volume delle chiamate.
**Come posso impedire agli account dei membri di aggirare i guardrail utilizzando i tag di input?**
Usa il `input_tags` controllo disponibile in:
+ Politiche di Amazon Bedrock AWS Organizations
+ L'API [PutEnforcedGuardrailConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_PutEnforcedGuardrailConfiguration.html)
Imposta il valore su Ignora per evitare che gli account dei membri tagghino contenuti parziali.
**Cosa succede se nella mia richiesta inserisco dei guardrail obbligatori sia a livello di organizzazione che a livello di account, nonché un guardrail?**
Tutti e 3 i guardrail verranno applicati in fase di esecuzione. L'effetto finale è l'unione di tutti i guardrail, con il controllo più restrittivo che ha la precedenza.
**Cosa succede con i modelli che non supportano i guardrail?**
Per i modelli in cui i Guardrail non sono supportati (come i modelli di incorporamento), verrà generato un errore di convalida del runtime.
**Posso eliminare un guardrail utilizzato in una configurazione di imposizione?**
No. Per impostazione predefinita, l'[DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html)API impedisce l'eliminazione dei guardrail associati alle configurazioni di applicazione a livello di account o di organizzazione.