翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Bedrock ガードレールの適用によるクロスアカウント保護の適用
**注記**
Amazon Bedrock ガードレールの適用はプレビュー中であり、変更される可能性があります。
Amazon Bedrock ガードレールの適用により、Amazon Bedrock を使用したすべてのモデル呼び出しに対して、 AWS アカウントレベルおよび AWS Organizations レベル (アカウント全体) で安全コントロールを自動的に適用できます。この一元化されたアプローチにより、複数のアカウントとアプリケーションにわたって一貫した保護が維持されるため、個々のアカウントとアプリケーションにガードレールを設定する必要がなくなります。
**主な機能**
ガードレールの適用の主な機能は次のとおりです。
+ **組織レベルの適用** – Amazon Bedrock を使用したすべてのモデル呼び出しに、Amazon Bedrock ポリシー (プレビュー) を使用して、組織単位 (OUs)、個々のアカウント、または組織全体にガードレールを適用します AWS Organizations。
+ **アカウントレベルの適用** – AWS アカウントからのすべての Amazon Bedrock モデル呼び出しについて、アカウント内のガードレールの特定のバージョンを指定します。
+ **レイヤード保護** – 両方が存在する場合は、組織とアプリケーション固有のガードレールを組み合わせます。効果的な安全コントロールは、両方のガードレールからの同じコントロールの場合、最も制限の厳しいコントロールが優先される両方のガードレールの結合です。
以下のトピックでは、Amazon Bedrock ガードレールの適用を使用する方法について説明します。
**Topics**
+ [実装ガイド](#guardrails-enforcements-implementation-guide)
+ [モニタリング](#monitoring)
+ [料金](#pricing)
+ [よくある質問](#faq)
## 実装ガイド
以下のチュートリアルでは、 AWS Organization を持つアカウントと 1 つの AWS アカウントにガードレールを適用するために必要な手順について説明します。これらの適用により、Amazon Bedrock へのすべてのモデル呼び出しは、指定されたガードレール内で設定された保護を適用します。
### チュートリアル: 組織レベルの強制
このチュートリアルでは、 AWS 組織全体でガードレールの適用を設定する方法について説明します。最終的には、指定されたアカウントまたは OUs のすべての Amazon Bedrock モデル呼び出しに自動的に適用されるガードレールが作成されます。
**このチュートリアルに従うべきユーザー**
AWS ガードレールを作成し、 AWS Organizations ポリシーを管理するアクセス許可を持つ組織管理者 (管理アカウントアクセスを持つ)。
**必要なもの**
このチュートリアルを完了するには、以下が必要です。
+ 管理アカウントへのアクセス権を持つ[AWS 組織 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ ガードレールを作成して[AWS Organizations ポリシーを管理する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)ための [IAM アクセス許可](guardrails-permissions.md#guardrails-permissions-use)
+ 組織の安全要件を理解する
**組織レベルのガードレールの適用を設定するには**
1.
**ガードレール設定の計画**
1. 安全策を定義します。
+ [Amazon Bedrock ガードレールドキュメントで利用可能なガードレール](guardrails.md)フィルターを確認する
+ 必要なフィルターを特定します。現在、コンテンツフィルター、拒否されたトピック、単語フィルター、機密情報フィルター、コンテキストグラウンディングチェックがサポートされています。
+ **注:** 自動推論ポリシーはガードレールの適用ではサポートされておらず、ランタイム障害を引き起こすため、含めないでください。
1. ターゲットアカウントを特定します。
+ このガードレールを適用する OUs、アカウント、または組織全体を決定する
1.
**管理アカウントにガードレールを作成する**
次のいずれかの方法で適用するすべてのリージョンにガードレールを作成します。
+ の使用 AWS マネジメントコンソール:
1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール ([https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)) を開きます。
1. 左側のナビゲーションパネルで、**ガードレールを選択します。**
1. **ガードレールの作成**を選択する
1. ウィザードに従って、必要なフィルターまたは保護 (コンテンツフィルター、拒否トピック、単語フィルター、機密情報フィルター、コンテキストグラウンディングチェック) を設定します。
1. 自動推論ポリシーを有効にしない
1. ウィザードを完了してガードレールを作成する
+ API の使用: [CreateGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrail.html) API を使用する
**検証**
作成後、ガードレールランディングページのガードレールのリストに表示されるか、ガードレール名を使用してガードレールのリストで検索します。
1.
**ガードレールバージョンを作成する**
数値バージョンを作成して、ガードレール設定が不変のままであり、メンバーアカウントで変更できないようにします。
+ の使用 AWS マネジメントコンソール:
1. Amazon Bedrock コンソールのガードレールページの前のステップで作成したガードレールを選択します。
1. **バージョンの作成**を選択する
1. ガードレール ARN とバージョン番号 (例:「1」、「2」など) を書き留めます。
+ API の使用: [CreateGuardrailVersion](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateGuardrailVersion.html) API を使用する
**検証**
Guardrail の詳細ページでバージョンのリストを確認して、バージョンが正常に作成されたことを確認します。
1.
**リソースベースのポリシーをアタッチする**
リソースベースのポリシーをガードレールにアタッチして、クロスアカウントアクセスを有効にします。
+ の使用 AWS マネジメントコンソール – コンソールを使用してリソースベースのポリシーをアタッチするには:
1. Amazon Bedrock ガードレールコンソールで、ガードレールを選択します。
1. **追加**をクリックしてリソースベースのポリシーを追加します。
1. すべてのメンバーアカウントまたは組織にアクセス`bedrock:ApplyGuardrail`許可を付与するポリシーを追加します。[ガードレールのリソースベースのポリシーの使用](guardrails-resource-based-policies.md) の「[ガードレールを組織と共有する](guardrails-resource-based-policies.md#share-guardrail-with-organization)」を参照してください。
1. ポリシーを保存する
**検証**
[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html) API を使用してメンバーアカウントからのアクセスをテストし、認可が正しく設定されていることを確認します。
1.
**メンバーアカウントで IAM アクセス許可を設定する**
メンバーアカウントのすべてのロールに、強制ガードレールにアクセスするための IAM アクセス許可があることを確認します。
**必要なアクセス許可**
メンバーアカウントロールには、管理アカウントのガードレールに対するアクセス`bedrock:ApplyGuardrail`許可が必要です。IAM ポリシーの詳細な例[Amazon Bedrock ガードレールを使用するためのアクセス許可を設定する](guardrails-permissions.md)については、「」を参照してください。
**検証**
メンバーアカウントでスコープダウンされたアクセス許可を持つロールが、ガードレールを使用して `ApplyGuardrail` API を正常に呼び出せることを確認します。
1.
**で Amazon Bedrock ポリシータイプを有効にする AWS Organizations**
+ の使用 AWS マネジメントコンソール – コンソールを使用して Amazon Bedrock ポリシータイプを有効にするには:
1. AWS Organizations コンソールに移動する
1. **ポリシー**の選択
1. **Amazon Bedrock ポリシー**を選択する (現在プレビュー中)
1. **Amazon Bedrock ポリシーを有効にする**を選択して、組織の Amazon Bedrock ポリシータイプを有効にします。
+ API の使用 – ポリシータイプで AWS Organizations [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html) API を使用する `BEDROCK_POLICY`
**検証**
Amazon Bedrock ポリシータイプが AWS Organizations コンソールで有効として表示されることを確認します。
1.
**AWS Organizations ポリシーを作成してアタッチする**
ガードレールを指定する管理ポリシーを作成し、ターゲットアカウントまたは OUs。
+ の使用 AWS マネジメントコンソール – コンソールを使用して AWS Organizations ポリシーを作成してアタッチするには:
1. AWS Organizations コンソールで、**ポリシー** > **Amazon Bedrock ポリシー**に移動します。
1. [** ポリシーの作成 **] を選択します。
1. ガードレールの ARN とバージョンを指定する
1. `input_tags` 設定 (メンバーアカウントがガードレール入力[タグを介して入力のガードレール](guardrails-tagging.md)をバイパスしないように無視するように設定) を設定します。
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:account_id:guardrail/guardrail_id:1"
},
"input_tags": {
"@@assign": "honor"
}
}
}
}
}
}
```
1. ポリシーを保存する
1. Targets タブに移動し、Attach を選択して、目的のターゲット (組織ルート、OUs、または個々のアカウント) にポリシーを**アタッチ****します**。
+ API の使用 – ポリシータイプ で AWS Organizations [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html) API を使用します`BEDROCK_POLICY`。[AttachPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html) を使用してターゲットにアタッチする
詳細: [の Amazon Bedrock ポリシー AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_bedrock.html)
**検証**
ポリシーが AWS Organizations コンソールの正しいターゲットにアタッチされていることを確認します。
1.
**適用のテストと検証**
ガードレールがメンバーアカウントに適用されていることをテストします。
**どのガードレールが適用されているかを検証する**
+ の使用 AWS マネジメントコンソール – メンバーアカウントから Amazon Bedrock コンソールに移動し、左側のパネル**でガードレール**をクリックします。ガードレールのホームページでは、管理アカウントの組織**レベルの強制設定**セクションとメンバーアカウントの**組織レベルの強制ガードレールの下に組織強制ガードレール**が表示されます。
+ API の使用 – メンバーアカウントから、メンバーアカウント ID をターゲット ID として [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html) を呼び出します。
**メンバーアカウントからテストする**
1. [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)、[InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)[https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)、または [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html) を使用して Amazon Bedrock 推論呼び出しを行います。
1. 強制ガードレールは、入力と出力の両方に自動的に適用される必要があります
1. ガードレール評価情報のレスポンスを確認します。ガードレールレスポンスには、強制されたガードレール情報が含まれます。
### チュートリアル: アカウントレベルの強制
このチュートリアルでは、1 つの AWS アカウント内でガードレールの適用を設定する方法について説明します。最終的には、アカウントのすべての Amazon Bedrock モデル呼び出しに自動的に適用されるガードレールが作成されます。
**このチュートリアルに従うべきユーザー**
AWS ガードレールを作成し、アカウントレベルの設定を構成するアクセス許可を持つアカウント管理者。
**必要なもの**
このチュートリアルを完了するには、以下が必要です。
+ 適切な IAM アクセス許可を持つ AWS アカウント
+ アカウントの安全性要件の理解
**アカウントレベルのガードレールの適用を設定するには**
1.
**ガードレール設定を計画する**
**安全策を定義する**
安全策を定義するには:
+ [Amazon Bedrock ガードレールドキュメントで利用可能なガードレール](guardrails.md)フィルターを確認する
+ 必要なフィルターを特定します。現在、コンテンツフィルター、拒否されたトピック、単語フィルター、機密情報フィルター、コンテキストグラウンディングチェックがサポートされています。
+ **注:** 自動推論ポリシーはガードレールの適用ではサポートされておらず、ランタイム障害を引き起こすため、含めないでください。
1.
**ガードレールを作成する**
適用するすべてのリージョンにガードレールを作成します。
**経由 AWS マネジメントコンソール**
コンソールを使用してガードレールを作成するには:
1. Amazon Bedrock コンソールを使用するアクセス許可を持つ IAM ID AWS マネジメントコンソール を使用して にサインインします。Amazon Bedrock コンソール ([https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock)) を開きます。
1. 左側のナビゲーションパネルで、**ガードレールを選択します。**
1. **ガードレールの作成**を選択する
1. ウィザードに従って、目的のポリシー (コンテンツフィルター、拒否トピック、単語フィルター、機密情報フィルター) を設定します。
1. 自動推論ポリシーを有効にしない
1. ウィザードを完了してガードレールを作成する
**API 経由**
`CreateGuardrail` API を使用する
**検証**
作成後、ガードレールランディングページのガードレールのリストに表示されるか、ガードレール名を使用してガードレールのリストで検索します。
1.
**ガードレールバージョンを作成する**
数値バージョンを作成して、ガードレール設定が不変のままであり、メンバーアカウントで変更できないようにします。
**経由 AWS マネジメントコンソール**
コンソールを使用してガードレールバージョンを作成するには:
1. Amazon Bedrock コンソールのガードレールページの前のステップで作成したガードレールを選択します。
1. **バージョンの作成**を選択する
1. ガードレール ARN とバージョン番号 (例:「1」、「2」など) を書き留めます。
**API 経由**
`CreateGuardrailVersion` API を使用する
**検証**
Guardrail の詳細ページでバージョンのリストを確認して、バージョンが正常に作成されたことを確認します。
1.
**リソースベースのポリシーをアタッチする (オプション)**
アカウントの特定のロールとガードレールを共有する場合は、リソースベースのポリシーをアタッチします。
**経由 AWS マネジメントコンソール**
コンソールを使用してリソースベースのポリシーをアタッチするには:
1. Amazon Bedrock ガードレールコンソールで、ガードレールを選択します。
1. **追加**をクリックして、リソースベースのポリシーを追加します。
1. 目的のロールにアクセス`bedrock:ApplyGuardrail`許可を付与するポリシーを追加する
1. ポリシーを保存する
1.
**アカウントレベルの強制を有効にする**
すべての Amazon Bedrock 呼び出しにガードレールを使用するようにアカウントを設定します。これは、強制するすべてのリージョンで実行する必要があります。
**経由 AWS マネジメントコンソール**
コンソールを使用してアカウントレベルの強制を有効にするには:
1. Amazon Bedrock コンソールに移動します。
1. 左側のナビゲーションパネルで**ガードレール**を選択する
1. **アカウントレベルの強制設定**セクションで、**追加** を選択します。
1. ガードレールとバージョンを選択する
1. `input_tags` 設定を構成する (メンバーアカウントが Guardrails 入力タグを介して入力のガードレールをバイパスしないように IGNORE に設定する)
1. 設定を送信する
1. 適用するリージョンごとに繰り返します。
**API 経由**
ガードレールを適用するすべてのリージョンで `PutEnforcedGuardrailConfiguration` API を使用する
**検証**
アカウント強制ガードレールは、ガードレールページの**「アカウント強制ガードレール設定**」セクションに表示されます。[ListEnforcedGuardrailsConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListEnforcedGuardrailsConfiguration.html) API を呼び出して、強制ガードレールがリストされていることを確認することができます。
1.
**適用のテストと検証**
**アカウントのロールを使用してテストする**
アカウントから適用をテストするには:
1. `InvokeModel`、、`Converse`、`InvokeModelWithResponseStream`または を使用して Amazon Bedrock 推論呼び出しを行う `ConverseStream`
1. アカウント強制ガードレールは、入力と出力の両方に自動的に適用される必要があります
1. ガードレール評価情報のレスポンスを確認します。ガードレールレスポンスには、強制されたガードレール情報が含まれます。
## モニタリング
+ [Amazon Bedrock ガードレールの CloudWatch メトリクスを使用してガードレールの介入とメトリクスを追跡する](monitoring-guardrails-cw-metrics.md)
+ `ApplyGuardrail` API コールの CloudTrail ログを確認して、IAM アクセス許可設定の問題を示す AccessDenied 例外などの使用パターンをモニタリングします。[CloudTrail で Amazon Bedrock データイベント](logging-using-cloudtrail.md#service-name-data-events-cloudtrail)を参照する
## 料金
Amazon Bedrock ガードレールの適用は、設定された保護ごとに消費されるテキストユニットの数に基づいて、Amazon Bedrock ガードレールの現在の料金モデルに従います。料金は、設定された保護に従って、強制された各ガードレールに適用されます。個々の安全策の料金の詳細については、[「Amazon Bedrock の料金](https://aws.amazon.com/bedrock/pricing/)」を参照してください。
## よくある質問
**強制ガードレールが適用される場合、クォータへの消費はどのように計算されますか?**
消費は、各リクエストに関連付けられたガードレール ARN ごとに計算され、API コールを行う AWS アカウントにカウントされます。例えば、1,000 文字のテキストと 3 つのガードレールを持つ`ApplyGuardrail`呼び出しでは、ガードレール内の保護ごとにガードレールごとに 3 つのテキスト単位の消費が生成されます。
Amazon Bedrock ポリシーを使用したメンバーアカウントの呼び出しは、メンバーアカウントの Service Quotas にカウントされます。Service Quotas コンソールまたは [Service Quotas ドキュメント](https://docs.aws.amazon.com/general/latest/gr/bedrock.html)を確認し、Guardrails ランタイム制限が通話量に十分であることを確認します。
**メンバーアカウントが入力タグを使用してガードレールをバイパスしないようにするにはどうすればよいですか?**
以下で使用できる`input_tags`コントロールを使用します。
+ Amazon Bedrock AWS Organizations ポリシー
+ [PutEnforcedGuardrailConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_PutEnforcedGuardrailConfiguration.html) API
無視する値を設定して、メンバーアカウントが部分的なコンテンツをタグ付けしないようにします。
**リクエストに組織レベルとアカウントレベルの両方の強制ガードレールとガードレールがある場合どうなりますか?**
3 つのガードレールはすべて実行時に適用されます。正味の効果は、すべてのガードレールの結合であり、最も制限の厳しいコントロールが優先されます。
**ガードレールをサポートしていないモデルはどうなりますか?**
ガードレールがサポートされていないモデル (モデルの埋め込みなど) では、ランタイム検証エラーがスローされます。
**強制設定で使用されているガードレールを削除できますか?**
いいえ。デフォルトでは、[DeleteGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_DeleteGuardrail.html) API はアカウントレベルまたは組織レベルの強制設定に関連付けられたガードレールの削除を防止します。