View a markdown version of this page

安全性 - AWS 截止日期云
模型信息数据隐私网络路径Organization-level 控件审计跟踪滥用检测反馈数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全性

Deadline 云助手在现有的 Deadline Cloud 安全模式下运行:

  • Read-only 访问权限 — 该助手仅对 Deadline Cloud 资源和 CloudWatch 日志执行读取操作(获取、列出、搜索)。它无法修改您的资源。

  • Customer-account 执行 — 所有模型调用均 AWS 账户 使用您的凭据和服务配额在您中进行。

  • 范围权限-策略的范围仅限于您所在地理区域的跨区域推理配置文件。监视器用户无法访问以外的操作InvokeModelWithResponseStream

  • 会话隔离-对话与各个浏览器会话隔离,不会持久化或共享。

  • 失败关闭 — 如果助理无法确定是否已启用(例如,如果GetMonitorSettings呼叫失败),则不会显示助理用户界面。

  • 管理员控制-只有管理员才能启用或禁用助手。监控用户无法自行升级访问权限。

  • 滥用检测-滥用检测功能适用于助手的使用。有关更多信息,请参阅《用户指南》中的滥用检测

模型信息

Deadline Cloud 助手使用 Anthropic Claude Sonnet 4.5 (anthropic.claude-sonnet-4-5-20250929-v1:0) 作为其基础模型,可通过跨区域推理配置文件进行访问。该助手还包括一个知识库,该知识库是根据Deadline Cloud的公共 AWS 文档、公共文档和流行的数字内容创作应用程序的公共文档构建的。此知识库由助手在调用时获取。 AWS 未使用任何 Deadline Cloud 账户中的客户数据来构建或微调助手。

数据隐私

Deadline Cloud 助手受数据保护政策的约束。有关数据保护的更多信息,请参阅《用户指南》中的数据保护

该助手仅在浏览器内存中保存对话历史记录。刷新或关闭页面会永久删除对话。该助手不会将任何对话数据保存到磁盘、数据库或 AWS 服务。

如果您的账户中启用了模型调用日志功能,则您的助理对话(包括发送给模型的日志内容)将在您配置的日志目标(您的 Amazon S3 存储桶或 CloudWatch 日志组)中捕获。默认情况下,模型调用日志处于禁用状态,并且完全由您控制。有关更多信息,请参阅《用户指南》中的模型调用日志

网络路径

Deadline Cloud 助手作为 Deadline Cloud 监控应用程序的一部分在您的浏览器中运行。当您与助手交互时,您的浏览器会使用您的监视器用户凭据直接向服务端点发出 API 调用 (InvokeModelWithResponseStream)。这些呼叫通过 HTTPS(TLS 1.2 或更高版本)传输到您所在地区的公共终端节点。

由于助手在浏览器中运行,因此 Amazon VPC 接口终端节点 (AWS PrivateLink) 不适用于助手流量。 PrivateLink 支持专为在 Amazon VPC 中运行的服务器端工作负载而设计,而非基于浏览器的应用程序。

Organization-level 控件

除了每台显示器的管理员切换开关外,您还可以使用 (Organizations) 服务控制策略 (SCP) 在 AWS Organizations 组织范围内对助手实施控制。即使监视器管理员启用了该功能,拒绝的 SCP 也会bedrock:InvokeModelWithResponseStream阻止该助手运行。

以下示例 SCP 拒绝所有模型调用,这会禁用关联策略的组织或组织单位 (OU) 中所有账户的助手:

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "DenyBedrockInvocations",
            "Effect": "Deny",
            "Action": "bedrock:InvokeModelWithResponseStream",
            "Resource": "*"
        }
    ]
}

有关 SCP 的更多信息,请参阅《Organizations 用户指南》中的服务控制策略

注意

此 SCP 会阻止受影响账户中的所有模型调用,包括那些与 Deadline Cloud 无关的调用。要仅屏蔽助手,请改为通过显示器设置将其禁用。

审计跟踪

可通过 AWS CloudTrail (CloudTrail) 对助理的活动进行审计:

  • 调用 — 将每个InvokeModelWithResponseStream呼叫 CloudTrail 记录为管理事件。日志条目记录了型号 ID、用户身份、时间戳和源 IP。该additionalEventData.inferenceRegion字段标识请求的处理位置。该 CloudTrail 事件不包含提示或响应内容。

  • De@@ adline Cloud 资源读取 — 助手对 Deadline Cloud 资源(例如GetJobListTasksListSessions、和SearchTasks)的读取操作 CloudTrail 作为标准的 Deadline Cloud API 调用登录。您可以查询这些日志,以确定助手在对话期间访问了哪些特定的作业、任务和会话。

  • CloudWatch 日志读取-助手通过扮演队列角色(使用deadline:AssumeQueueRoleForRead)或队列角色(使用)来读取工作人员和任务日志。deadline:AssumeFleetRoleForRead这些角色假设事件已登录 CloudTrail。

滥用检测

自动滥用检测机制适用于所有助手的使用。有关更多信息,请参阅《用户指南》中的滥用检测

反馈数据

该助手提供了两种反馈机制。每种机制传输不同的数据:

  • 拇指 up/down 按钮 — 当你点击助手回复上的竖起大拇指或竖起大拇指图标时,只有情绪指标(正面或负面)和会话标识符被记录为遥测事件。反馈事件中不包含对话内容、日志数据或提示。

  • 一般反馈表(仅限非欧盟和非英国地区)— 当您通过对话气泡图标提交一般反馈时,该表单仅传输您明确输入的信息。这包括类别选择、主题行、描述和可选的电子邮件地址。该表单还包括显示器的区域和当前页面路径作为元数据。除非您在表单字段中手动键入对话内容或日志数据,否则不包含对话内容或日志数据。一般反馈将提交给反 AWS 馈服务机构。

由于数据驻留要求,欧盟和英国地区无法提供一般反馈。拇指 up/down 反馈适用于所有地区,因为遥测事件不包含任何客户内容。