今天，我们宣布 Amazon Bedrock Guardrails 中的跨账户防护功能正式可用。这是一项新能力，可在组织内的多个 AWS 账户之间集中执行和管理安全控制。

借助这项新能力，您可以在组织管理账户中的一项新 Amazon Bedrock 策略内指定一个护栏，该护栏会针对通过 Amazon Bedrock 进行的每次模型调用，在所有成员实体中自动执行已配置的防护措施。这种组织范围的实施方式通过集中控制和管理，支持在所有账户和生成式 AI 应用中实现统一保护。除组织级防护外，该能力还可根据用例需求灵活应用账户级和应用特定控制。

• 组织级执行通过策略设置，将组织管理账户中的单个护栏应用于组织内的所有实体。该护栏会针对所有 Amazon Bedrock 模型调用，在所有成员实体中自动执行过滤器，包括组织单元（OU）和单个账户。
• 账户级执行可在您的 AWS 账户中，针对所有 Amazon Bedrock 模型调用自动执行已配置的防护措施。账户级护栏中配置的防护措施适用于所有推理 API 调用。

现在，您可以通过单一、统一的方法建立并集中管理可靠、全面的保护。这有助于持续遵循企业负责任 AI 要求，同时显著降低监控单个账户和应用程序的管理负担。您的安全团队不再需要分别监督和验证每个账户的配置或合规情况。

开始在 Amazon Bedrock Guardrails 中使用集中执行功能 您可以在 Amazon Bedrock Guardrails 控制台中开始配置账户级和组织级执行。在配置执行前，您需要创建一个带有特定版本的护栏，以支持护栏配置保持不可变且不能被成员账户修改，并完成使用新能力所需的先决条件，例如护栏的基于资源的策略。

要启用账户级执行，请在账户级执行配置部分选择创建。

您可以选择要自动应用于该区域中此账户所有 Bedrock 推理调用的护栏和版本。随着正式可用，我们引入了一项新功能，可通过包含或排除行为定义哪些模型将受到执行影响。

您还可以使用全面或选择性，为系统提示和用户提示配置选择性内容防护控制。

• 当您希望无论调用方如何标记都对所有内容执行护栏时，请使用全面模式。当您不希望依赖调用方正确识别敏感内容时，这是更安全的默认选项。
• 当您信任调用方会标记正确的内容，并希望减少不必要的护栏处理时，请使用选择性模式。这适用于调用方处理预先验证内容和用户生成内容的混合场景，且只需要对特定部分应用护栏。

创建执行配置后，您可以使用账户中的某个角色测试并验证执行情况。账户强制执行的护栏应自动应用于提示和输出。

检查响应中的护栏评估信息。护栏响应将包含已执行的护栏信息。您也可以使用 InvokeModel、InvokeModelWithResponseStream、Converse 或 ConverseStream API 发起 Bedrock 推理调用来进行测试。

要启用组织级执行，请前往 AWS Organizations 控制台并选择策略菜单。您可以在控制台中启用 Bedrock 策略。

您可以创建一项指定护栏的 Bedrock 策略，并将其附加到目标账户或 OU。选择已启用 Bedrock 策略并创建策略。指定您的护栏 ARN 和版本，并在 AWS Organizations 中配置输入标签设置。要了解更多信息，请访问 AWS Organizations 中的 Amazon Bedrock 策略以及 Amazon Bedrock 策略语法和示例。

创建策略后，您可以在目标选项卡中将策略附加到所需的组织单元、账户或根。

搜索并选择您的组织根、OU 或单个账户以附加策略，然后选择附加策略。

您可以测试护栏是否正在成员账户上执行，并验证执行的是哪个护栏。在已附加的成员账户中，您应能在组织级执行配置部分下看到组织强制执行的护栏。

随后，指定护栏中的底层防护措施会针对所有成员实体中的每个模型推理请求自动执行，确保安全控制保持一致。为适应不同团队或应用程序的不同需求，您可以通过组织将带有关联护栏的不同策略附加到不同成员实体。

须知事项 以下是关于正式可用功能需要了解的关键注意事项：

• 您现在可以选择在 Bedrock 中包含或排除用于推理的特定模型，从而对模型调用进行集中执行。您还可以选择防护部分或完整的系统提示和输入提示。要了解更多信息，请访问使用 Amazon Bedrock Guardrails 执行功能应用跨账户防护。
• 请确保在策略中指定准确的护栏 Amazon Resource Names（ARN）。指定错误或无效的 ARN 将导致策略违规、防护措施不执行，以及无法使用 Amazon Bedrock 中的模型进行推理。要了解更多信息，请访问使用 Amazon Bedrock 策略的最佳实践。
• Automated Reasoning 检查不支持此能力。

现已可用 Amazon Bedrock Guardrails 中的跨账户防护今天已在所有提供 Bedrock Guardrails 的 AWS 商业区域和 GovCloud 区域正式可用。有关区域可用性和未来路线图，请访问 AWS Capabilities by Region。费用会根据每个被执行护栏所配置的防护措施收取。有关各项防护措施的详细定价信息，请访问 Amazon Bedrock Pricing 页面。

请在 Amazon Bedrock 控制台中试用此能力，并通过 AWS re:Post for Amazon Bedrock Guardrails 或您常用的 AWS Support 联系渠道发送反馈。

正文：— Channy