Fähigkeit 4. Bereitstellung von sicherem Zugriff, Nutzung und Implementierung für die Anpassung generativer KI-Modelle - AWS Präskriptive Leitlinien
BegründungSicherheitsüberlegungenAbhilfemaßnahmenEmpfohlene AWS-Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fähigkeit 4. Bereitstellung von sicherem Zugriff, Nutzung und Implementierung für die Anpassung generativer KI-Modelle

Das folgende Diagramm zeigt die AWS-Services, die für das Generative AI-Konto für diese Funktion empfohlen werden. Der Umfang dieses Szenarios besteht darin, die Anpassung des Modells sicherzustellen. Dieser Anwendungsfall konzentriert sich auf die Sicherung der Ressourcen und der Schulungsumgebung für eine Modellanpassung sowie auf die Sicherung des Aufrufs eines benutzerdefinierten Modells.

AWS-Services, die für das Generative AI-Konto zur Modellanpassung empfohlen werden.

Das Generative AI-Konto umfasst Services, die für die Anpassung eines Modells erforderlich sind, sowie eine Reihe erforderlicher Sicherheitsservices zur Implementierung von Sicherheitsleitplanken und zentraler Sicherheits-Governance. Sie sollten Amazon S3-Gateway-Endpunkte für die Trainingsdaten und Evaluierungs-Buckets in Amazon S3 erstellen, für deren Zugriff eine private VPC-Umgebung konfiguriert ist, um die Anpassung des privaten Modells zu ermöglichen. 

Begründung

Bei der Modellanpassung werden einem Modell Trainingsdaten zur Verfügung gestellt, um dessen Leistung für bestimmte Anwendungsfälle zu verbessern. In Amazon Bedrock können Sie Amazon Bedrock Foundation-Modelle (FMs) anpassen, um ihre Leistung zu verbessern und ein besseres Kundenerlebnis zu schaffen, indem Sie Methoden wie kontinuierliche Vorschulungen mit unbeschrifteten Daten verwenden, um Ihr Fachwissen zu erweitern, und Feinabstimmungen mit beschrifteten Daten durchführen, um die aufgabenspezifische Leistung zu optimieren. Wenn Sie ein Modell anpassen, müssen Sie Provisioned Throughput erwerben, um es verwenden zu können. 

Dieser Anwendungsfall bezieht sich auf Scope 4 der Generative AI Security Scoping Matrix. In Scope 4 passen Sie ein FM, wie es beispielsweise in Amazon Bedrock angeboten wird, mit Ihren Daten an, um die Leistung des Modells für eine bestimmte Aufgabe oder Domäne zu verbessern. In diesem Bereich kontrollieren Sie die Anwendung, alle Kundendaten, die von der Anwendung verwendet werden, die Trainingsdaten und das benutzerdefinierte Modell, wohingegen der FM-Anbieter das vortrainierte Modell und seine Trainingsdaten kontrolliert. 

Alternativ können Sie in Amazon Bedrock ein benutzerdefiniertes Modell erstellen, indem Sie die Importfunktion für benutzerdefinierte Modelle verwenden, um FMs zu importieren, die Sie in anderen Umgebungen wie Amazon angepasst haben. SageMaker Für die Importquelle empfehlen wir dringend, Safetensors für das Serialisierungsformat für importierte Modelle zu verwenden. Im Gegensatz zu Pickle können Sie mit Safetensors nur Tensordaten speichern, keine beliebigen Python-Objekte. Dadurch werden Sicherheitslücken beseitigt, die durch das Entpacken nicht vertrauenswürdiger Daten entstehen. Safetensoren können keinen Code ausführen — sie speichern und laden nur Tensoren sicher.

Wenn Sie Benutzern Zugriff auf die generative Anpassung von KI-Modellen in Amazon Bedrock gewähren, sollten Sie die folgenden wichtigen Sicherheitsaspekte berücksichtigen: 

  • Sicherer Zugriff auf Modellaufrufe, Schulungsaufträge sowie Schulungs- und Validierungsdateien

  • Verschlüsselung des Trainingsmodell-Jobs, des benutzerdefinierten Modells und der Trainings- und Validierungsdateien

  • Warnungen vor potenziellen Sicherheitsrisiken wie Jailbreak-Eingabeaufforderungen oder vertraulichen Informationen in Trainingsdateien 

In den folgenden Abschnitten werden diese Sicherheitsüberlegungen und die generative KI-Funktionalität erörtert.  

Anpassung des Amazon Bedrock-Modells

Sie können Foundation Models (FMs) privat und sicher mit Ihren eigenen Daten in Amazon Bedrock anpassen, um Anwendungen zu erstellen, die für Ihre Domain, Organisation und Ihren Anwendungsfall spezifisch sind. Durch die Feinabstimmung können Sie die Modellgenauigkeit erhöhen, indem Sie Ihren eigenen aufgabenspezifischen, beschrifteten Trainingsdatensatz bereitstellen und Ihre FMs weiter spezialisieren. Mit fortlaufenden Vorschulungen können Sie Modelle anhand Ihrer eigenen, unbeschrifteten Daten in einer sicheren und verwalteten Umgebung mit vom Kunden verwalteten Schlüsseln trainieren. Weitere Informationen finden Sie unter Benutzerdefinierte Modelle in der Amazon Bedrock-Dokumentation.

Sicherheitsüberlegungen

Workloads zur generativen Anpassung von KI-Modellen sind besonderen Risiken ausgesetzt, darunter Datenexfiltration von Trainingsdaten, Datenvergiftung durch das Einfügen bösartiger Eingabeaufforderungen oder Malware in Trainingsdaten und sofortige Injektion oder Datenexfiltration durch Bedrohungsakteure bei der Modellinferenz. In Amazon Bedrock bietet die Modellanpassung robuste Sicherheitskontrollen für Datenschutz, Zugriffskontrolle, Netzwerksicherheit, Protokollierung und Überwachung sowie Eingabe-/Ausgabevalidierung, die zur Minderung dieser Risiken beitragen können.  

Abhilfemaßnahmen

Datenschutz

Verschlüsseln Sie den Modellanpassungsauftrag, die Ausgabedateien (Trainings- und Validierungsmetriken) des Modellanpassungsjobs und das daraus resultierende benutzerdefinierte Modell mithilfe eines vom Kunden verwalteten Schlüssels in AWS KMS, den Sie erstellen, besitzen und verwalten. Wenn Sie Amazon Bedrock verwenden, um einen Modellanpassungsjob auszuführen, speichern Sie die Eingabedateien (Trainings- und Validierungsdaten) in Ihrem S3-Bucket. Wenn der Job abgeschlossen ist, speichert Amazon Bedrock die Ausgabemetrikdateien in dem S3-Bucket, den Sie bei der Erstellung des Jobs angegeben haben, und speichert die resultierenden benutzerdefinierten Modellartefakte in einem S3-Bucket, der von AWS gesteuert wird. Standardmäßig werden die Eingabe- und Ausgabedateien mit der serverseitigen Amazon S3 SSE-S3-Verschlüsselung unter Verwendung eines von AWS verwalteten Schlüssels verschlüsselt. Sie können sich auch dafür entscheiden, diese Dateien mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln.

Verwalten von Identitäten und Zugriff

Erstellen Sie eine benutzerdefinierte Servicerolle für die Modellanpassung oder den Modellimport, indem Sie dem Prinzip der geringsten Rechte folgen. Richten Sie für die Rolle des Modelanpassungsdienstes eine Vertrauensbeziehung ein, die es Amazon Bedrock ermöglicht, diese Rolle zu übernehmen und die Modellanpassung durchzuführen. Fügen Sie eine Richtlinie bei, die der Rolle den Zugriff auf Ihre Schulungs- und Validierungsdaten und den Bucket ermöglicht, in den Sie Ihre Ausgabedaten schreiben möchten. Richten Sie für die Modellimport-Servicerolle eine Vertrauensbeziehung ein, die es Amazon Bedrock ermöglicht, diese Rolle zu übernehmen und den Modellimportjob auszuführen. Fügen Sie eine Richtlinie hinzu, damit die Rolle auf die benutzerdefinierten Modelldateien in Ihrem S3-Bucket zugreifen kann. Wenn Ihr Modellanpassungsjob in einer VPC ausgeführt wird, fügen Sie VPC-Berechtigungen einer Modellanpassungsrolle hinzu

Netzwerksicherheit

Verwenden Sie eine Virtual Private Cloud (VPC) mit Amazon VPC, um den Zugriff auf Ihre Daten zu kontrollieren. Wenn Sie Ihre VPC erstellen, empfehlen wir Ihnen, die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle zu verwenden, damit die standardmäßigen Amazon S3 S3-URLs aufgelöst werden. 

Wenn Sie Ihre VPC ohne Internetzugang konfigurieren, müssen Sie einen Amazon S3 S3-VPC-Endpunkt erstellen, damit Ihre Modellanpassungsjobs auf die S3-Buckets zugreifen können, die Ihre Trainings- und Validierungsdaten speichern und die Modellartefakte speichern.

Nachdem Sie die Einrichtung Ihrer VPC und Ihres Endpunkts abgeschlossen haben, müssen Sie Ihrer IAM-Rolle für die Modellanpassung Berechtigungen zuweisen. Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen konfiguriert haben, können Sie einen Modellierungsanpassungsjob erstellen, der diese VPC verwendet. Indem Sie eine VPC ohne Internetzugang mit einem zugehörigen S3-VPC-Endpunkt für die Trainingsdaten erstellen, können Sie Ihren Modellierungsanpassungsjob mit privater Konnektivität (ohne Internetzugriff) ausführen. 

Empfohlene AWS-Services

Amazon S3

Wenn Sie einen Job zur Modellanpassung ausführen, greift der Job auf Ihren S3-Bucket zu, um die Eingabedaten herunterzuladen und Job-Metriken hochzuladen. Sie können Feinabstimmung oder kontinuierliche Vorschulung als Modelltyp wählen, wenn Sie Ihren Auftrag zur Modellanpassung über die Amazon Bedrock-Konsole oder API einreichen. Nach Abschluss eines Auftrags zur Modellanpassung können Sie die Ergebnisse des Trainingsprozesses analysieren, indem Sie sich die Dateien im S3-Ausgabe-Bucket ansehen, den Sie bei der Einreichung des Jobs angegeben haben, oder Details zum Modell einsehen. Verschlüsseln Sie beide Buckets mit einem vom Kunden verwalteten Schlüssel. Zur zusätzlichen Stärkung der Netzwerksicherheit können Sie einen Gateway-Endpunkt für die S3-Buckets erstellen, für deren Zugriff die VPC-Umgebung konfiguriert ist. Der Zugriff sollte protokolliert und überwacht werden. Verwenden Sie die Versionierung für Backups. Sie können ressourcenbasierte Richtlinien verwenden, um den Zugriff auf Ihre Amazon S3 S3-Dateien genauer zu kontrollieren. 

Amazon Macie

Macie kann Ihnen helfen, sensible Daten in Ihren Amazon S3 S3-Trainings- und Validierungsdatensätzen zu identifizieren. Bewährte Sicherheitsmethoden finden Sie im vorherigen Abschnitt Macie in dieser Anleitung.

Amazon EventBridge

Sie können Amazon verwenden EventBridge, um Amazon so SageMaker zu konfigurieren, dass es automatisch auf eine Änderung des Auftragsstatus zur Modellanpassung in Amazon Bedrock reagiert. Ereignisse von Amazon Bedrock werden nahezu EventBridge in Echtzeit an Amazon übermittelt. Sie können einfache Regeln schreiben, um Aktionen zu automatisieren, wenn ein Ereignis mit einer Regel übereinstimmt.

AWS KMS

Wir empfehlen, dass Sie einen vom Kunden verwalteten Schlüssel verwenden, um den Modellanpassungsjob, die Ausgabedateien (Trainings- und Validierungsmetriken) des Modellanpassungsjobs, das daraus resultierende benutzerdefinierte Modell und die S3-Buckets zu verschlüsseln, die die Trainings-, Validierungs- und Ausgabedaten hosten. Weitere Informationen finden Sie unter Verschlüsselung von Modellanpassungsaufträgen und Artefakten in der Amazon Bedrock-Dokumentation.

Eine Schlüsselrichtlinie ist eine Ressourcenrichtlinie für einen AWS-KMS-Schlüssel. Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Sie können auch IAM-Richtlinien und -Genehmigungen verwenden, um den Zugriff auf KMS-Schlüssel zu kontrollieren, aber jeder KMS-Schlüssel muss über eine Schlüsselrichtlinie verfügen. Verwenden Sie eine Schlüsselrichtlinie, um einer Rolle Berechtigungen für den Zugriff auf das benutzerdefinierte Modell zu gewähren, das mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurde. Auf diese Weise können bestimmte Rollen ein benutzerdefiniertes Modell für Inferenzen verwenden.

Verwenden Sie Amazon CloudWatch, Amazon CloudTrail, Amazon OpenSearch Serverless, Amazon S3 und Amazon Comprehend, wie in den vorherigen Funktionsabschnitten beschrieben.