機能 4。生成 AI モデルのカスタマイズのための安全なアクセス、使用、実装の提供 - AWS 規範ガイダンス
根拠セキュリティに関する考慮事項修復推奨AWSサービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機能 4。生成 AI モデルのカスタマイズのための安全なアクセス、使用、実装の提供

次の図は、この機能の Generative AI アカウントに推奨されるAWSサービスを示しています。このシナリオの範囲は、モデルのカスタマイズを保護することです。このユースケースでは、モデルカスタマイズジョブのリソースとトレーニング環境の保護と、カスタムモデルの呼び出しの保護に焦点を当てています。

AWS モデルカスタマイズ用の Generative AI アカウントに推奨される サービス。

Generative AI アカウントには、モデルのカスタマイズに必要なサービスと、セキュリティガードレールと一元化されたセキュリティガバナンスを実装するために必要な一連のセキュリティサービスが含まれています。Amazon S3 のトレーニングデータと評価バケット用に Amazon S3 ゲートウェイエンドポイントを作成し、プライベートVPC環境がプライベートモデルのカスタマイズを許可するようにアクセスするように設定する必要があります。 

根拠

モデルのカスタマイズは、特定のユースケースのパフォーマンスを向上させるためにモデルにトレーニングデータを提供するプロセスです。Amazon Bedrock では、Amazon Bedrock 基盤モデル (FMs) をカスタマイズしてパフォーマンスを向上させ、ラベル付けされていないデータによる継続的な事前トレーニングを使用してドメインの知識を強化したり、ラベル付けされたデータで微調整してタスク固有のパフォーマンスを最適化したりすることで、カスタマーエクスペリエンスを向上させることができます。モデルをカスタマイズする場合は、プロビジョンドスループットを購入してモデルを使用できるようにする必要があります。 

このユースケースは、Generative AI Security Scoping Matrix のスコープ 4 を指します。スコープ 4 では、Amazon Bedrock で提供される FM などの FM をデータでカスタマイズして、特定のタスクまたはドメインでのモデルのパフォーマンスを向上させます。このスコープでは、アプリケーション、アプリケーションで使用される顧客データ、トレーニングデータ、およびカスタマイズされたモデルを制御しますが、FM プロバイダーは事前トレーニング済みのモデルとそのトレーニングデータを制御します。 

または、カスタムモデルインポート機能を使用して Amazon Bedrock でカスタムモデルを作成し、Amazon などの他の環境でカスタマイズしたカスタムモデルをインポートすることもできます SageMaker。 FMsインポートソース では、インポートされたモデルのシリアル化形式に Safetensors を使用することを強くお勧めします。Pickle とは異なり、Safetensors ではテンソルデータのみを保存でき、任意の Python オブジェクトは保存できません。これにより、信頼できないデータを抽出することに起因する脆弱性が排除されます。Safetensor はコードを実行できません。テンソルを安全に保存およびロードするだけです。

Amazon Bedrock で生成 AI モデルのカスタマイズへのアクセス権をユーザーに付与する場合は、以下の主要なセキュリティ上の考慮事項に対処する必要があります。 

  • モデル呼び出し、トレーニングジョブ、トレーニングおよび検証ファイルへの安全なアクセス

  • トレーニングモデルジョブ、カスタムモデル、トレーニングおよび検証ファイルの暗号化

  • トレーニングファイル内の jailbreak プロンプトや機密情報などの潜在的なセキュリティリスクに関するアラート 

以下のセクションでは、これらのセキュリティ上の考慮事項と生成 AI 機能について説明します。 

Amazon Bedrock モデルのカスタマイズ

Amazon Bedrock の独自のデータを使用して、基盤モデル (FMs) をプライベートかつ安全にカスタマイズして、ドメイン、組織、ユースケースに固有のアプリケーションを構築できます。微調整により、独自のタスク固有のラベル付きトレーニングデータセットを提供し、さらに を専門化することで、モデルの精度を高めることができますFMs。継続的な事前トレーニングでは、カスタマーマネージドキーを使用して、安全で管理された環境で独自のラベル付けされていないデータを使用してモデルをトレーニングできます。詳細については、「Amazon Bedrock ドキュメント」の「カスタムモデル」を参照してください。

セキュリティに関する考慮事項

生成 AI モデルカスタマイズワークロードは、トレーニングデータのデータ流出、トレーニングデータへの悪意のあるプロンプトやマルウェアの注入によるデータ中毒、モデル推論中の攻撃者による迅速な注入やデータ流出など、固有のリスクに直面します。Amazon Bedrock では、モデルのカスタマイズにより、データ保護、アクセスコントロール、ネットワークセキュリティ、ログ記録とモニタリング、入出力の検証のための堅牢なセキュリティコントロールが提供され、これらのリスクを軽減できます。 

修復

データ保護

作成、AWSKMS所有、管理するカスタマーマネージドキーを使用して、モデルカスタマイズジョブ、モデルカスタマイズジョブからの出力ファイル (トレーニングおよび検証メトリクス)、および結果のカスタムモデルを暗号化します。Amazon Bedrock を使用してモデルカスタマイズジョブを実行すると、入力 (トレーニングおよび検証データ) ファイルが S3 バケットに保存されます。ジョブが完了すると、Amazon Bedrock は、ジョブの作成時に指定した S3 バケットに出力メトリクスファイルを保存し、結果のカスタムモデルアーティファクトを によって制御された S3 バケットに保存しますAWS。デフォルトで、入力ファイルと出力ファイルはAWS、マネージドキーを使用して Amazon S3 SSE-S3 サーバー側の暗号化で暗号化されます。これらのファイルをカスタマーマネージドキーで暗号化することもできます。

ID およびアクセス管理

最小権限の原則に従って、モデルカスタマイズまたはモデルインポート用のカスタムサービスロールを作成します。モデルカスタマイズサービスロール の場合、 Amazon Bedrock がこのロールを引き受け、モデルカスタマイズジョブを実行できるようにする信頼関係を作成します。ロールがトレーニングデータと検証データにアクセスすることを許可するポリシーと、出力データを書き込むバケットをアタッチします。モデルインポートサービスロール の場合、 Amazon Bedrock がこのロールを引き受け、モデルインポートジョブを実行できるようにする信頼関係を作成します。ロールが S3 バケット内のカスタムモデルファイルにアクセスできるようにするポリシーをアタッチします。 S3 モデルカスタマイズジョブが で実行されている場合はVPC、モデルカスタマイズロール にアクセスVPC許可をアタッチします。 

ネットワークセキュリティ

データへのアクセスを制御するには、Amazon で仮想プライベートクラウド (VPC) を使用しますVPC。 を作成するときはVPC、標準の Amazon S3 がURLs解決されるように、エンドポイントルートテーブルのDNSデフォルト設定を使用することをお勧めします。 

インターネットアクセスVPCなしで を設定する場合は、Amazon S3 VPCエンドポイントを作成して、モデルのカスタマイズジョブがトレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるようにする必要があります。

VPC および エンドポイントの設定が完了したら、モデルカスタマイズIAMロール にアクセス許可をアタッチする必要があります。 VPCと必要なロールとアクセス許可を設定したら、この を使用するモデルカスタマイズジョブを作成できますVPC。トレーニングデータの関連付けられた S3 VPCエンドポイントでインターネットアクセスVPCのない を作成することで、プライベート接続 (インターネットへの露出なし) を使用してモデルカスタマイズジョブを実行できます。 

推奨AWSサービス

Amazon S3

モデルカスタマイズジョブを実行すると、ジョブは S3 バケットにアクセスして入力データをダウンロードし、ジョブメトリクスをアップロードします。Amazon Bedrock コンソールまたは でモデルカスタマイズジョブを送信するときに、モデルタイプとして微調整または継続的な事前トレーニングを選択できますAPI。モデルカスタマイズジョブが完了したら、ジョブの送信時に指定した出力 S3 バケット内のファイルを表示することで、トレーニングプロセスの結果を分析できます。また、モデルの詳細を表示できます。両方のバケットをカスタマーマネージドキーで暗号化します。ネットワークセキュリティを強化するために、VPC環境がアクセスするように設定されている S3 バケットのゲートウェイエンドポイントを作成できます。アクセスはログに記録し、モニタリングする必要があります。バックアップにはバージョニングを使用します。リソースベースのポリシーを使用して、Amazon S3 ファイルへのアクセスをより厳密に制御できます。 

Amazon Macie

Macie は、Amazon S3 トレーニングデータセットと検証データセット内の機密データを識別するのに役立ちます。セキュリティのベストプラクティスについては、このガイダンスの前の Macie セクションを参照してください。

Amazon EventBridge

Amazon EventBridge を使用して、Amazon Bedrock でモデルカスタマイズジョブのステータス変更に自動的に応答 SageMaker するように Amazon を設定できます。Amazon Bedrock からのイベントは、ほぼリアルタイムで Amazon EventBridge に配信されます。シンプルなルールを作成して、イベントがルールと一致するときにアクションを自動化できます。

AWS KMS 

カスタマーマネージドキーを使用して、モデルカスタマイズジョブ、モデルカスタマイズジョブからの出力ファイル (トレーニングおよび検証メトリクス)、結果のカスタムモデル、トレーニング、検証、および出力データをホストする S3 バケットを暗号化することをお勧めします。詳細については、Amazon Bedrock ドキュメントの「モデルカスタマイズジョブとアーティファクトの暗号化」を参照してください。

キーポリシーは、AWSKMSキーのリソースポリシーです。キーポリシーは、KMSキーへのアクセスを制御する主要な方法です。IAM ポリシーと許可を使用してKMSキーへのアクセスを制御することもできますが、すべてのKMSキーにキーポリシーが必要です。アキーポリシーを使用して、カスタマーマネージドキーで暗号化されたカスタムモデルにアクセスするアクセス許可をロールに付与します。これにより、指定されたロールが推論にカスタムモデルを使用できるようになります。

前の機能セクションで説明したように、Amazon CloudWatch、Amazon CloudTrail、Amazon OpenSearch Serverless、Amazon S3、および Amazon Comprehend を使用します。