亚马逊云科技Amazon Bedrock安全理念及架构实践（一）

关键字: [生成式Ai安全, 数据安全隐私, 模型环境隔离, 客户数据加密]

本文字数: 2000, 阅读完需: 10 分钟

导读

在这个演讲中,李阳介绍了亚马逊云科技的Amazon Bedrock服务的安全理念和架构设计。他解释了Amazon Bedrock是亚马逊为客户提供的生成式AI核心产品,重点讨论了如何在架构层面保护客户数据的安全和隐私。他详细阐述了Amazon Bedrock的内部架构,包括计算模型环境、数据加载和微调流程、多账号隔离等安全机制,以及与亚马逊云科技其他服务如CloudTrail、CloudWatch的集成。最后,他提到了Amazon Bedrock中的GuideRails功能,用于帮助客户过滤和管控生成式AI的输出内容。

演讲精华

以下是小编为您整理的本次演讲的精华，共1700字，阅读时间大约是8分钟。

下午好,欢迎来到生成式人工智能安全分论坛。我是亚马逊云科技的安全解决方案架构师李阳,今天我和同事李君将为大家分享Amazon Bedrock安全理念及其架构设计实践。

Amazon Bedrock是亚马逊云科技为客户提供的核心生成式人工智能产品。我们今天重点讨论的不是通常所说的卓越架构,而是Amazon Bedrock在设计上如何为客户提供安全能力和隐私保护。生成式人工智能无论是直接使用基础模型、基于基础模型进行微调,还是进行数据增强,都会涉及企业客户的核心数据。因此,客户非常关注其数据在Amazon Bedrock服务中的安全处理方式,以及如何保障数据隐私。

首先,简要介绍一下Amazon Bedrock服务。客户可以直接通过Amazon Bedrock API访问业界主流的基础模型,包括亚马逊自研的模型,以及Anthropic、OpenAI等公司提供的模型。客户还可以基于Amazon Bedrock提供的API进行模型微调、知识增强,或使用代理构建复杂的应用程序。目前,Amazon Bedrock已经托管了众多主流模型,并开放了部分能力,允许客户将自有的开源模型导入Amazon Bedrock,基于Amazon Bedrock提供的通用功能构建自己的生成式人工智能应用。

接下来,我们重点讲解Amazon Bedrock在安全方面的理念和实践。在生成式人工智能出现之前,亚马逊就一直将安全和隐私作为高度重视的任务。无论是在亚马逊云平台的自身实现层面,还是为客户提供的安全产品层面,如威胁检测、边界防护等,亚马逊都非常重视安全和隐私。更为重要的是,在亚马逊云平台中,我们做了大量的身份和访问控制工作,包括数据加密、存储链路加密、传输链路加密,以及对我们自身安全产品的相关认证。这些都有助于客户更好地使用亚马逊云服务。

在现有云平台安全设计的基础上,Amazon Bedrock服务的第一个设计理念就与其他人工智能产品或行业内其他生成式人工智能产品有所区别。在默认情况下,无需客户进行任何配置,Amazon Bedrock服务就不会使用客户的任何相关数据,包括客户用于训练或微调的数据,以及客户的提示或响应数据。我们不会保存或使用这些数据,更不会将其提供给基础模型提供商。这不仅是我们的承诺,在产品实现中也体现了这一点,我们将在后面详细阐述。

Amazon Bedrock服务已经与现有的亚马逊云平台安全基础能力相集成,包括传输链路加密和数据存储过程中的加密。客户可以非常容易地通过密钥管理服务(KMS)对数据进行加密,既可以使用亚马逊托管的密钥,也可以导入自己的密钥并托管在KMS中,然后使用这些密钥对自己的数据进行加密。客户经过微调的模型完全属于客户自己独享,其他客户无法访问。客户还可以通过身份和访问管理(IAM)中的功能,控制哪些人员或角色可以访问自己微调的模型,哪些不能访问,这一点非常容易实现。最后,Amazon Bedrock已经通过了业界常用的安全认证标准,如ISO、SOC、PCI-DSS、NIST等。

所有亚马逊云服务,包括Amazon Bedrock在内,都会与CloudTrail和CloudWatch服务集成。客户只需通过控制台或API SDK进行相关调用,就会集成在CloudTrail中,这样在进行事后分析或审计时,就可以通过CloudTrail服务查找相关问题。同时,所有服务都会与CloudWatch集成,例如,你在使用Amazon Bedrock时产生的相关访问频次或告警,都会默认显示在CloudWatch中。在CloudWatch和CloudTrail中,Amazon Bedrock服务唯一记录的只有监控源数据和计费数据,其他数据如客户的请求和响应数据,实际上都记录在客户自己的租户空间中。

这里简单举一个例子,说明如何比较容易地控制自己的员工对特定模型的访问权限。我们可以基于Amazon Bedrock提供的API Action在IAM策略中进行限制。由于每个基础模型在云中都是一种标准的云资源,都有一个对应的资源ID,因此我们非常容易在IAM策略中基于这个资源ID对模型的访问进行允许或限制。比如,你可以允许某些员工访问Anthropic的模型,而限制其他员工访问亚马逊自研的Titan模型,这在IAM策略中很容易实现。

除了IAM策略对模型的控制之外,客户在使用Amazon Bedrock中的某些模型时,还需要在控制台上单独开通权限,因为我们有一些第三方模型需要客户单独接受提供商的用户协议,就像在左边勾选接受协议一样,只有接受了才能继续使用该模型。

接下来,我们将剖析一下Amazon Bedrock内部的模型环境。当客户在使用Amazon Bedrock进行推理时,我们提供了两种计算环境:按需(On-Demand)和预配置容量(Provisioned Capacity)。这两种环境在安全特性上是完全一致的,计算资源不会使用或记录客户的任何数据,并且由Amazon Bedrock产品研发团队运维,基础模型提供商无权访问后端的模型环境,也就无法访问客户数据。

按需计算架构是一个多租户集群,所有直接使用基础模型进行推理的任务都会运行在这个集群中。当然,每个客户都有一个默认的配额,如果请求数量较大,需要单独申请调整配额,否则可能会出现限流情况。而预配置容量环境则是为每个客户单独部署的单租户集群,客户可以独享计算资源和QPS。

无论是按需还是预配置容量环境,基线模型都是完全一致的,即都是预先训练好的模型,不包含任何个性化内容。如果是预配置容量环境,客户微调后的模型只能在该环境中使用,不会影响其他客户。

客户在微调模型时的数据流程是高度安全的。当客户请求进行模型微调时,Amazon Bedrock服务会先在模型部署账号中为客户创建一个单租户集群。该集群会从基础模型存储桶中加载客户要基于哪个模型进行微调。然后,集群会使用客户在IAM中授权的角色,通过VPC终端节点的私有链路从客户账号的S3存储桶中加载数据,进行模型微调。

微调完成后,微调后的模型会单独存储在客户独享的加密S3存储桶中。客户在请求微调时,还可以指定使用自己导入的KMS密钥对该模型进行加密。因此,该模型不仅独享,而且经过了加密。在整个微调过程中,Amazon Bedrock服务并不记录客户的请求、推理或训练数据,我们唯一记录的只有监控数据和计费相关的元数据。如果客户希望记录整个预训练或推理过程,可以在自己的CloudWatch日志和CloudTrail中进行记录。

通过上述详细描述,大家可以看到,在整个流程中,Amazon Bedrock产品并没有记录客户的实际数据,如请求、推理、训练等,确保了客户数据的安全性和隐私性。

最后,简要介绍一下Amazon Bedrock中的GuideRails功能。由于生成式人工智能的输入和输出难以100%控制,因此除了在模型层面进行控制之外,我们还在Amazon Bedrock中提供了GuideRails功能,帮助客户对生成的内容进行过滤和管控。

Amazon Bedrock产品其实是我们给客户提供调用基础模型去开发应用或扩展现有应用的一种方法。客户可以直接通过Amazon Bedrock的API访问业界主流的基础模型,包括亚马逊自研模型,也包括像Anthropic、OpenAI等公司提供的模型。客户既可以直接通过Amazon Bedrock访问基础模型,也可以基于Amazon Bedrock提供的API进行模型微调、知识增强,或使用代理构建复杂应用。

目前,我们托管的模型种类非常多,已经把业界比较流行的模型提供商都纳入进来,包括与我们有深入合作的,以及亚马逊自研的Titan模型系列。现在Amazon Bedrock还开放了一些基础能力,允许客户将部分受限的开源模型导入Amazon Bedrock,基于Amazon Bedrock的通用功能构建自己的生成式AI应用。

以上就是Amazon Bedrock安全理念和架构实践的详细内容,体现了亚马逊对客户数据安全与隐私保护的高度重视,并在产品实现中作出了全面的安全考虑和实践,而不仅仅停留在用户协议层面的承诺。通过采用多账号架构、数据加密、访问控制等多重手段,确保了客户数据在Amazon Bedrock服务中的绝对安全,真正做到了对客户核心数据的隐私保护。

下面是一些演讲现场的精彩瞬间：

总结

亚马逊云科技的Amazon Bedrock服务是一款为客户提供生成式AI能力的核心产品。它采用了多重安全架构设计,确保客户数据的安全性和隐私性。首先,Amazon Bedrock服务提供了两种计算环境:按需计算集群和预配置容量集群,均采用多账号隔离架构,将客户数据与服务运营数据分离。其次,在微调模型的过程中,客户数据通过私有链路加载,并在独享的加密存储空间中进行微调,确保数据不被记录。最后,Amazon Bedrock还提供了GuideRails功能,帮助客户过滤和管控生成式AI的输出内容。

Amazon Bedrock服务在设计之初就充分考虑了安全性和隐私性,通过技术架构层面的多重保障,而非仅仅依赖用户协议,为客户提供了可信赖的生成式AI解决方案。亚马逊云科技致力于为客户打造安全可靠的云服务,Amazon Bedrock就是其中的代表之一。