AWS审计经理将生成式AI最佳实践框架扩展至Amazon SageMaker 新闻博客

• 2026-01-27 11:56:12

AWS Audit Manager 更新Generative AI最佳实践框架

关键要点

最近，我收到一些技术主管的反馈，他们希望提高对生成式人工智能应用程序的可见性和治理能力。他们想知道如何监控和管理数据的使用与生成，解决安全性、可持续性、隐私和准确性等问题，以及如何在软件的整个生命周期中持续进行合规检查。

今天，我们很高兴推出AWS Audit Manager的更新，即针对生成式人工智能最佳实践框架的新版。这一框架旨在简化证据收集，使您能够通过110项预配置的标准控制，持续审计和监控生成式人工智能工作负载的合规性。示例控制包括对可能未在训练模型前被匿名化的个人信息PII数据的可见性验证、确保多因素身份验证MFA在访问数据集时得到执行，以及定期测试定制模型的备份版本，以确保其在系统故障前的可靠性等。这些控制的操作是通过从AWS Config和AWS Security Hub提取合规性检查，收集AWS CloudTrail的用户活动日志以及通过API对相关AWS服务进行配置数据捕获来实现的。如果需要更高的灵活性，您也可以创建自定义控制。

前年版本的标准控制已预配置为与AWS Bedrock配合使用，而在新版本中，已经将AWS SageMaker也纳入数据源，您可以更轻松地控制和可视化在Amazon Bedrock和Amazon SageMaker上的生成式人工智能工作负载。

强化生成式人工智能工作负载的最佳实践控制

“AWS生成式人工智能最佳实践框架v2”中的标准控制被组织在准确性、公平性、隐私、可持续性、责任、安全和安全性等领域下。

这些控制可以执行自动或手动检查，或两者结合。例如，有一个控制涉及对模型的准确性进行定期审查，系统会自动通过调用AWS Bedrock和SageMaker的API来检索相关模型的列表，并在特定时间需要手动上传证据，以显示每个模型已完成审查。

您还可以通过添加或排除控制，或自定义预定义控制来定制框架。这在您需要根据不同国家的法规进行调整时非常有用，或者随着法规的变化进行更新。您甚至可以从零开始创建自己的控制，但我建议您首先查阅Audit Manager控制库，以寻找可能适合或足够接近的起始点，这样可以节省一些时间。

开始创建评估的步骤

要开始使用，您首先需要创建一个评估。下面我们来逐步了解这个过程。

首先，导航到AWS管理控制台中的Audit Manager，选择“评估”。然后点击“创建评估”，进入设置流程。

为您的评估命名，您可以选择添加描述。

接下来，选择一个S3存储桶，以便Audit Manager存储生成的评估报告。请注意，您不必选择与评估相同区域的存储桶，但推荐这样做，因为您的评估在同一区域的情况下可以收集最多22000项证据，而如果使用跨区域的存储桶，则该配额会显著降低到3500项。

然后，选择要使用的框架。框架实际上充当模板，启用所有相关控件供您在评估中使用。

在本例中，我们选择“AWS生成式人工智能最佳实践框架v2”。使用搜索框查找并选择匹配结果以激活过滤。

接下来，您将看到框架卡片出现。您可以选择框架的标题以了解更多信息，并查看所有包含的控件。

通过在卡片中选择单选按钮来选择框架。

您可以为评估打标签。像其他资源一样，我建议您用有意义的元数据对其进行标签化，如需指导，请查看最佳的AWS资源标记实践。

该步骤非常简单。选择您希望评估控制持续评估的AWS账户，默认情况下会显示您当前使用的AWS账户。Audit Manager支持对多个账户进行评估并将报告汇总到一个AWS账户中，但如果您希望使用该功能，必须先启用与AWS Organizations的集成。

选择您想要纳入评估的AWS账户。

我选择当前正在使用的账户并点击“下一步”。

此时我们只需选择拥有对本评估具有完全权限的IAM用户。这非常简单，从可用的身份和访问管理IAM用户或角色列表中选择，或使用搜索框进行查找。建议您使用AWSAuditManagerAdministratorAccess策略。

您必须至少选择一个，哪怕是您自己，正如我在这里所做的。

选择具有对该评估拥有全部权限的IAM用户或角色。

最后只需审查您的选择，点击“创建评估”即可完成流程。

一旦创建评估，Audit Manager会开始在选定的AWS账户中收集证据，并开始生成报告以及在摘要页面上显示任何不合规资源。请记住，第一份评估反馈可能需要最长24小时才能显示。

您可以随时访问评估详细页面，以检查任何控制的状态。

结论

“AWS生成式人工智能最佳实践框架v2”现已在所有可以使用Amazon Bedrock和Amazon SageMaker的AWS区域中上线，您可以在AWS Audit Manager框架库中查看。

您可以访问AWS按区域提供服务列表以确认Audit Manager是否可在您期望的区域使用。

如果您想深入了解，请查阅逐步指南，了解如何入门。

Matheus Guimaraes

Matheus Guimaraes的职业生涯始于22年前，起初是一名初级游戏开发者，当时C/C占据主导地位，HTML仅是选修课程。从初级开发者到CTO，他对技术在连接当下与未来可能性中所发挥的作用始终充满热情。