Syntax und Beispiele für KI-Services-Opt-Out-Richtlinien - AWS Organizations
Richtliniensyntax zur Abmeldung von KI-ServicesBeispiele für Richtlinien zur Deaktivierung von KI-Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für KI-Services-Opt-Out-Richtlinien

In diesem Thema wird die Syntax der Deaktivierungsrichtlinie für Services der künstlichen Intelligenz (KI) beschrieben und Beispiele bereitgestellt.

Richtliniensyntax zur Abmeldung von KI-Services

Eine KI-Services-Deaktivierungs-Richtlinie ist eine Textdatei, die den Regeln der JSON-Struktur folgt. Die Syntax für KI-Services-Deaktivierungs-Richtlinien folgt der Syntax für Verwaltungsrichtlinientypen. Eine umfassende Erläuterung dieser Syntax finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des KI-Services-Opt-Out-Richtlinientyps.

Wichtig

Wichtig ist die Großschreibung der in diesem Abschnitt beschriebenen Werte. Geben Sie die Werte mit Groß- und Kleinbuchstaben ein, wie in diesem Thema gezeigt. Die Richtlinien funktionieren nicht, wenn Sie unerwartete Großschreibung verwenden.

Die folgende Richtlinie zeigt die grundlegende Richtliniensyntax für KI-Services-Opt-Out Wenn dieses Beispiel direkt an ein Konto angefügt wäre, würde dieses Konto explizit von einem Service abmelden und sich für einen anderen anmelden. Andere Services können durch Richtlinien, die von höheren Ebenen geerbt werden (OU oder Stammrichtlinien), abgeschaltet werden.

{
    "services": {
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "lex": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

Stellen Sie sich die folgende Beispielrichtlinie vor, die an den Organisationsstamm angefügt ist. Es legt die Standardeinstellung für die Organisation fest, dass alle KI-Services deaktiviert werden. Dies schließt automatisch alle KI-Services ein, die nicht anderweitig ausdrücklich ausgenommen sind, einschließlich aller KI-Services, die AWS in Zukunft bereitstellen könnte. Sie können untergeordnete Richtlinien an Organisationseinheiten oder direkt an Konten anfügen, um diese Einstellung für alle KI-Services außer Amazon Comprehend zu überschreiben. Der zweite Eintrag im folgenden Beispiel verwendet @@operators_allowed_for_child_policies auf none gesetzt, um zu verhindern, dass er überschrieben wird. Der dritte Eintrag im Beispiel stellt eine organisationsweite Befreiung für Amazon Rekognition. Es wird in der gesamten Organisation für diesen Service entschieden, aber die Richtlinie erlaubt, untergeordnete Richtlinien gegebenenfalls außer Kraft zu setzen.

{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

Die Syntax der Deaktivierungsrichtlinie für KI-Services umfasst die folgenden Elemente:

  • Das services-Element. Eine KI-Service-Opt-Out-Richtlinie wird durch diesen festen Namen als das äußerste JSON-Element identifiziert, das enthält.

    Eine KI-Services-Opt-Out-Richtlinie kann eine oder mehrere Anweisungen unter dem services-Element haben. Jede Anweisung enthält die folgenden Elemente:

    • Ein Dienstnamenschlüssel, der einen AWS KI-Dienst identifiziert. Die folgenden Schlüsselnamen sind gültige Werte für dieses Feld:

      • default— stellt alle derzeit verfügbaren KI-Services dar und schließt implizit und automatisch alle KI-Services ein, die in Zukunft hinzugefügt werden könnten.

      • awssupplychain

      • chimesdkvoiceanalytics

      • cloudwatch

      • codeguruprofiler

      • codewhisperer

      • comprehend

      • connectamd

      • connectoptimization

      • contactlens

      • datazone

      • entityresolution

      • frauddetector

      • glue

      • guardduty

      • lex

      • polly

      • q

      • quicksightq

      • rekognition

      • securitylake

      • textract

      • transcribe

      • translate

      Jede Richtlinienanweisung, die durch einen Servicenamenschlüssel identifiziert wird, kann die folgenden Elemente enthalten:

      • Der opt_out_policy-Schlüssel Dieser Schlüssel muss vorhanden sein. Dies ist der einzige Schlüssel, den Sie unter einem Service-Name-Schlüssel platzieren können.

        Der opt_out_policy-Schlüssel kann nur den @@assign-Operator mit einem der folgenden Werte enthalten:

        • optOut – Sie entscheiden sich für die Verwendung von Inhalten für den angegebenen KI-Service.

        • optIn – Sie entscheiden sich für die Inhaltsverwendung für den angegebenen KI-Service.

          Hinweise

          • Sie können die Vererbungsoperatoren @@append und @@remove nicht in Deaktivierungsrichtlinien für KI-Services verwenden.

          • Sie können den @@enforced_for-Operator nicht in den Deaktivierungsrichtlinien für KI-Services verwenden.

    • Auf jeder Ebene können Sie den @@operators_allowed_for_child_policies-Operator angeben, der steuert, was untergeordnete Richtlinien tun können, um die von übergeordneten Richtlinien auferlegten Einstellungen zu überschreiben. Sie können einen der folgenden Werte angeben:

      • @@assign – Untergeordnete Richtlinien dieser Richtlinie können den @@assign-Operator verwenden, um den geerbten Wert mit einem anderen Wert zu überschreiben.

      • @@none – Die untergeordneten Richtlinien dieser Richtlinie können den Wert nicht ändern.

      Das Verhalten der @@operators_allowed_for_child_policies hängt davon ab, wo Sie sie platzieren. Sie können die folgenden Speicherorte verwenden:

      • Unter dem services-Schlüssel – steuert, ob eine untergeordnete Richtlinie die Liste der Services in der wirksamen Richtlinie hinzufügen oder ändern kann.

      • Unter dem Schlüssel für einen bestimmten KI-Service oder dem default-Schlüssel – steuert, ob eine untergeordnete Richtlinie die Liste der Schlüssel unter diesem bestimmten Eintrag hinzufügen oder ändern kann.

      • Unter dem opt_out_policies-Schlüssel für einen bestimmten Service – steuert, ob eine untergeordnete Richtlinie nur die Einstellung für diesen bestimmten Service ändern kann.

Beispiele für Richtlinien zur Deaktivierung von KI-Services

Die folgenden Richtlinienbeispiele dienen nur zu Informationszwecken.

Beispiel 1: Abmelden aller AI-Services für alle Konten in der Organisation

Das folgende Beispiel zeigt eine Richtlinie, die Sie dem Stammverzeichnis Ihrer Organisation hinzufügen können, um KI-Services für Konten in Ihrer Organisation zu deaktivieren.

Tipp

Wenn Sie das folgende Beispiel mit der Schaltfläche Kopieren in der oberen rechten Ecke des Beispiels kopieren, enthält die Kopie die Zeilennummern nicht. Es ist fertig zum Einfügen.

    | {
    |     "services": {
[1] |         "@@operators_allowed_for_child_policies": ["@@none"],
    |         "default": {
[2] |             "@@operators_allowed_for_child_policies": ["@@none"],
    |             "opt_out_policy": {
[3] |                 "@@operators_allowed_for_child_policies": ["@@none"],
    |                 "@@assign": "optOut"
    |             }
    |         }
    |     }
    | }

  • [1] – Die "@@operators_allowed_for_child_policies": ["@@none"] unter services verhindert, dass eine untergeordnete Richtlinie neue Abschnitte für einzelne Services außer dem bereits vorhandenen Abschnitt default hinzufügt. Default ist der Platzhalter, der „alle KI-Services“ darstellt.

  • [2] – Die "@@operators_allowed_for_child_policies": ["@@none"] unter default verhindert, dass eine untergeordnete Richtlinie neue Abschnitte außer dem bereits vorhandenen opt_out_policy-Abschnitt hinzufügt.

  • [3] — Die "@@operators_allowed_for_child_policies": ["@@none"] unter opt_out_policy verhindert, dass untergeordnete Richtlinien den Wert der optOut-Einstellung ändern oder zusätzliche Einstellungen hinzufügen.

Beispiel 2: Festlegen einer Organisationsstandardeinstellung für alle Services, aber untergeordnete Richtlinien dürfen die Einstellung für einzelne Services außer Kraft setzen

Die folgende Beispielrichtlinie legt einen organisationsweiten Standard für alle AI-Services fest. Der Wert für default verhindert, dass eine untergeordnete Richtlinie den optOut-Wert für Service default, den Platzhalter für alle KI-Services, ändert. Wenn diese Richtlinie als übergeordnete Richtlinie angewendet wird, indem sie an den Stamm oder eine Organisationseinheit angehängt wird, können untergeordnete Richtlinien weiterhin die Deaktivierungs-Einstellung für einzelne Services ändern, wie in der zweiten Richtlinie dargestellt.

  • Da unter dem Schlüssel "@@operators_allowed_for_child_policies": ["@@none"] kein services steht, können untergeordnete Richtlinien neue Abschnitte für einzelne Services hinzufügen.

  • Die "@@operators_allowed_for_child_policies": ["@@none"] unter default verhindert, dass eine untergeordnete Richtlinie neue Abschnitte außer dem bereits vorhandenen opt_out_policy-Abschnitt hinzufügt.

  • Die "@@operators_allowed_for_child_policies": ["@@none"] unter opt_out_policy verhindert, dass untergeordnete Richtlinien den Wert der optOut-Einstellung ändern oder zusätzliche Einstellungen hinzufügen.

Übergeordnete Richtlinie zur Abmeldung von KI-Services im Organisationsstamm

{
    "services": {
        "default": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        }
    }
}

In der folgenden Beispielrichtlinie wird davon ausgegangen, dass die vorherige Beispielrichtlinie entweder dem Organisationsstamm oder einer übergeordneten Organisationseinheit zugeordnet ist und dass Sie dieses Beispiel einem Konto zuordnen, das von der übergeordneten Richtlinie betroffen ist. Es überschreibt die standardmäßige Abmeldungs-Einstellung und meldet sich explizit nur für den Amazon-Lex-Service an.

Untergeordnete Richtlinie zur Abmeldung von KI-Services

{
    "services": {
        "lex": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

Die daraus resultierende effektive Richtlinie für die AWS-Konto besteht darin, dass das Konto nur Amazon Lex aktiviert und alle anderen AWS KI-Dienste aufgrund der vererbten default Opt-Out-Einstellung aus der übergeordneten Richtlinie abbestellt.

Beispiel 3: Definieren einer organisationsweiten KI-Services-Opt-Out-Richtlinie für einen einzelnen Service

Das folgende Beispiel zeigt eine Deaktivierungsrichtlinie für KI-Services, die eine optOut-Einstellung für einen einzelnen KI-Service definiert. Wenn diese Richtlinie an das Stammverzeichnis der Organisation angefügt ist, verhindert sie, dass eine untergeordnete Richtlinie die optOut-Einstellung für diesen einen Service überschreibt. Andere Services werden von dieser Richtlinie nicht behandelt, können jedoch von untergeordneten Richtlinien in anderen Organisationseinheiten oder Konten betroffen sein.

{
    "services": {
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optOut",
                "@@operators_allowed_for_child_policies": ["@@none"]
            }
        }
    }
}