本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性
Deadline 云助手在现有的 Deadline Cloud 安全模式下运行:
+ **Read-only 访问权限** — 该助手仅对 Deadline Cloud 资源和 CloudWatch 日志执行读取操作(获取、列出、搜索)。它无法修改您的资源。
+ **Customer-account 执行** — 所有模型调用均 AWS 账户 使用您的凭据和服务配额在您中进行。
+ **范围权限**-策略的范围仅限于您所在地理区域的跨区域推理配置文件。监视器用户无法访问以外的操作`InvokeModelWithResponseStream`。
+ **会话隔离**-对话与各个浏览器会话隔离,不会持久化或共享。
+ **失败关闭** — 如果助理无法确定是否已启用(例如,如果`GetMonitorSettings`呼叫失败),则不会显示助理用户界面。
+ **管理员控制**-只有管理员才能启用或禁用助手。监控用户无法自行升级访问权限。
+ **滥用检测**-滥用检测功能适用于助手的使用。有关更多信息,请参阅《*用户指南》*中的[滥用检测](https://docs.aws.amazon.com/bedrock/latest/userguide/abuse-detection.html)。
## 模型信息
Deadline Cloud 助手使用 Anthropic Claude Sonnet 4.5 (`anthropic.claude-sonnet-4-5-20250929-v1:0`) 作为其基础模型,可通过跨区域推理配置文件进行访问。该助手还包括一个知识库,该知识库是根据Deadline Cloud的公共 AWS 文档、公共文档和流行的数字内容创作应用程序的公共文档构建的。此知识库由助手在调用时获取。 AWS 未使用任何 Deadline Cloud 账户中的客户数据来构建或微调助手。
## 数据隐私
Deadline Cloud 助手受数据保护政策的约束。有关数据保护的更多信息,请参阅《*用户指南*》中的[数据保护](https://docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html)。
该助手仅在浏览器内存中保存对话历史记录。刷新或关闭页面会永久删除对话。该助手不会将任何对话数据保存到磁盘、数据库或 AWS 服务。
如果您的账户中启用了模型调用日志功能,则您的助理对话(包括发送给模型的日志内容)将在您配置的日志目标(您的 Amazon S3 存储桶或 CloudWatch 日志组)中捕获。默认情况下,模型调用日志处于禁用状态,并且完全由您控制。有关更多信息,请参阅《*用户指南》*中的[模型调用日志](https://docs.aws.amazon.com/bedrock/latest/userguide/model-invocation-logging.html)。
## 网络路径
Deadline Cloud 助手作为 Deadline Cloud 监控应用程序的一部分在您的浏览器中运行。当您与助手交互时,您的浏览器会使用您的监视器用户凭据直接向服务端点发出 API 调用 (`InvokeModelWithResponseStream`)。这些呼叫通过 HTTPS(TLS 1.2 或更高版本)传输到您所在地区的公共终端节点。
由于助手在浏览器中运行,因此 Amazon VPC 接口终端节点 (AWS PrivateLink) 不适用于助手流量。 PrivateLink 支持专为在 Amazon VPC 中运行的服务器端工作负载而设计,而非基于浏览器的应用程序。
## Organization-level 控件
除了每台显示器的管理员切换开关外,您还可以使用 (Organizations) 服务控制策略 (SCP) 在 AWS Organizations 组织范围内对助手实施控制。即使监视器管理员启用了该功能,拒绝的 SCP 也会`bedrock:InvokeModelWithResponseStream`阻止该助手运行。
以下示例 SCP 拒绝所有模型调用,这会禁用关联策略的组织或组织单位 (OU) 中所有账户的助手:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyBedrockInvocations",
"Effect": "Deny",
"Action": "bedrock:InvokeModelWithResponseStream",
"Resource": "*"
}
]
}
```
有关 SCP 的更多信息,请参阅《Organizations *用户指南》中的*[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
**注意**
此 SCP 会阻止受影响账户中的所有模型调用,包括那些与 Deadline Cloud 无关的调用。要仅屏蔽助手,请改为通过显示器设置将其禁用。
## 审计跟踪
可通过 AWS CloudTrail (CloudTrail) 对助理的活动进行审计:
+ **调用 — 将**每个`InvokeModelWithResponseStream`呼叫 CloudTrail 记录为管理事件。日志条目记录了型号 ID、用户身份、时间戳和源 IP。该`additionalEventData.inferenceRegion`字段标识请求的处理位置。该 CloudTrail 事件不包含提示或响应内容。
+ De@@ **adline Cloud 资源读取** — 助手对 Deadline Cloud 资源(例如`GetJob`、`ListTasks``ListSessions`、和`SearchTasks`)的读取操作 CloudTrail 作为标准的 Deadline Cloud API 调用登录。您可以查询这些日志,以确定助手在对话期间访问了哪些特定的作业、任务和会话。
+ **CloudWatch 日志读取**-助手通过扮演队列角色(使用`deadline:AssumeQueueRoleForRead`)或队列角色(使用)来读取工作人员和任务日志。`deadline:AssumeFleetRoleForRead`这些角色假设事件已登录 CloudTrail。
## 滥用检测
自动滥用检测机制适用于所有助手的使用。有关更多信息,请参阅《*用户指南》*中的[滥用检测](https://docs.aws.amazon.com/bedrock/latest/userguide/abuse-detection.html)。
## 反馈数据
该助手提供了两种反馈机制。每种机制传输不同的数据:
+ **拇指 up/down 按钮** — 当你点击助手回复上的竖起大拇指或竖起大拇指图标时,只有情绪指标(正面或负面)和会话标识符被记录为遥测事件。反馈事件中不包含对话内容、日志数据或提示。
+ **一般反馈表**(仅限非欧盟和非英国地区)— 当您通过对话气泡图标提交一般反馈时,该表单仅传输您明确输入的信息。这包括类别选择、主题行、描述和可选的电子邮件地址。该表单还包括显示器的区域和当前页面路径作为元数据。除非您在表单字段中手动键入对话内容或日志数据,否则不包含对话内容或日志数据。一般反馈将提交给反 AWS 馈服务机构。
由于数据驻留要求,欧盟和英国地区无法提供一般反馈。拇指 up/down 反馈适用于所有地区,因为遥测事件不包含任何客户内容。