Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung ressourcenbasierter Richtlinien für Leitplanken

Guardrails unterstützt ressourcenbasierte Richtlinien für Guardrails und Guardrails-Inferenzprofile. Mit ressourcenbasierten Richtlinien können Sie Zugriffsberechtigungen definieren, indem Sie angeben, wer Zugriff auf jede Ressource hat und welche Aktionen für jede Ressource ausgeführt werden dürfen.

Sie können den Ressourcen von Guardrails eine ressourcenbasierte Richtlinie (RBP) zuordnen (Guardrail oder Guardrail-Inferenzprofil). In dieser Richtlinie geben Sie Berechtigungen für Identity and Access Management (IAM) -Prinzipale an, die bestimmte Aktionen für diese Ressourcen ausführen können. Beispielsweise enthält die einer Leitplanke zugeordnete Richtlinie Berechtigungen zum Anwenden der Leitplanke oder zum Lesen der Guardrail-Konfiguration.

Ressourcenbasierte Richtlinien werden für die Verwendung mit erzwungenen Leitplanken auf Kontoebene empfohlen und sind für die Verwendung von durchgesetzten Leitplanken auf Organisationsebene erforderlich, da für von der Organisation erzwungene Leitplanken die Mitgliedskonten eine Leitplanke anwenden müssen, die im Administratorkonto der Organisation vorhanden ist. Um eine Guardrail in einem anderen Konto verwenden zu können, muss die Identität des Anrufers die Erlaubnis haben, die bedrock:ApplyGuardrail API auf der Guardrail aufzurufen, und der Guardrail muss eine ressourcenbasierte Richtlinie angehängt sein, die diesem Anrufer die Erlaubnis erteilt. Weitere Informationen finden Sie unter Bewertungslogik für kontenübergreifende Richtlinien und Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

RBPs sind auf der Detailseite der Leitplanken angehängt. Wenn für die Leitplanke Cross-Region Inference (CRIS) aktiviert ist, muss der Anrufer außerdem über ApplyGuardrail Berechtigungen für alle mit diesem Profil verknüpften guardrail-owner-account Zielregions-Profilobjekte verfügen und muss nacheinander an die Profile angehängt werden. RBPs Weitere Informationen finden Sie unter Berechtigungen für die Verwendung von regionsübergreifender Inferenz im Integritätsschutz für Amazon Bedrock. Profildetailseiten können über den Abschnitt „Systemdefinierte Leitplankenprofile“ im Leitplanken-Dashboard aufgerufen und von dort aus angehängt werden. RBPs

Bei durchgesetzten Leitplanken (entweder auf Organisations- oder Kontoebene) werden alle Anrufer von Bedrock Invoke oder Converse, die nicht berechtigt sind, diese Leitplanke anzurufen, feststellen APIs , dass ihre Anrufe mit einer Ausnahme fehlschlagen. AccessDenied Aus diesem Grund wird dringend empfohlen, vor dem Erstellen einer organisatorischen oder kontoerzwungenen Guardrail-Konfiguration zu überprüfen, ob Sie die ApplyGuardrailAPI auf der Guardrail von den Identitäten aus aufrufen können, von denen sie verwendet wird, und von den Konten aus, für die sie durchgesetzt wird.

Die zulässige Richtliniensprache für ressourcenbasierte Richtlinien für Guardrail und Guardrail-Profile ist derzeit eingeschränkt und unterstützt nur eine begrenzte Anzahl von Richtlinienerklärungen.

Unterstützte Muster für Grundsatzerklärungen

Teilen Sie Guardrail in Ihrem eigenen Konto

account-idmuss das Konto sein, das die Leitplanke enthält.

Richtlinie für eine Leitplanke:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}

Richtlinie für ein Leitplankenprofil:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Teilen Sie die Leitplanke mit Ihrer Organisation

account-idmuss mit dem Konto übereinstimmen, von dem Sie das RBP anhängen, und dieses Konto muss angemeldet sein. org-id

Richtlinie für eine Leitplanke:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Richtlinie für ein Leitplankenprofil:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Leitplanke mit bestimmten Personen teilen OUs

account-idmuss mit dem Konto übereinstimmen, von dem Sie das RBP anhängen, und dieses Konto muss angemeldet sein. org-id

Richtlinie für eine Leitplanke:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Richtlinie für ein Leitplankenprofil:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Nicht unterstützte Funktionen

Guardrails unterstützt keine gemeinsame Nutzung außerhalb Ihrer Organisation.

Guardrails unterstützt RBPs keine anderen Bedingungen als die oben unter oder aufgeführten. PrincipalOrgId PrincipalOrgPaths

Guardrails unterstützt nicht die Verwendung eines * Principals ohne eine Bedingung für eine Organisation oder Organisationseinheit.

Guardrails unterstützt nur die Aktionen und inbedrock:ApplyGuardrail. bedrock:GetGuardrail RBPs Wird nur für Ressourcen mit Guardrail-Profil unterstützt. ApplyGuardrail