Uso de políticas basadas en recursos para barandas - Amazon Bedrock
Patrones de declaración de políticas compatiblesCaracterísticas no admitidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas basadas en recursos para barandas

nota

El uso de políticas basadas en recursos para Amazon Bedrock Guardrails está en versión preliminar y está sujeto a cambios.

Guardrails admite políticas basadas en recursos para barandas y perfiles de inferencia de barandas. Las políticas basadas en recursos permiten definir los permisos de acceso al especificar quién tiene acceso a cada recurso y las acciones que puede realizar en cada recurso.

Puede adjuntar una política basada en recursos (RBP) a los recursos de Guardrails (barandilla o perfil de inferencia de barandillas). En esta política, se especifican los permisos para los responsables de Identity and Access Management (IAM) que pueden realizar acciones específicas en estos recursos. Por ejemplo, la política adjunta a una barandilla contendrá permisos para aplicar la barandilla o leer la configuración de la barandilla.

Se recomienda utilizar políticas basadas en recursos para las barandillas reforzadas a nivel de cuenta, y son obligatorias para el uso de las barandillas obligatorias a nivel de la organización, ya que para las barandillas obligatorias organizativas, las cuentas de los miembros deben aplicar una barrera de protección que exista en la cuenta del administrador de la organización. Para usar una barandilla en una cuenta diferente, la identidad de la persona que llama debe tener permiso para llamar a la bedrock:ApplyGuardrail API desde la barandilla, y la barandilla debe tener adjunta una política basada en recursos que otorgue permiso a la persona que llama. Para obtener más información, consulte Lógica de evaluación de políticas multicuentas y Políticas basadas en la identidad y las políticas basadas en recursos.

RBPs se adjuntan desde la página de detalles de las barandillas. Si la barandilla tiene habilitada la función de inferencia entre regiones (CRIS), la persona que llama también debe tener ApplyGuardrail permiso para acceder a todos los objetos del perfil de la región de destino asociados a ese guardrail-owner-account perfil y, a su vez, debe estar conectada a los perfiles. RBPs Para obtener más información, consulte Permisos para usar la inferencia entre regiones con Barreras de protección para Amazon Bedrock. Se puede acceder a las páginas de detalles de los perfiles desde la sección «Perfiles de barandillas definidos por el sistema» del panel de control de las barandillas y desde allí se accede a ellas. RBPs

En el caso de las barandillas obligatorias (ya sea a nivel de organización o de cuenta), todas las personas que llamen a Bedrock Invoke o Converse y que no tengan permiso para llamar a esa barandilla empezarán a ver APIs que sus llamadas fallan, salvo una excepción. AccessDenied Por este motivo, se recomienda encarecidamente comprobar que se puede llamar a la ApplyGuardrailAPI de la barandilla desde las identidades que la utilizarán, en las cuentas en las que se aplicará, antes de crear una configuración de barandilla forzada por la organización o la cuenta.

El lenguaje de políticas permitido para las políticas basadas en recursos de barandillas y perfiles de protección está restringido actualmente y solo admite un conjunto limitado de declaraciones de políticas.

Patrones de declaración de políticas compatibles

Comparte Guardrail dentro de tu propia cuenta

account-iddebe ser la cuenta que contiene la barandilla.

Política para una barandilla:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Política para un perfil de barandilla:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Comparta la barandilla con su organización

account-iddebe coincidir con la cuenta desde la que está adjuntando el RBP y en la que debe estar dicha cuenta. org-id

Política para una barandilla:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Política para un perfil de barandilla:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Comparta la barandilla con un OUs

account-iddebe coincidir con la cuenta desde la que está adjuntando el RBP y en la que debe estar dicha cuenta. org-id

Política para una barandilla:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Política para un perfil de barandilla:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Características no admitidas

Guardrails no admite el uso compartido fuera de su organización.

Guardrails no es compatible RBPs con condiciones distintas a las enumeradas anteriormente en o. PrincipalOrgId PrincipalOrgPaths

Guardrails no admite el uso de un * director sin una condición de organización o unidad organizativa.

Guardrails solo admite las acciones y las bedrock:ApplyGuardrail acciones internas. bedrock:GetGuardrail RBPs Solo se admite en el caso de los recursos de perfil de guardrail. ApplyGuardrail