View a markdown version of this page

Uso de políticas basadas en recursos para barandas - Amazon Bedrock
Patrones de declaración de políticas compatiblesCaracterísticas no admitidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas basadas en recursos para barandas

Amazon Bedrock Guardrails admite políticas basadas en recursos para barandas y perfiles de inferencia de barandas. Resource-based Las políticas le permiten definir los permisos de acceso especificando quién tiene acceso a cada recurso y las acciones que puede realizar en cada recurso.

Puede adjuntar una política basada en recursos (RBP) a los recursos de Guardrails (barandilla o perfil de inferencia de guardarraíl). En esta política, se especifican los permisos para los responsables de Identity and Access Management (IAM) que pueden realizar acciones específicas en estos recursos. Por ejemplo, la política adjunta a una barandilla contendrá permisos para aplicar la barandilla o leer la configuración de la barandilla.

Resource-based Se recomienda el uso de políticas con barandillas reforzadas a nivel de cuenta y son obligatorias para el uso de barandillas obligatorias a nivel de organización, ya que para las barandillas obligatorias organizativas, las cuentas de los miembros deben aplicar una barrera que exista en la cuenta del administrador de la organización. Para usar una barandilla en otra cuenta, la identidad de la persona que llama debe tener permiso para llamar a la bedrock:ApplyGuardrail API desde la barandilla y la barandilla debe tener adjunta una política basada en recursos que otorgue permiso a la persona que llama. Para obtener más información, consulte la lógica y las políticas de evaluación de políticas y las Cross-account políticas basadas en recursos. Identity-based

Las RBP se adjuntan en la página de detalles de las barandillas. Si la barandilla tiene habilitada la función de Cross-Region inferencia (CRIS), la persona que llama también debe tener ApplyGuardrail permiso para usar todos los objetos del perfil del propietario de la barandilla de la región de destino asociados a ese perfil, y los RBP deben adjuntarse sucesivamente a los perfiles. Para obtener más información, consulte Permisos para usar la inferencia entre regiones con Barreras de protección para Amazon Bedrock. Se puede acceder a las páginas de detalles de los perfiles desde la sección «perfiles de System-defined barandillas» del panel de control de las barandillas, y desde allí se pueden adjuntar las RBP.

En el caso de las barreras obligatorias (ya sea a nivel de organización o de cuenta), todas las personas que llamen a través de las API Bedrock Invoke o Converse y que no tengan permisos para llamar a esa barrera comenzarán a ver que sus llamadas fallan, con una excepción. AccessDenied Por este motivo, se recomienda encarecidamente comprobar que se puede llamar a la ApplyGuardrailAPI de la barandilla desde las identidades que la utilizarán, en las cuentas en las que se aplicará, antes de crear una configuración de barandilla forzada por la organización o la cuenta.

El lenguaje de políticas permitido para las políticas basadas en recursos de barandillas y perfiles de protección está restringido actualmente y solo admite un conjunto limitado de declaraciones de políticas.

Patrones de declaración de políticas compatibles

Comparte Guardrail en tu propia cuenta

account-iddebe ser la cuenta que contiene la barandilla.

Política para una barandilla:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Política para un perfil de barandilla:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Comparta la barandilla con su organización

account-iddebe coincidir con la cuenta desde la que está adjuntando el RBP y en la que debe estar dicha cuenta. org-id

Política de barandilla:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Política para un perfil de barandilla:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Comparta la barandilla con unidades organizativas específicas

account-iddebe coincidir con la cuenta desde la que está adjuntando el RBP y en la que debe estar dicha cuenta. org-id

Política de barandilla:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Política para un perfil de barandilla:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Características no admitidas

Guardrails no admite el uso compartido fuera de su organización.

Guardrails no admite prácticas comerciales restrictivas con condiciones distintas a las enumeradas anteriormente en o. PrincipalOrgId PrincipalOrgPaths

Guardrails no admite el uso de un * director sin una condición de organización o unidad organizativa.

Guardrails solo admite las acciones y en las prácticas comerciales bedrock:ApplyGuardrail restrictivasbedrock:GetGuardrail. Solo se admite en el caso de los recursos con perfiles de guardrail. ApplyGuardrail