Utiliser des politiques basées sur les ressources pour les garde-fous - Amazon Bedrock
Modèles de déclarations de politique pris en chargeFonctions non prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des politiques basées sur les ressources pour les garde-fous

Note

L'utilisation de politiques basées sur les ressources pour Amazon Bedrock Guardrails est en cours de prévisualisation et est susceptible d'être modifiée.

Guardrails prend en charge les politiques basées sur les ressources pour les glissières de sécurité et les profils d'inférence des rambardes. Les politiques basées sur les ressources vous permettent de définir les autorisations d’accès en spécifiant qui a accès à chaque ressource et les actions que cette personne est autorisée à effectuer sur chaque ressource.

Vous pouvez associer une politique basée sur les ressources (RBP) aux ressources de Guardrails (garde-corps ou profil d'inférence de garde-corps). Dans cette politique, vous spécifiez les autorisations pour les responsables d'Identity and Access Management (IAM) qui peuvent effectuer des actions spécifiques sur ces ressources. Par exemple, la politique attachée à un garde-corps contiendra les autorisations permettant d'appliquer le garde-corps ou de lire la configuration du garde-corps.

Les politiques basées sur les ressources sont recommandées pour les barrières de sécurité appliquées au niveau du compte, et sont requises pour l'utilisation de barrières de sécurité appliquées au niveau de l'organisation, car pour les barrières de sécurité appliquées par l'organisation, les comptes des membres doivent appliquer une barrière de sécurité qui existe dans le compte administrateur de l'organisation. Pour utiliser un garde-corps dans un autre compte, l'identité de l'appelant doit être autorisée à appeler l'bedrock:ApplyGuardrailAPI sur le garde-corps, et le garde-corps doit être associé à une politique basée sur les ressources qui donne l'autorisation à cet appelant. Pour plus d'informations, voir Logique d'évaluation des politiques entre comptes et Politiques basées sur l'identité et politiques basées sur les ressources.

RBPs sont joints à partir de la page détaillée des rambardes. Si l'inférence interrégionale (CRIS) est activée sur le garde-corps, l'appelant doit également avoir l'ApplyGuardrailautorisation d'accéder à tous les objets de profil de région de destination associés à ce guardrail-owner-account profil, et RBPs doit être attaché aux profils à tour de rôle. Pour de plus amples informations, veuillez consulter Autorisations d’utilisation de l’inférence interrégionale avec les barrières de protection Amazon Bedrock. Les pages détaillées des profils sont accessibles depuis la section « Profils de garde-corps définis par le système » du tableau de bord des garde-corps, puis jointes à partir de là. RBPs

En cas d'application de garde-fous (au niveau de l'organisation ou du compte), tous les appelants de Bedrock Invoke ou Converse APIs qui ne sont pas autorisés à appeler ce garde-fou commenceront à voir leurs appels échouer, à une exception près. AccessDenied Pour cette raison, il est fortement recommandé de vérifier que vous êtes en mesure d'appeler l'ApplyGuardrailAPI sur le garde-corps à partir des identités par lesquelles elle sera utilisée, dans les comptes sur lesquels elle sera appliquée, avant de créer une configuration de garde-corps organisationnelle ou imposée par un compte.

Le langage de politique autorisé pour les politiques basées sur les ressources de garde-corps et de profil de garde-corps est actuellement restreint et ne prend en charge qu'un ensemble limité de déclarations de politique.

Modèles de déclarations de politique pris en charge

Partagez Guardrail sur votre propre compte

account-iddoit être le compte contenant le garde-corps.

Politique relative à un garde-corps :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Politique relative à un profil de garde-corps :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Partagez le garde-corps avec votre organisation

account-iddoit correspondre au compte à partir duquel vous joignez le RBP, et ce compte doit être enregistré. org-id

Politique relative à un garde-corps :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Politique relative à un profil de garde-corps :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Partagez le garde-corps avec des spécifiques OUs

account-iddoit correspondre au compte à partir duquel vous joignez le RBP, et ce compte doit être enregistré. org-id

Politique relative à un garde-corps :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Politique relative à un profil de garde-corps :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Fonctions non prises en charge

Guardrails ne prend pas en charge le partage en dehors de votre organisation.

Guardrails n'est pas compatible RBPs avec des conditions autres que celles répertoriées ci-dessus sur PrincipalOrgId ou. PrincipalOrgPaths

Guardrails ne permet pas l'utilisation d'un * directeur sans condition d'organisation ou d'unité organisationnelle.

Guardrails ne prend en charge que les bedrock:GetGuardrail actions bedrock:ApplyGuardrail et dans. RBPs Pour les ressources Guardrail-Profile, seules les ressources sont prises en charge. ApplyGuardrail