Menggunakan kebijakan berbasis sumber daya untuk pagar pembatas - Amazon Bedrock
Pola pernyataan kebijakan yang didukungFitur yang tidak didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis sumber daya untuk pagar pembatas

catatan

Menggunakan kebijakan berbasis sumber daya untuk Amazon Bedrock Guardrails dalam pratinjau dan dapat berubah.

Guardrails mendukung kebijakan berbasis sumber daya untuk profil inferensi pagar pembatas dan pagar pembatas. Kebijakan berbasis sumber daya memungkinkan Anda menentukan izin akses dengan menentukan siapa yang memiliki akses ke setiap sumber daya, dan tindakan yang diizinkan untuk dilakukan pada setiap sumber daya.

Anda dapat melampirkan kebijakan berbasis sumber daya (RBP) ke sumber daya Pagar Pembatas (profil inferensi pagar pembatas atau pagar pembatas). Dalam kebijakan ini, Anda menentukan izin untuk prinsip Identity and Access Management (IAM) dan Access Management (IAM) yang dapat melakukan tindakan spesifik pada sumber daya ini. Misalnya, kebijakan yang dilampirkan pada pagar pembatas akan berisi izin untuk menerapkan pagar pembatas atau membaca konfigurasi pagar pembatas.

Kebijakan berbasis sumber daya direkomendasikan untuk digunakan dengan pagar pembatas yang diberlakukan di tingkat akun, dan diperlukan untuk penggunaan pagar pembatas yang diberlakukan tingkat organisasi, karena untuk pagar pembatas yang diberlakukan organisasi, akun anggota diharuskan untuk menerapkan pagar pembatas yang ada di akun administrator organisasi. Untuk menggunakan pagar pembatas di akun yang berbeda, identitas penelepon harus memiliki izin untuk memanggil bedrock:ApplyGuardrail API di pagar pembatas, dan pagar pembatas harus memiliki kebijakan berbasis sumber daya yang dilampirkan yang memberikan izin pemanggil tersebut. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan lintas akun dan kebijakan berbasis identitas dan kebijakan berbasis sumber daya.

RBPs dilampirkan dari halaman detail pagar pembatas. Jika pagar pembatas mengaktifkan Inferensi Lintas Wilayah (CRIS), pemanggil juga harus memiliki ApplyGuardrail izin pada semua objek guardrail-owner-account profil wilayah tujuan yang terkait dengan profil itu, dan RBPs harus dilampirkan ke profil secara bergantian. Untuk informasi selengkapnya, lihat Izin untuk menggunakan inferensi lintas wilayah dengan Amazon Bedrock Guardrails. Halaman detail profil dapat dicapai dari bagian “Profil pagar pembatas yang ditentukan sistem” di dasbor pagar pembatas, dan dilampirkan dari sana. RBPs

Untuk pagar pembatas yang diberlakukan (baik tingkat organisasi atau akun), semua penelepon Bedrock Invoke atau Converse APIs yang tidak memiliki izin untuk memanggil pagar pembatas tersebut akan mulai melihat panggilan mereka gagal dengan pengecualian. AccessDenied Untuk alasan ini, sangat disarankan untuk memeriksa apakah Anda dapat memanggil ApplyGuardrailAPI di pagar pembatas dari identitas yang akan digunakan olehnya, di akun yang akan diberlakukan, sebelum membuat konfigurasi pagar pembatas yang diberlakukan oleh organisasi atau akun.

Bahasa kebijakan yang diizinkan untuk kebijakan berbasis sumber daya pagar pembatas dan profil pembatas saat ini dibatasi dan hanya mendukung serangkaian pernyataan kebijakan terbatas.

Pola pernyataan kebijakan yang didukung

Bagikan pagar pembatas dalam akun Anda sendiri

account-idharus berupa akun yang berisi pagar pembatas.

Kebijakan untuk pagar pembatas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Kebijakan untuk profil pagar pembatas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Bagikan pagar pembatas dengan organisasi Anda

account-idharus cocok dengan akun tempat Anda melampirkan RBP, dan akun itu harus masuk. org-id

Kebijakan untuk pagar pembatas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Kebijakan untuk profil pagar pembatas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Bagikan pagar pembatas dengan spesifik OUs

account-idharus cocok dengan akun tempat Anda melampirkan RBP, dan akun itu harus masuk. org-id

Kebijakan untuk pagar pembatas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Kebijakan untuk profil pagar pembatas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Fitur yang tidak didukung

Guardrails tidak mendukung berbagi di luar organisasi Anda.

Pagar pembatas tidak mendukung RBPs dengan kondisi selain yang tercantum di atas pada PrincipalOrgId atau. PrincipalOrgPaths

Guardrails tidak mendukung penggunaan * Principal tanpa kondisi organisasi atau unit organisasi.

Pagar pembatas hanya mendukung bedrock:ApplyGuardrail dan bedrock:GetGuardrail tindakan di. RBPs Untuk sumber daya profil pagar, hanya didukung. ApplyGuardrail