Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione delle autorizzazioni per utilizzare Guardrail per Amazon Bedrock
Per configurare un ruolo con autorizzazioni per i guardrail, crea un ruolo IAM e allega le seguenti autorizzazioni seguendo i passaggi descritti in [Creazione di un ruolo per delegare le autorizzazioni a un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) servizio. AWS
Se utilizzi guardrail con un agente, associa le autorizzazioni a un ruolo di servizio con autorizzazioni per creare e gestire agenti. Puoi configurare questo ruolo nella console o creare un ruolo personalizzato seguendo la procedura riportata in [Creazione di un ruolo di servizio per Agent per Amazon Bedrock](agents-permissions.md).
## Autorizzazioni per creare e gestire i guardrail per il ruolo della policy
Aggiungi la seguente dichiarazione al campo `Statement` nella policy relativa al tuo ruolo per utilizzare i guardrail.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni per invocare guardrail al fine di filtrare i contenuti
Aggiungi la seguente dichiarazione al campo `Statement` nella policy relativa al tuo ruolo per consentire l’inferenza del modello e invocare guardrail.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
------
# Autorizzazioni per le politiche di ragionamento automatico con ApplyGuardrail
Quando si utilizzano le policy di ragionamento automatico con l’API `ApplyGuardrail`, è necessaria una policy IAM che consenta di invocare la policy di ragionamento automatico.
```
{
"Sid": "AutomatedReasoningChecks",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAutomatedReasoningPolicy"
],
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
```
Questa policy ti consente di invocare la policy di ragionamento automatico specificata nel tuo account.
# Autorizzazioni per le politiche di ragionamento automatico con agenti
Quando crei un agente in Amazon Bedrock, il ruolo di servizio per l'agente include automaticamente politiche per richiamare guardrails (`bedrock:ApplyGuardrail`) e modelli di base. Per allegare un guardrail che includa una policy di Automated Reasoning al tuo agente, aggiungi manualmente le autorizzazioni al ruolo di servizio dell'agente.
Aggiorna la `AmazonBedrockAgentBedrockApplyGuardrailPolicy` politica sul ruolo di servizio del tuo agente per includere l'`bedrock:GetGuardrail`azione e l'accesso ai profili guardrail. Quindi, aggiungi una dichiarazione separata che autorizzi l'`bedrock:InvokeAutomatedReasoningPolicy`azione per la tua risorsa politica di ragionamento automatico.
L'esempio seguente mostra l'elenco completo delle dichiarazioni:
```
"Statement": [
{
"Sid": "AmazonBedrockAgentBedrockApplyGuardrailPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:*:account-id:guardrail-profile/*"
]
},
{
"Sid": "InvokeAutomatedReasoningPolicyProd",
"Effect": "Allow",
"Action": "bedrock:InvokeAutomatedReasoningPolicy",
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
]
```
**Nota**
Non è necessario modificare il ruolo di servizio esistente `AmazonBedrockAgentBedrockFoundationModelPolicy` dell'agente. `AmazonBedrockAgentBedrockApplyGuardrailPolicy`Richiede solo le modifiche sopra descritte.
# (Facoltativo) Creazione di una chiave gestita dal cliente per il guardrail al fine di aumentare la sicurezza
Crittografi i tuoi guardrail con Customer Managed. AWS KMS keys Qualsiasi utente con `CreateKey` autorizzazioni può creare chiavi gestite dal cliente utilizzando la console AWS Key Management Service (AWS KMS) o l'operazione. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) In queste situazioni, assicurati di creare una chiave di crittografia simmetrica.
Dopo aver creato la chiave, configura le seguenti policy di autorizzazione.
1. Procedi come segue per creare una policy della chiave basata sulle risorse:
1. [Crea una policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) per creare una policy basata sulle risorse per la chiave KMS.
1. Aggiungi le seguenti dichiarazioni di policy per concedere le autorizzazioni agli utenti e ai creatori di guardrail. Sostituisci ciascun `role` con il ruolo a cui desideri consentire di eseguire le azioni specificate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
1. Aggiungi la seguente policy basata sull’identità a un ruolo per consentirgli di creare e gestire guardrail. Sostituisci `key-id` con l’ID della chiave KMS che hai creato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Aggiungi la seguente policy basata sull’identità a un ruolo per consentirgli di utilizzare il guardrail che hai crittografato durante l’inferenza del modello o durante l’invocazione di un agente. Sostituisci `key-id` con l’ID della chiave KMS che hai creato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
# Applicare l’utilizzo di guardrail specifici nelle richieste di inferenza del modello
Puoi applicare l’utilizzo di un guardrail specifico per l’inferenza del modello includendo la chiave di condizione `bedrock:GuardrailIdentifier` nella policy IAM. Ciò ti consente di negare qualsiasi richiesta API di inferenza che non includa il guardrail configurato nella policy IAM.
È possibile applicare questa applicazione per la seguente inferenza APIs:
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
Gli esempi seguenti illustrano alcuni modi in cui è possibile utilizzare la chiave di condizione `bedrock:GuardrailIdentifier`.
**Esempio 1: applicare l’utilizzo di un guardrail specifico e della relativa versione numerica**
Utilizza la seguente policy per applicare l’utilizzo di un guardrail specifico (`guardrail-id`) e della relativa versione numerica 1 durante l’inferenza del modello.
Il rifiuto esplicito impedisce alla richiesta dell’utente di richiamare le azioni elencate con qualsiasi altro `GuardrailIdentifier` e altra versione di guardrail, indipendentemente dalle ulteriori autorizzazioni di cui l’utente potrebbe disporre.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Esempio 2: applicare l’utilizzo di un guardrail specifico e della relativa versione DRAFT**
Utilizza la seguente policy per applicare l’utilizzo di un guardrail specifico (`guardrail-id`) e della relativa versione DRAFT durante l’inferenza del modello.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Esempio 3: applicare l’utilizzo di un guardrail specifico e di qualsiasi sua versione numerica**
Utilizza la seguente policy per applicare l’utilizzo di un guardrail specifico (`guardrail-id`) e delle relative versioni numeriche durante l’inferenza del modello.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Esempio 4: applicare l’utilizzo di un guardrail specifico e di qualsiasi sua versione**
Utilizza la seguente policy per applicare l’utilizzo di un guardrail specifico (`guardrail-id`) e delle relative versioni numeriche (inclusa la versione DRAFT) durante l’inferenza del modello.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Esempio 5: applicare l’utilizzo di specifiche coppie di guardrail e versioni**
Utilizza la seguente policy per consentire l’inferenza del modello solo per un set di guardrail e le rispettive versioni.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
]
}
```
**Limitazioni**
Se un utente assume un ruolo IAM con un guardrail specifico configurato utilizzando la chiave di condizione `bedrock:GuardrailIdentifier`:
+ Un utente non deve utilizzare lo stesso ruolo con autorizzazioni aggiuntive per richiamare Bedrock APIs like `RetrieveAndGenerate` e `InvokeAgent` che effettui `InvokeModel` chiamate per conto dell'utente. Ciò può causare errori di accesso negato anche quando il guardrail è specificato nella richiesta, perché `RetrieveAndGenerate` e `InvokeAgent` effettuano più chiamate `InvokeModel` e alcune di queste chiamate non includono un guardrail.
+ Un utente può ignorare l’applicazione di un guardrail nel prompt utilizzando i [tag di input del guardrail](guardrails-tagging.md). Tuttavia, il guardrail viene sempre applicato alla risposta.
+ Poiché Guardrail per Amazon Bedrock al momento non supporta policy basate su risorse per l’accesso multi-account, il guardrail deve avere lo stesso Account AWS del ruolo IAM che effettua la richiesta.
# Autorizzazioni per l’utilizzo dell’inferenza multiregionale con Guardrail per Amazon Bedrock
L’utilizzo dell’[inferenza multiregionale](guardrails-cross-region.md) con Guardrail per Amazon Bedrock richiede l’aggiunta di autorizzazioni specifiche al ruolo IAM, inclusa l’autorizzazione per accedere ai profili guardrail in altre Regioni.
## Autorizzazioni per creare e gestire guardrail per l’inferenza multiregionale
Utilizza la seguente policy IAM per [creare](guardrails-components.md), [visualizzare](guardrails-view.md), [modificare](guardrails-edit.md) ed [eliminare](guardrails-delete.md) un guardrail che utilizza un profilo guardrail specifico. Queste autorizzazioni sono necessarie solo per richiamare un [endpoint del piano di controllo (control-plane) Amazon Bedrock](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
"arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
]
}
]
}
```
------
## Autorizzazioni per invocare guardrail con inferenza multiregionale
Quando si invoca un guardrail con inferenza multiregionale, è necessaria una policy IAM che specifichi le Regioni di destinazione definite nel profilo guardrail.
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
]
}
```
In questa policy di esempio vengono specificare le seguenti risorse:
+ Il guardrail che stai invocando nella tua Regione di origine (in questo caso `us-east-1`).
+ Le Regioni di destinazione definite nel profilo guardrail che stai utilizzando (in questo caso `us.guardrail.v1:0`). Per informazioni sulle Regioni di destinazione da specificare nella tua policy, consulta [Profili guardrail disponibili](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles).
# Utilizzo di politiche basate sulle risorse per i guardrail
**Nota**
L'utilizzo di politiche basate sulle risorse per Amazon Bedrock Guardrails è disponibile in anteprima e soggetto a modifiche.
Guardrails supporta politiche basate su risorse per guardrails e profili di inferenza guardrails. Le policy basate su risorse consentono di definire le autorizzazioni di accesso specificando chi ha accesso a ciascuna risorsa e le azioni eseguibili su ciascuna risorsa.
È possibile allegare una politica basata sulle risorse (RBP) alle risorse Guardrails (profilo di inferenza guardrail o guardrail). In questa politica, specifichi le autorizzazioni per i [principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) di Identity and Access Management (IAM) che possono eseguire azioni specifiche su queste risorse. Ad esempio, la policy allegata a un guardrail conterrà le autorizzazioni per applicare il guardrail o leggere la configurazione del guardrail.
Le politiche basate sulle risorse sono consigliate per l'uso con i guardrail applicati a livello di account e sono necessari per l'uso dei guardrail applicati a livello di organizzazione, poiché per i guardrail applicati a livello di organizzazione gli account membro devono applicare un guardrail esistente nell'account dell'amministratore dell'organizzazione. Per utilizzare un guardrail in un altro account, l'identità del chiamante deve avere l'autorizzazione a chiamare l'`bedrock:ApplyGuardrail`API sul guardrail e il guardrail deve avere una politica basata sulle risorse allegata che dia l'autorizzazione al chiamante. [Per ulteriori informazioni, consulta [Logica di valutazione delle politiche tra account e Politiche basate sull'identità e politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) basate sulle risorse.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
RBPs sono allegati dalla pagina dei dettagli dei guardrails. Se il guardrail ha abilitato Cross-Region Inference (CRIS), il chiamante deve inoltre disporre dell'`ApplyGuardrail`autorizzazione su tutti gli oggetti del guardrail-owner-account profilo della regione di destinazione associati a quel profilo e deve essere collegato ai profili a sua volta. RBPs Per ulteriori informazioni, consulta [Autorizzazioni per l’utilizzo dell’inferenza multiregionale con Guardrail per Amazon Bedrock](guardrail-profiles-permissions.md). Le pagine di dettaglio dei profili possono essere raggiunte dalla sezione «Profili di guardrail definiti dal sistema» sul pannello di controllo dei guardrails e da lì allegate. RBPs
Per quanto riguarda i guardrail forzati (a livello di organizzazione o di account), tutti i chiamanti di Bedrock Invoke o Converse APIs che non dispongono delle autorizzazioni per chiamare quel guardrail inizieranno a vedere fallire le loro chiamate, con un'eccezione. `AccessDenied` Per questo motivo, si consiglia vivamente di verificare di essere in grado di chiamare l'[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API sul guardrail dalle identità con cui verrà utilizzata, negli account su cui verrà applicata, prima di creare una configurazione di guardrail organizzativa o applicata all'account.
Il linguaggio di policy consentito per le policy basate sulle risorse di guardrail e guardrail-profile è attualmente limitato e supporta solo un insieme limitato di istruzioni relative alle policy.
## Modelli di dichiarazione politica supportati
### Condividi guardrail all'interno del tuo account
`account-id`deve essere l'account contenente il guardrail.
**Politica per un guardrail:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
}]
}
```
------
**Politica per un profilo di guardrail:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
}]
}
```
------
### Condividi guardrail con la tua organizzazione
`account-id`deve corrispondere all'account da cui si sta allegando l'RBP e tale account deve essere inserito. `org-id`
**Politica per un guardrail:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:GetGuardrail",
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
**Politica per un profilo di guardrail:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
### Condividi guardrail con specifici OUs
`account-id`deve corrispondere all'account da cui si sta allegando l'RBP e tale account deve trovarsi. `org-id`
**Politica per un guardrail:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
**Politica per un profilo di guardrail:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
## Caratteristiche non supportate
Guardrails non supporta la condivisione al di fuori dell'organizzazione.
Guardrails non supporta condizioni diverse RBPs da quelle sopra elencate su o. `PrincipalOrgId` `PrincipalOrgPaths`
Guardrails non supporta l'uso di un `*` Principal senza una condizione organizzativa o di unità organizzativa.
Guardrails supporta solo le azioni e in`bedrock:ApplyGuardrail`. `bedrock:GetGuardrail` RBPs È supportato solo per le risorse guardrail-profile. `ApplyGuardrail`