View a markdown version of this page

Utilizzo di politiche basate sulle risorse per i guardrail - Amazon Bedrock
Modelli di dichiarazione delle politiche supportatiCaratteristiche non supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di politiche basate sulle risorse per i guardrail

Amazon Bedrock Guardrails supporta policy basate su risorse per guardrail e profili di inferenza guardrails. Resource-based le politiche consentono di definire le autorizzazioni di accesso specificando chi ha accesso a ciascuna risorsa e le azioni che può eseguire su ciascuna risorsa.

È possibile allegare una policy basata sulle risorse (RBP) alle risorse di Guardrails (guardrail o guardrail inference profile). In questa politica, specifichi le autorizzazioni per i principali di Identity and Access Management (IAM) che possono eseguire azioni specifiche su queste risorse. Ad esempio, la policy allegata a un guardrail conterrà le autorizzazioni per applicare il guardrail o leggere la configurazione del guardrail.

Resource-based i criteri sono consigliati per l'uso con i guardrail applicati a livello di account e sono necessari per l'uso dei guardrail applicati a livello di organizzazione, poiché per i guardrail imposti dall'organizzazione gli account membro devono applicare un guardrail esistente nell'account dell'amministratore dell'organizzazione. Per utilizzare un guardrail in un altro account, l'identità del chiamante deve disporre dell'autorizzazione a chiamare l'bedrock:ApplyGuardrailAPI sul guardrail e il guardrail deve avere una politica basata sulle risorse allegata che dia l'autorizzazione al chiamante. Per ulteriori informazioni, consulta Logica e politiche di valutazione delle Cross-account politiche e Identity-based politiche basate sulle risorse.

Gli RBP sono allegati dalla pagina dei dettagli dei guardrails. Se il guardrail ha Cross-Region Inference (CRIS) abilitato, il chiamante deve inoltre disporre dell'ApplyGuardrailautorizzazione su tutti gli oggetti del profilo guardrail-owner-account della regione di destinazione associati a quel profilo e gli RBP devono essere collegati a turno ai profili. Per ulteriori informazioni, consulta Autorizzazioni per l’utilizzo dell’inferenza multiregionale con Guardrail per Amazon Bedrock. Le pagine dei dettagli dei profili sono accessibili dalla sezione «profili System-defined guardrail» sulla dashboard dei guardrail e gli RBP allegati da lì.

Per quanto riguarda i guardrail imposti (a livello di organizzazione o di account), tutti i chiamanti delle API Bedrock Invoke o Converse che non dispongono delle autorizzazioni per chiamare quel guardrail inizieranno a vedere le loro chiamate non riuscire, con un'eccezione. AccessDenied Per questo motivo, si consiglia vivamente di verificare di essere in grado di chiamare l'ApplyGuardrailAPI sul guardrail dalle identità con cui verrà utilizzata, negli account su cui verrà applicata, prima di creare una configurazione di guardrail organizzativa o applicata all'account.

Il linguaggio di policy consentito per le policy basate sulle risorse di guardrail e guardrail-profile è attualmente limitato e supporta solo un insieme limitato di istruzioni relative alle policy.

Modelli di dichiarazione delle politiche supportati

Condividi guardrail all'interno del tuo account

account-iddeve essere l'account contenente il guardrail.

Politica per un guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Politica per un profilo di guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Condividi guardrail con la tua organizzazione

account-iddeve corrispondere all'account da cui si sta allegando l'RBP e tale account deve essere inserito. org-id

Politica per un guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Politica per un profilo di guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Condividi guardrail con unità organizzative specifiche

account-iddeve corrispondere all'account da cui si sta allegando l'RBP e tale account deve essere inserito. org-id

Politica per un guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Politica per un profilo di guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Caratteristiche non supportate

Guardrails non supporta la condivisione al di fuori dell'organizzazione.

Guardrails non supporta RBP con condizioni diverse da quelle sopra elencate su o. PrincipalOrgId PrincipalOrgPaths

Guardrails non supporta l'uso di un * Principal senza una condizione organizzativa o di unità organizzativa.

Guardrails supporta solo le azioni bedrock:ApplyGuardrail e bedrock:GetGuardrail negli RBP. È supportato solo per le risorse guardrail-profile. ApplyGuardrail