Utilizzo di politiche basate sulle risorse per i guardrail - Amazon Bedrock
Modelli di dichiarazione politica supportatiCaratteristiche non supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di politiche basate sulle risorse per i guardrail

Nota

L'utilizzo di politiche basate sulle risorse per Amazon Bedrock Guardrails è disponibile in anteprima e soggetto a modifiche.

Guardrails supporta politiche basate su risorse per guardrails e profili di inferenza guardrails. Le policy basate su risorse consentono di definire le autorizzazioni di accesso specificando chi ha accesso a ciascuna risorsa e le azioni eseguibili su ciascuna risorsa.

È possibile allegare una politica basata sulle risorse (RBP) alle risorse Guardrails (profilo di inferenza guardrail o guardrail). In questa politica, specifichi le autorizzazioni per i principali di Identity and Access Management (IAM) che possono eseguire azioni specifiche su queste risorse. Ad esempio, la policy allegata a un guardrail conterrà le autorizzazioni per applicare il guardrail o leggere la configurazione del guardrail.

Le politiche basate sulle risorse sono consigliate per l'uso con i guardrail applicati a livello di account e sono necessari per l'uso dei guardrail applicati a livello di organizzazione, poiché per i guardrail applicati a livello di organizzazione gli account membro devono applicare un guardrail esistente nell'account dell'amministratore dell'organizzazione. Per utilizzare un guardrail in un altro account, l'identità del chiamante deve avere l'autorizzazione a chiamare l'bedrock:ApplyGuardrailAPI sul guardrail e il guardrail deve avere una politica basata sulle risorse allegata che dia l'autorizzazione al chiamante. Per ulteriori informazioni, consulta Logica di valutazione delle politiche tra account e Politiche basate sull'identità e politiche basate sulle risorse.

RBPs sono allegati dalla pagina dei dettagli dei guardrails. Se il guardrail ha abilitato Cross-Region Inference (CRIS), il chiamante deve inoltre disporre dell'ApplyGuardrailautorizzazione su tutti gli oggetti del guardrail-owner-account profilo della regione di destinazione associati a quel profilo e deve essere collegato ai profili a sua volta. RBPs Per ulteriori informazioni, consulta Autorizzazioni per l’utilizzo dell’inferenza multiregionale con Guardrail per Amazon Bedrock. Le pagine di dettaglio dei profili possono essere raggiunte dalla sezione «Profili di guardrail definiti dal sistema» sul pannello di controllo dei guardrails e da lì allegate. RBPs

Per quanto riguarda i guardrail forzati (a livello di organizzazione o di account), tutti i chiamanti di Bedrock Invoke o Converse APIs che non dispongono delle autorizzazioni per chiamare quel guardrail inizieranno a vedere fallire le loro chiamate, con un'eccezione. AccessDenied Per questo motivo, si consiglia vivamente di verificare di essere in grado di chiamare l'ApplyGuardrailAPI sul guardrail dalle identità con cui verrà utilizzata, negli account su cui verrà applicata, prima di creare una configurazione di guardrail organizzativa o applicata all'account.

Il linguaggio di policy consentito per le policy basate sulle risorse di guardrail e guardrail-profile è attualmente limitato e supporta solo un insieme limitato di istruzioni relative alle policy.

Modelli di dichiarazione politica supportati

Condividi guardrail all'interno del tuo account

account-iddeve essere l'account contenente il guardrail.

Politica per un guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Politica per un profilo di guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Condividi guardrail con la tua organizzazione

account-iddeve corrispondere all'account da cui si sta allegando l'RBP e tale account deve essere inserito. org-id

Politica per un guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Politica per un profilo di guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Condividi guardrail con specifici OUs

account-iddeve corrispondere all'account da cui si sta allegando l'RBP e tale account deve trovarsi. org-id

Politica per un guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Politica per un profilo di guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Caratteristiche non supportate

Guardrails non supporta la condivisione al di fuori dell'organizzazione.

Guardrails non supporta condizioni diverse RBPs da quelle sopra elencate su o. PrincipalOrgId PrincipalOrgPaths

Guardrails non supporta l'uso di un * Principal senza una condizione organizzativa o di unità organizzativa.

Guardrails supporta solo le azioni e inbedrock:ApplyGuardrail. bedrock:GetGuardrail RBPs È supportato solo per le risorse guardrail-profile. ApplyGuardrail