Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di politiche basate sulle risorse per i guardrail
<a name="guardrails-resource-based-policies"></a>

Amazon Bedrock Guardrails supporta policy basate su risorse per guardrail e profili di inferenza guardrails. Le policy basate su risorse consentono di definire le autorizzazioni di accesso specificando chi ha accesso a ciascuna risorsa e le azioni eseguibili su ciascuna risorsa.

Puoi allegare una policy basata sulle risorse (RBP) alle risorse Guardrails (guardrail o guardrail inference profile). In questa politica, specifichi le autorizzazioni per i [principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) di Identity and Access Management (IAM) che possono eseguire azioni specifiche su queste risorse. Ad esempio, la policy allegata a un guardrail conterrà le autorizzazioni per applicare il guardrail o leggere la configurazione del guardrail.

Le politiche basate sulle risorse sono consigliate per l'uso con i guardrail applicati a livello di account e sono necessari per l'uso dei guardrail applicati a livello di organizzazione, poiché per i guardrail applicati a livello di organizzazione gli account membro devono applicare un guardrail esistente nell'account dell'amministratore dell'organizzazione. Per utilizzare un guardrail in un altro account, l'identità del chiamante deve avere l'autorizzazione a chiamare l'`bedrock:ApplyGuardrail`API sul guardrail e il guardrail deve avere una politica basata sulle risorse allegata che dia l'autorizzazione al chiamante. [Per ulteriori informazioni, consulta [Logica di valutazione delle politiche tra account e Politiche basate sull'identità e politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) basate sulle risorse.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)

RBPs sono allegati dalla pagina dei dettagli dei guardrails. Se il guardrail ha abilitato Cross-Region Inference (CRIS), il chiamante deve inoltre disporre dell'`ApplyGuardrail`autorizzazione su tutti gli oggetti del guardrail-owner-account profilo della regione di destinazione associati a quel profilo e deve essere collegato ai profili a sua volta. RBPs Per ulteriori informazioni, consulta [Autorizzazioni per l’utilizzo dell’inferenza multiregionale con Guardrail per Amazon Bedrock](guardrail-profiles-permissions.md). Le pagine di dettaglio dei profili possono essere raggiunte dalla sezione «Profili di guardrail definiti dal sistema» sul pannello di controllo dei guardrails e da lì allegate. RBPs 

Per quanto riguarda i guardrail forzati (a livello di organizzazione o di account), tutti i chiamanti di Bedrock Invoke o Converse APIs che non dispongono delle autorizzazioni per chiamare quel guardrail inizieranno a vedere fallire le loro chiamate, con un'eccezione. `AccessDenied` Per questo motivo, si consiglia vivamente di verificare di essere in grado di chiamare l'[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API sul guardrail dalle identità con cui verrà utilizzata, negli account su cui verrà applicata, prima di creare una configurazione di guardrail organizzativa o applicata all'account.

Il linguaggio di policy consentito per le policy basate sulle risorse di guardrail e guardrail-profile è attualmente limitato e supporta solo un insieme limitato di istruzioni relative alle policy.

## Modelli di dichiarazione delle politiche supportati
<a name="supported-policy-statement-patterns"></a>

### Condividi guardrail all'interno del tuo account
<a name="share-guardrail-within-account"></a>

`account-id`deve essere l'account contenente il guardrail.

**Politica per un guardrail:**  


------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{111122223333}}:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail/guardrail-id"
    }]
}
```

------

**Politica per un profilo di guardrail:**  


------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{111122223333}}:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail-profile/profile-id"
    }]
}
```

------

### Condividi guardrail con la tua organizzazione
<a name="share-guardrail-with-organization"></a>

`account-id`deve corrispondere all'account da cui si sta allegando l'RBP e tale account deve essere inserito. `org-id`

**Politica per un guardrail:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
```

------

**Politica per un profilo di guardrail:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
```

------

### Condividi guardrail con specifici OUs
<a name="share-guardrail-with-specific-ous"></a>

`account-id`deve corrispondere all'account da cui si sta allegando l'RBP e tale account deve essere inserito. `org-id`

**Politica per un guardrail:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
```

------

**Politica per un profilo di guardrail:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
```

------

## Caratteristiche non supportate
<a name="unsupported-features"></a>

Guardrails non supporta la condivisione al di fuori dell'organizzazione.

Guardrails non supporta condizioni diverse RBPs da quelle sopra elencate su o. `PrincipalOrgId` `PrincipalOrgPaths`

Guardrails non supporta l'uso di un `*` Principal senza una condizione organizzativa o di unità organizzativa.

Guardrails supporta solo le azioni e in`bedrock:ApplyGuardrail`. `bedrock:GetGuardrail` RBPs È supportato solo per le risorse guardrail-profile. `ApplyGuardrail`