ガードレールのリソースベースのポリシーの使用 - Amazon Bedrock
サポートされているポリシーステートメントパターンサポートされていない 機能

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガードレールのリソースベースのポリシーの使用

注記

Amazon Bedrock ガードレールのリソースベースのポリシーの使用はプレビュー中であり、変更される可能性があります。

ガードレールは、ガードレールとガードレール推論プロファイルのリソースベースのポリシーをサポートします。リソースベースのポリシーでは、各リソースにアクセスできるユーザーと、各リソースに対して実行できるアクションを指定することで、アクセス許可を定義できます。

リソースベースのポリシー (RBP) を Guardrails リソース (ガードレールまたはガードレール推論プロファイル) にアタッチできます。このポリシーでは、これらのリソースに対して特定のアクションを実行できる Identity and Access Management (IAM) プリンシパルのアクセス許可を指定します。たとえば、ガードレールにアタッチされたポリシーには、ガードレールを適用したり、ガードレール設定を読み取ったりするためのアクセス許可が含まれます。

リソースベースのポリシーは、アカウントレベルの強制ガードレールでの使用に推奨され、組織レベルの強制ガードレールの使用に必要です。これは、組織レベルの強制ガードレールの場合、メンバーアカウントは組織管理者アカウントに存在するガードレールを適用する必要があるためです。別のアカウントでガードレールを使用するには、発信者 ID にガードレールで bedrock:ApplyGuardrail API を呼び出すアクセス許可が必要です。また、ガードレールには、その発信者にアクセス許可を付与するリソースベースのポリシーがアタッチされている必要があります。詳細については、「クロスアカウントポリシー評価ロジック」および「アイデンティティベースのポリシー」および「リソースベースのポリシー」を参照してください。

RBPs はガードレールの詳細ページからアタッチされます。ガードレールでクロスリージョン推論 (CRIS) が有効になっている場合、呼び出し元には、そのプロファイルに関連付けられたすべての送信先/リージョンguardrail-owner-accountプロファイルオブジェクトに対するApplyGuardrailアクセス許可も必要です。また、RBPsをプロファイルにアタッチする必要があります。詳細については、「Amazon Bedrock ガードレールでクロスリージョン推論を使用するためのアクセス許可」を参照してください。プロファイルの詳細ページには、ガードレールダッシュボードの「システム定義のガードレールプロファイル」セクションと、そこからアタッチRBPs からアクセスできます。

強制ガードレール (組織レベルまたはアカウントレベル) の場合、そのガードレールを呼び出すアクセス許可を持たない Bedrock Invoke API または Converse APIs のすべての発信者は、AccessDenied例外で呼び出しが失敗し始めます。このため、組織またはアカウントの強制ガードレール設定を作成する前に、使用する ID からガードレールで ApplyGuardrail API を呼び出せることを確認することを強くお勧めします。

ガードレールおよびガードレールプロファイルのリソースベースのポリシーで許可されるポリシー言語は、現在制限されており、制限されたポリシーステートメントのセットのみをサポートしています。

サポートされているポリシーステートメントパターン

自分のアカウント内でガードレールを共有する

account-id はガードレールを含むアカウントである必要があります。

ガードレールのポリシー:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
ガードレールプロファイルのポリシー:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

ガードレールを組織と共有する

account-id は RBP をアタッチするアカウントと一致する必要があり、そのアカウントは にある必要がありますorg-id

ガードレールのポリシー:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
ガードレールプロファイルのポリシー:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

ガードレールを特定の OUs と共有する

account-id は RBP をアタッチするアカウントと一致する必要があり、そのアカウントは にある必要がありますorg-id

ガードレールのポリシー:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
ガードレールプロファイルのポリシー:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

サポートされていない 機能

ガードレールは、組織外の共有をサポートしていません。

ガードレールは、 PrincipalOrgIdまたは で上記の条件以外の条件の RBPs をサポートしていませんPrincipalOrgPaths

ガードレールは、組織または組織単位の条件がない*プリンシパルの使用をサポートしていません。

ガードレールは、RBPs の bedrock:ApplyGuardrailおよび bedrock:GetGuardrailアクションのみをサポートします。ガードレールプロファイルリソースでは、 のみがサポートApplyGuardrailされています。