기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
가드레일에 리소스 기반 정책 사용
참고
Amazon Bedrock Guardrails에 리소스 기반 정책을 사용하는 것은 미리 보기 중이며 변경될 수 있습니다.
가드레일은 가드레일 및 가드레일 추론 프로파일에 대한 리소스 기반 정책을 지원합니다. 리소스 기반 정책을 사용하면 각 리소스에 액세스할 수 있는 사람과 각 리소스에서 수행할 수 있는 작업을 지정하여 액세스 권한을 정의할 수 있습니다.
리소스 기반 정책(RBP)을 Guardrails 리소스(가드레일 또는 가드레일 추론 프로파일)에 연결할 수 있습니다. 이 정책에서는 이러한 리소스에 대해 특정 작업을 수행할 수 있는 Identity and Access Management(IAM) 보안 주체에 대한 권한을 지정합니다. 예를 들어 가드레일에 연결된 정책에는 가드레일을 적용하거나 가드레일 구성을 읽을 수 있는 권한이 포함됩니다.
리소스 기반 정책은 계정 수준 시행 가드레일과 함께 사용하는 것이 권장되며, 조직 수준 시행 가드레일 사용에 필요합니다. 조직 시행 가드레일의 경우 멤버 계정이 조직 관리자 계정에 있는 가드레일을 적용해야 하기 때문입니다. 다른 계정에서 가드레일을 사용하려면 호출자 자격 증명에 가드레일에서 bedrock:ApplyGuardrail API를 호출할 수 있는 권한이 있어야 하며, 가드레일에는 해당 호출자에게 권한을 부여하는 리소스 기반 정책이 연결되어 있어야 합니다. 자세한 내용은 교차 계정 정책 평가 로직 및 자격 증명 기반 정책 및 리소스 기반 정책을 참조하세요.
RBPs는 가드레일 세부 정보 페이지에서 연결됩니다. 가드레일에 교차 리전 추론(CRIS)이 활성화된 경우 호출자는 해당 프로필과 연결된 모든 대상 리전 guardrail-owner-account 프로필 객체에 대한 ApplyGuardrail 권한도 있어야 하며 RBPs 프로필에 차례로 연결해야 합니다. 자세한 내용은 Amazon Bedrock Guardrails를 통해 교차 리전 추론을 사용하는 데 필요한 권한 단원을 참조하십시오. 프로필 세부 정보 페이지는 가드레일 대시보드의 "시스템 정의 가드레일 프로필" 섹션과 여기에서 연결된 RBPs에서 확인할 수 있습니다.
강제 가드레일(조직 또는 계정 수준)의 경우 해당 가드레일을 호출할 권한이 없는 Bedrock Invoke 또는 Converse APIs의 모든 호출자는 AccessDenied 예외로 호출이 실패하기 시작합니다. 이러한 이유로 조직 또는 계정 적용 가드레일 구성을 생성하기 전에 가드레일에서 사용할 계정의 가드레일에서 ApplyGuardrail API를 호출할 수 있는지 확인하는 것이 좋습니다.
가드레일 및 가드레일 프로파일 리소스 기반 정책에 허용되는 정책 언어는 현재 제한되며 제한된 정책 설명 집합만 지원합니다.
지원되는 정책 설명 패턴
자신의 계정 내에서 가드레일 공유
account-id는 가드레일이 포함된 계정이어야 합니다.
가드레일 정책:
가드레일 프로파일에 대한 정책:
조직과 가드레일 공유
account-id는 RBP를 연결하는 계정과 일치해야 하며 해당 계정은에 있어야 합니다org-id.
가드레일 정책:
가드레일 프로파일에 대한 정책:
가드레일을 특정 OUs와 공유
account-id는 RBP를 연결하는 계정과 일치해야 하며 해당 계정은에 있어야 합니다org-id.
가드레일 정책:
가드레일 프로파일에 대한 정책:
지원되지 않는 기능
가드레일은 조직 외부에서의 공유를 지원하지 않습니다.
가드레일은 PrincipalOrgId 또는에 위에 나열된 조건 이외의 조건이 있는 RBPs를 지원하지 않습니다PrincipalOrgPaths.
가드레일은 조직 또는 조직 단위 조건 없이 * 보안 주체 사용을 지원하지 않습니다.
가드레일은 RBPs의 bedrock:ApplyGuardrail 및 bedrock:GetGuardrail 작업만 지원합니다. 가드레일 프로파일 리소스의 경우 만 지원ApplyGuardrail됩니다.
