View a markdown version of this page

Usando políticas baseadas em recursos para grades de proteção - Amazon Bedrock
Padrões de declaração de política suportadosAtributos não compatíveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em recursos para grades de proteção

O Amazon Bedrock Guardrails oferece suporte a políticas baseadas em recursos para grades de proteção e perfis de inferência de grades de proteção. Resource-based as políticas permitem definir permissões de acesso especificando quem tem acesso a cada recurso e as ações que eles podem realizar em cada recurso.

Você pode anexar uma política baseada em recursos (RBP) aos recursos do Guardrails (guardrail ou perfil de inferência de guardrail). Nessa política, você especifica permissões para os diretores do Identity and Access Management (IAM) que podem realizar ações específicas nesses recursos. Por exemplo, a política anexada a uma grade de proteção conterá permissões para aplicar a grade de proteção ou ler a configuração da grade de proteção.

Resource-based as políticas são recomendadas para uso com proteções impostas no nível da conta e são obrigatórias para o uso de proteções impostas no nível da organização, porque para proteções impostas pela organização, as contas dos membros precisam aplicar uma grade de proteção que existe na conta do administrador da organização. Para usar uma grade de proteção em uma conta diferente, a identidade do chamador deve ter permissão para chamar a bedrock:ApplyGuardrail API na grade de proteção, e a grade de proteção deve ter uma política baseada em recursos anexada que dê permissão ao chamador. Para obter mais informações, consulte lógica e Cross-account Identity-based políticas de avaliação de políticas e políticas baseadas em recursos.

Os RBPs são anexados na página de detalhes das grades de proteção. Se o guardrail tiver a Cross-Region Inferência (CRIS) ativada, o chamador também deverá ter ApplyGuardrail permissão em todos os objetos de perfil da conta do proprietário do guardrail da região de destino associados a esse perfil, e os RBPs devem ser anexados aos perfis, por sua vez. Para obter mais informações, consulte Permissões para usar a inferência entre regiões com as Barreiras de Proteção do Amazon Bedrock. As páginas de detalhes dos perfis podem ser acessadas na seção “perfis de System-defined guardrail” no painel de proteções e os RBPs anexados a partir daí.

Para grades de proteção impostas (seja no nível da organização ou da conta), todos os chamadores das APIs Bedrock Invoke ou Converse que não têm permissão para chamar essa grade de proteção começarão a ver suas chamadas falharem, com uma exceção. AccessDenied Por esse motivo, é altamente recomendável verificar se você é capaz de chamar a ApplyGuardrailAPI na grade de proteção a partir das identidades pelas quais ela será usada, nas contas nas quais ela será aplicada, antes de criar uma configuração de proteção organizacional ou aplicada à conta.

A linguagem de política permitida para políticas baseadas em recursos de proteção e perfil de proteção é atualmente restrita e oferece suporte apenas a um conjunto limitado de declarações de política.

Padrões de declaração de política suportados

Compartilhe o guardrail em sua própria conta

account-iddeve ser a conta que contém a grade de proteção.

Política para uma grade de proteção:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Política para um perfil de guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Compartilhe o guardrail com sua organização

account-iddeve corresponder à conta da qual você está anexando o RBP e essa conta deve estar em. org-id

Política para uma grade de proteção:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Política para um perfil de guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Compartilhe o guardrail com OUs específicas

account-iddeve corresponder à conta da qual você está anexando o RBP e essa conta deve estar em. org-id

Política para uma grade de proteção:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Política para um perfil de guardrail:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Atributos não compatíveis

O Guardrails não oferece suporte ao compartilhamento fora da sua organização.

O Guardrails não oferece suporte a RBPs com condições diferentes das listadas acima em ou. PrincipalOrgId PrincipalOrgPaths

A Guardrails não suporta o uso de um * Diretor sem uma condição de organização ou unidade organizacional.

O Guardrails suporta apenas as bedrock:GetGuardrail ações bedrock:ApplyGuardrail e em RBPs. Somente é suportado para recursos de perfil de proteção. ApplyGuardrail