Usando políticas baseadas em recursos para grades de proteção - Amazon Bedrock
Padrões de declaração de política suportadosAtributos não compatíveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em recursos para grades de proteção

nota

O uso de políticas baseadas em recursos para o Amazon Bedrock Guardrails está em versão prévia e está sujeito a alterações.

O Guardrails oferece suporte a políticas baseadas em recursos para grades de proteção e perfis de inferência de grades de proteção. Com as políticas baseadas em recursos, é possível definir as permissões de acesso especificando quem tem acesso a cada recurso e as ações que podem ser realizadas em cada recurso.

Você pode anexar uma política baseada em recursos (RBP) aos recursos do Guardrails (guardrail ou perfil de inferência de guardrail). Nessa política, você especifica permissões para os diretores do Identity and Access Management (IAM) que podem realizar ações específicas nesses recursos. Por exemplo, a política anexada a uma grade de proteção conterá permissões para aplicar a grade de proteção ou ler a configuração da grade de proteção.

Políticas baseadas em recursos são recomendadas para uso com grades de proteção impostas no nível da conta e são obrigatórias para o uso de proteções impostas no nível da organização, porque para proteções impostas pela organização, as contas dos membros precisam aplicar uma grade de proteção que existe na conta do administrador da organização. Para usar uma grade de proteção em uma conta diferente, a identidade do chamador deve ter permissão para chamar a bedrock:ApplyGuardrail API na grade de proteção, e a grade de proteção deve ter uma política baseada em recursos anexada que dê permissão ao chamador. Para obter mais informações, consulte Lógica de avaliação de políticas entre contas e Políticas baseadas em identidade e políticas baseadas em recursos.

RBPs estão anexados na página de detalhes das grades de proteção. Se o guardrail tiver a Inferência entre Regiões (CRIS) ativada, o chamador também deverá ter ApplyGuardrail permissão em todos os objetos de perfil da região de destino associados a esse guardrail-owner-account perfil e RBPs deverá ser anexado aos perfis por sua vez. Para obter mais informações, consulte Permissões para usar a inferência entre regiões com as Barreiras de Proteção do Amazon Bedrock. As páginas de detalhes dos perfis podem ser acessadas na seção “Perfis de guardrail definidos pelo sistema” no painel de proteções e anexadas a partir daí. RBPs

Para grades de proteção impostas (seja no nível da organização ou da conta), todos os chamadores da Bedrock Invoke ou da Converse APIs que não têm permissão para ligar para essa grade de proteção começarão a ver suas chamadas falharem, com uma exceção. AccessDenied Por esse motivo, é altamente recomendável verificar se você é capaz de chamar a ApplyGuardrailAPI na grade de proteção a partir das identidades pelas quais ela será usada, nas contas às quais ela será aplicada, antes de criar uma configuração de proteção organizacional ou aplicada à conta.

A linguagem de política permitida para políticas baseadas em recursos de proteção e perfil de proteção é atualmente restrita e oferece suporte apenas a um conjunto limitado de declarações de política.

Padrões de declaração de política suportados

Compartilhe o guardrail em sua própria conta

account-iddeve ser a conta que contém a grade de proteção.

Política para uma grade de proteção:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Política para um perfil de guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Compartilhe o guardrail com sua organização

account-iddeve corresponder à conta da qual você está anexando o RBP, e essa conta deve estar em. org-id

Política para uma grade de proteção:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Política para um perfil de guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Compartilhe a grade de proteção com pessoas específicas OUs

account-iddeve corresponder à conta da qual você está anexando o RBP, e essa conta deve estar em. org-id

Política para uma grade de proteção:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Política para um perfil de guardrail:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Atributos não compatíveis

O Guardrails não oferece suporte ao compartilhamento fora da sua organização.

O Guardrails não suporta RBPs condições diferentes das listadas acima em PrincipalOrgId ou. PrincipalOrgPaths

A Guardrails não suporta o uso de um * Diretor sem uma condição de organização ou unidade organizacional.

O Guardrails suporta apenas as bedrock:GetGuardrail ações bedrock:ApplyGuardrail e em. RBPs Somente é suportado para recursos de perfil de proteção. ApplyGuardrail