通过 Amazon Bedrock Guardrails 使用跨区域推理的权限 - Amazon Bedrock
创建和管理跨区域推理防护栏的权限使用跨区域推理调用护栏的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过 Amazon Bedrock Guardrails 使用跨区域推理的权限

在 Amazon Bedrock Guardrails 中使用跨区域推理需要为你的 IAM 角色添加特定权限,包括允许访问其他区域的护栏配置文件。

创建和管理跨区域推理防护栏的权限

使用以下 IAM 策略创建查看修改删除使用特定护栏配置文件的护栏。您只需要这些权限即可调用 Amazon Bedrock 控制平面终端节点

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateGuardrail",
                "bedrock:UpdateGuardrail",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails"
             ],
             "Resource": [                
                "arn:aws:bedrock:source-region:account-id:guardrail/*",
                "arn:aws:bedrock:source-region:account-id:guardrail-profile/guardrail-profile-id"
             ]
         }
    ] 
}

使用跨区域推理调用护栏的权限

使用跨区域推理调用护栏时,您需要一个 IAM 策略来指定您的护栏配置文件中定义的目标区域。

{
    "Effect": "Allow",
    "Action": ["bedrock:ApplyGuardrail"],
    "Resource": [
        "arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
        "arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
        "arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
        "arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
    ]
}

此示例策略指定了以下资源:

  • 您在源区域(在本例中为)中调用的护栏。us-east-1

  • 在您使用的护栏配置文件中定义的目标区域(在本例中为)。us.guardrail.v1:0有关在策略中指定哪些目标区域的信息,请参阅可用护栏配置文件。