将跨区域推理与 Amazon Bedrock 护栏结合使用的权限 - Amazon Bedrock
为跨区域推理创建和管理护栏机制的权限使用跨区域推理调用护栏的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将跨区域推理与 Amazon Bedrock 护栏结合使用的权限

要将跨区域推理与 Amazon Bedrock 护栏结合使用,需要向您的 IAM 角色添加特定权限,包括允许访问其他区域中的护栏配置文件。

为跨区域推理创建和管理护栏机制的权限

使用以下 IAM 策略创建查看修改删除使用特定护栏配置文件的护栏。您只需要这些权限来调用 Amazon Bedrock 控制面板端点

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateGuardrail",
                "bedrock:UpdateGuardrail",
                "bedrock:DeleteGuardrail",
                "bedrock:GetGuardrail",
                "bedrock:ListGuardrails"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
                "arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
            ]
        }
    ]
}

使用跨区域推理调用护栏的权限

使用跨区域推理调用护栏时,您的 IAM 策略中需要指定护栏配置文件中定义的目标区域。

{
    "Effect": "Allow",
    "Action": ["bedrock:ApplyGuardrail"],
    "Resource": [
        "arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
        "arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
        "arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
        "arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
    ]
}

此示例策略指定以下资源:

  • 您在源区域(本例中为 us-east-1)中调用的护栏。

  • 在您使用的护栏配置文件中定义的目标区域(本例中为 us.guardrail.v1:0)。有关在策略中指定哪些目标区域的信息,请参阅可用护栏配置文件