本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将跨区域推理与 Amazon Bedrock 护栏结合使用的权限
要将[跨区域推理](guardrails-cross-region.md)与 Amazon Bedrock 护栏结合使用,需要向您的 IAM 角色添加特定权限,包括允许访问其他区域中的护栏配置文件。
## 为跨区域推理创建和管理护栏机制的权限
使用以下 IAM 策略[创建](guardrails-components.md)、[查看](guardrails-view.md)、[修改](guardrails-edit.md)和[删除](guardrails-delete.md)使用特定护栏配置文件的护栏。您只需要这些权限来调用 [Amazon Bedrock 控制面板端点](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:guardrail/*",
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:guardrail-profile/{{guardrail-profile-id}}"
]
}
]
}
```
------
## 使用跨区域推理调用护栏的权限
使用跨区域推理调用护栏时,您的 IAM 策略中需要指定护栏配置文件中定义的目标区域。
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:{{account-id}}:guardrail/{{guardrail-id}}",
"arn:aws:bedrock:us-east-1:{{account-id}}:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:{{account-id}}:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:{{account-id}}:guardrail-profile/us.guardrail.v1:0"
]
}
```
此示例策略指定以下资源:
+ 您在源区域(本例中为 `us-east-1`)中调用的护栏。
+ 在您使用的护栏配置文件中定义的目标区域(本例中为 `us.guardrail.v1:0`)。有关在策略中指定哪些目标区域的信息,请参阅[可用护栏配置文件](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles)。