本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置使用 Amazon Bedrock 护栏的权限
要设置具有护栏权限的角色,请创建一个 IAM 角色并按照创建[角色中的步骤为服务委派权限来附加 AWS 以下权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
如果您在代理中使用护栏,请将权限附加到有权创建和管理代理的服务角色。您可以在控制台中设置该角色,也可以按照[为 Amazon Bedrock 代理创建服务角色](agents-permissions.md)中的步骤创建自定义角色。
## 为策略角色创建和管理护栏的权限
将以下语句附加到策略中的 `Statement` 字段,以便您的角色使用护栏。
**注意**
如果您在创建护栏时传递标签(例如,使用 `CreateGuardrail` API 中的`tags`参数),则还必须在策略中包含该`bedrock:TagResource`权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## 调用护栏以筛选内容的权限
将以下语句附加到角色的策略中的 `Statement` 字段,以便允许进行模型推理并调用护栏。只有在 Amazon Bedrock 基础模型上使用护栏时,才需要这些`InvokeModel`权限。如果您在 `ApplyGuardrail` API 中独立使用护栏(例如,筛选来自第三方模型的内容),则只需要权限即`bedrock:ApplyGuardrail`可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:guardrail/{{guardrail-id}}"
]
}
]
}
```
------