本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 Amazon Bedrock 防護機制使用跨區域推論的許可
搭配 Amazon Bedrock 防護機制使用[跨區域推論](guardrails-cross-region.md)需要將特定許可新增至 IAM 角色,包括允許存取其他區域中的防護機制設定檔。
## 建立及管理跨區域推論防護機制的許可
使用下列 IAM 政策來[建立](guardrails-components.md)、[檢視](guardrails-view.md)、[修改](guardrails-edit.md)及[刪除](guardrails-delete.md)使用特定防護機制設定檔的防護機制。您只需要這些許可來呼叫 [Amazon Bedrock 控制平面端點](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:guardrail/*",
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:guardrail-profile/{{guardrail-profile-id}}"
]
}
]
}
```
------
## 使用跨區域推論調用防護機制的許可
使用跨區域推論調用防護機制時,您需要指定防護機制設定檔中所定義之目的地區域的 IAM 政策。
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:{{account-id}}:guardrail/{{guardrail-id}}",
"arn:aws:bedrock:us-east-1:{{account-id}}:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:{{account-id}}:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:{{account-id}}:guardrail-profile/us.guardrail.v1:0"
]
}
```
此範例會指定下列資源:
+ 您在來源區域中調用的防護機制 (在此案例中為 `us-east-1`)。
+ 您使用的防護機制設定檔中定義的目的地區域 (在此情況下為 `us.guardrail.v1:0`)。如需有關要在政策中指定哪些目的地區域的資訊,請參閱[可用的防護機制設定檔](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles)。