本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定使用 Amazon Bedrock 防護機制的許可
若要設定具有護欄許可的角色,請建立 IAM 角色,並依照[建立角色以將許可委派給 AWS 服務中的步驟連接下列許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
如果您搭配代理程式使用防護機制,請將許可連接到具有建立及管理代理程式許可的服務角色。您可以在主控台中設定此角色,或依照 [為 Amazon Bedrock 代理人建立服務角色](agents-permissions.md) 中的步驟建立自訂角色。
## 建立及管理政策角色防護機制的許可
將下列陳述式附加至政策中的 `Statement` 欄位,讓您的角色使用防護機制。
**注意**
如果您在建立護欄時傳遞標籤 (例如,在 `CreateGuardrail` API 中使用 `tags` 參數),您還必須在政策中包含 `bedrock:TagResource`許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## 調用防護機制以篩選內容的許可
將下列陳述式附加至角色政策中的 `Statement` 欄位,以允許模型推論及調用防護機制。只有在搭配 Amazon Bedrock 基礎模型使用護欄時,才需要這些`InvokeModel`許可。如果您搭配 `ApplyGuardrail` API 獨立使用護欄 (例如,從第三方模型篩選內容),則只需要 `bedrock:ApplyGuardrail`許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:guardrail/{{guardrail-id}}"
]
}
]
}
```
------