Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# So richten Sie Berechtigungen für die Nutzung von Integritätsschutz für Amazon Bedrock ein
Um eine Rolle mit Berechtigungen für Guardrails einzurichten, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Service ausführen. AWS
Wenn Sie den Integritätsschutz mit einem Agenten verwenden, fügen Sie die Berechtigungen einer Servicerolle mit Berechtigungen zum Erstellen und Verwalten von Agenten hinzu. Sie können diese Rolle in der Konsole einrichten oder eine benutzerdefinierte Rolle erstellen, indem Sie die Schritte unter [Erstellen einer Servicerolle für Agenten für Amazon Bedrock](agents-permissions.md) ausführen.
## Berechtigungen zum Erstellen und Verwalten des Integritätsschutzes für die Richtlinienrolle
Fügen Sie die folgende Anweisung an das `Statement`-Feld in der Richtlinie für Ihre Rolle zur Verwendung des Integritätsschutzes an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## Berechtigungen für das Aufrufen des Integritätsschutzes zum Filtern von Inhalten
Fügen Sie die folgende Anweisung an das `Statement`-Feld in der Richtlinie für Ihre Rolle an, um Modellinferenzen zuzulassen und den Integritätsschutz aufzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
------
# Berechtigungen für Richtlinien für automatisiertes Denken mit ApplyGuardrail
Wenn Sie Automated-Reasoning-Richtlinien mit der `ApplyGuardrail`-API verwenden, benötigen Sie eine IAM-Richtlinie, mit der Sie die Automated-Reasoning-Richtlinie aufrufen können.
```
{
"Sid": "AutomatedReasoningChecks",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAutomatedReasoningPolicy"
],
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
```
Mit dieser Richtlinie können Sie die angegebene Automated-Reasoning-Richtlinie in Ihrem Konto aufrufen.
# Berechtigungen für Richtlinien zur automatisierten Argumentation mit Agenten
Wenn Sie einen Agenten in Amazon Bedrock erstellen, umfasst die Servicerolle für den Agenten automatisch Richtlinien für den Aufruf von Guardrails (`bedrock:ApplyGuardrail`) und Foundation-Modellen. Um Ihrem Agenten eine Leitplanke zuzuweisen, die eine Richtlinie für automatisiertes Denken enthält, fügen Sie der Servicerolle des Agenten manuell Berechtigungen hinzu.
Aktualisieren Sie die `AmazonBedrockAgentBedrockApplyGuardrailPolicy` Richtlinie für die Servicerolle Ihres Agenten, sodass sie die `bedrock:GetGuardrail` Aktion und den Zugriff auf Guardrail-Profile einschließt. Fügen Sie dann eine separate Erklärung hinzu, mit der die `bedrock:InvokeAutomatedReasoningPolicy` Aktion für Ihre Richtlinienressource „Automatisiertes Denken“ genehmigt wird.
Das folgende Beispiel zeigt die vollständige Liste der Aussagen:
```
"Statement": [
{
"Sid": "AmazonBedrockAgentBedrockApplyGuardrailPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:*:account-id:guardrail-profile/*"
]
},
{
"Sid": "InvokeAutomatedReasoningPolicyProd",
"Effect": "Allow",
"Action": "bedrock:InvokeAutomatedReasoningPolicy",
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
]
```
**Anmerkung**
Die bestehende `AmazonBedrockAgentBedrockFoundationModelPolicy` Servicerolle Ihres Agenten muss nicht geändert werden. Lediglich für `AmazonBedrockAgentBedrockApplyGuardrailPolicy` sind die oben beschriebenen Änderungen erforderlich.
# (Optional) So erstellen Sie für zusätzliche Sicherheit einen kundenseitig verwalteten Schlüssel für Ihren Integritätsschutz
Sie verschlüsseln Ihre Leitplanken mit Customer Managed. AWS KMS keys Jeder Benutzer mit `CreateKey` entsprechenden Berechtigungen kann mithilfe der Konsole oder des Befehls AWS Key Management Service (AWS KMS) vom Kunden verwaltete Schlüssel erstellen. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) In solchen Fällen müssen Sie sicherstellen, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.
Nachdem Sie Ihren Schlüssel erstellt haben, konfigurieren Sie die folgenden Berechtigungsrichtlinien.
1. Gehen Sie wie folgt vor, um eine ressourcenbasierte Schlüsselrichtlinie zu erstellen:
1. [Erstellen Sie eine Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html), um eine ressourcenbasierte Richtlinie für Ihren KMS-Schlüssel zu erstellen.
1. Fügen Sie die folgenden Richtlinienanweisungen hinzu, um Benutzern und Entwicklern des Integritätsschutzes Berechtigungen zu gewähren. Ersetzen Sie jede `role` durch die Rolle, der Sie die Ausführung der angegebenen Aktionen gestatten möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
1. Fügen Sie die folgende identitätsbasierte Richtlinie an eine Rolle an, damit diese Integritätsschutzmechanismen erstellen und verwalten kann. Ersetzen Sie die `key-id` durch die ID der KMS, die Sie erstellt haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Fügen Sie die folgende identitätsbasierte Richtlinie einer Rolle hinzu, damit sie den Integritätsschutz verwenden kann, den Sie bei der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie die `key-id` durch die ID der KMS, die Sie erstellt haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
# So erzwingen Sie die Verwendung bestimmter Integritätsschutzmethoden in Modellinferenzanfragen
Sie können die Verwendung eines bestimmten Integritätsschutzes für Modellinferenzen erzwingen, indem Sie den `bedrock:GuardrailIdentifier`-Bedingungsschlüssel in Ihre IAM-Richtlinie aufnehmen. Auf diese Weise können Sie jede Inferenz-API-Anfrage ablehnen, die nicht den in Ihrer IAM-Richtlinie konfigurierten Integritätsschutz enthält.
Sie können diese Durchsetzung auf die folgenden Folgerungen anwenden: APIs
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
In den folgenden Beispielen sehen Sie einige Möglichkeiten für die Verwendung des `bedrock:GuardrailIdentifier`-Bedingungsschlüssels.
**Beispiel 1: So erzwingen Sie die Verwendung eines bestimmten Integritätsschutzes und dessen numerischer Version**
Verwenden Sie die folgende Richtlinie, um die Verwendung eines bestimmten Integritätsschutzes (`guardrail-id`) und dessen numerischen Version 1 während der Modellinferenz zu erzwingen.
Die explizite Verweigerung verhindert, dass die Benutzeranfrage die aufgelisteten Aktionen mit irgendeiner anderen `GuardrailIdentifier` und Integritätsschutzversion aufruft, unabhängig davon, welche anderen Berechtigungen der Benutzer gegebenenfalls hat.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Beispiel 2: So erzwingen Sie die Verwendung eines bestimmten Integritätsschutzes und dessen DRAFT-Version**
Verwenden Sie die folgende Richtlinie, um die Verwendung eines bestimmten Integritätsschutzes (`guardrail-id`) und dessen DRAFT-Version während der Modellinferenz zu erzwingen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Beispiel 3: So erzwingen Sie die Verwendung eines bestimmten Integritätsschutzes und dessen numerischen Versionen**
Verwenden Sie die folgende Richtlinie, um die Verwendung eines bestimmten Integritätsschutzes (`guardrail-id`) und einer seiner numerischen Versionen während der Modellinferenz zu erzwingen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Beispiel 4: So erzwingen Sie die Verwendung eines bestimmten Integritätsschutzes und einer seiner Versionen**
Verwenden Sie die folgende Richtlinie, um die Verwendung eines bestimmten Integritätsschutzes (`guardrail-id`) und einer seiner numerischen Versionen (einschließlich der DRAFT-Version) während der Modellinferenz zu erzwingen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Beispiel 5: So erzwingen Sie die Verwendung bestimmter Integritätsschutz- und Versionspaare**
Verwenden Sie die folgende Richtlinie, um Modellinferenzen lediglich für einen bestimmten Satz von Integritätsschutzmethoden und deren jeweiligen Versionen zuzulassen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
]
}
```
**Einschränkungen**
Wenn ein Benutzer eine IAM-Rolle annimmt, für die ein bestimmter Integritätsschutz mithilfe des `bedrock:GuardrailIdentifier`-Bedingungsschlüssels konfiguriert wurde:
+ Ein Benutzer sollte nicht dieselbe Rolle mit zusätzlichen Rechten verwenden, um Bedrock aufzurufen`InvokeAgent`, APIs wie `RetrieveAndGenerate` er im Namen des Benutzers `InvokeModel` Anrufe tätigt. Dies kann zu Fehlern wie der Zugriffsverweigerung, selbst wenn der Integritätsschutz in der Anfrage angegeben ist, weil `RetrieveAndGenerate` und `InvokeAgent` mehrere `InvokeModel`-Aufrufe tätigen und einige dieser Aufrufe keinen Integritätsschutz enthalten.
+ Ein Benutzer kann das Hinzufügen eines Integritätsschutzes in seinem Prompt umgehen, indem er [Integritätsschutzeingabe-Tags](guardrails-tagging.md) verwendet. Der Integritätsschutz wird jedoch immer auf die Antwort angewendet.
+ Da Integritätsschutz für Amazon Bedrock derzeit keine ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff unterstützt, muss Ihr Integritätsschutz in demselben AWS-Konto wie die anfordernde IAM-Rolle befinden.
# Berechtigungen für die Verwendung von regionsübergreifender Inferenz im Integritätsschutz für Amazon Bedrock
Für die Verwendung der [regionsübergreifenden Inferenz](guardrails-cross-region.md) im Integritätsschutz für Amazon Bedrock müssen Sie Ihrer IAM-Rolle bestimmte Berechtigungen hinzufügen, einschließlich des Zugriffs auf Integritätsschutzprofile in anderen Regionen.
## Berechtigungen zum Erstellen und Verwalten des Integritätsschutzes für eine regionsübergreifende Inferenz
Verwenden Sie die folgende IAM-Richtlinie, um einen Integritätsschutz zu [erstellen](guardrails-components.md), [anzuzeigen](guardrails-view.md), zu [ändern](guardrails-edit.md) und zu [löschen](guardrails-delete.md), der ein bestimmtes Integritätsschutzprofil verwendet. Sie benötigen diese Berechtigungen nur, um einen [Endpunkt der Amazon-Bedrock-Steuerebene](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp) aufzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
"arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
]
}
]
}
```
------
## Berechtigungen für das Aufrufen des Integritätsschutzes bei einer regionsübergreifenden Inferenz
Wenn Sie einen Integritätsschutz mit regionsübergreifender Inferenz aufrufen, benötigen Sie eine IAM-Richtlinie, die die in Ihrem Integritätsschutzprofil definierten Zielregionen angibt.
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
]
}
```
In der folgenden Beispielrichtlinie werden folgende Ressourcen angegeben:
+ Der Integritätsschutz, den Sie in Ihrer Quellregion aufrufen (in diesem Fall `us-east-1`).
+ Die Zielregionen, die in dem von Ihnen verwendeten Integritätsschutzprofil definiert sind (in diesem Fall `us.guardrail.v1:0`). Informationen darüber, welche Zielregionen Sie in Ihrer Richtlinie angeben sollen, finden Sie unter [Verfügbare Integritätsschutzprofile](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles).
# Verwendung ressourcenbasierter Richtlinien für Leitplanken
**Anmerkung**
Die Verwendung ressourcenbasierter Richtlinien für Amazon Bedrock Guardrails befindet sich in der Vorschauphase und kann sich ändern.
Guardrails unterstützt ressourcenbasierte Richtlinien für Guardrails und Guardrails-Inferenzprofile. Mit ressourcenbasierten Richtlinien können Sie Zugriffsberechtigungen definieren, indem Sie angeben, wer Zugriff auf jede Ressource hat und welche Aktionen für jede Ressource ausgeführt werden dürfen.
Sie können den Ressourcen von Guardrails eine ressourcenbasierte Richtlinie (RBP) zuordnen (Guardrail oder Guardrail-Inferenzprofil). In dieser Richtlinie geben Sie Berechtigungen für Identity and Access Management (IAM) [-Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) an, die bestimmte Aktionen für diese Ressourcen ausführen können. Beispielsweise enthält die einer Leitplanke zugeordnete Richtlinie Berechtigungen zum Anwenden der Leitplanke oder zum Lesen der Guardrail-Konfiguration.
Ressourcenbasierte Richtlinien werden für die Verwendung mit erzwungenen Leitplanken auf Kontoebene empfohlen und sind für die Verwendung von durchgesetzten Leitplanken auf Organisationsebene erforderlich, da für von der Organisation erzwungene Leitplanken die Mitgliedskonten eine Leitplanke anwenden müssen, die im Administratorkonto der Organisation vorhanden ist. Um eine Guardrail in einem anderen Konto verwenden zu können, muss die Identität des Anrufers die Erlaubnis haben, die `bedrock:ApplyGuardrail` API auf der Guardrail aufzurufen, und der Guardrail muss eine ressourcenbasierte Richtlinie angehängt sein, die diesem Anrufer die Erlaubnis erteilt. [Weitere Informationen finden Sie unter Bewertungslogik für [kontenübergreifende Richtlinien und Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html).](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
RBPs sind auf der Detailseite der Leitplanken angehängt. Wenn für die Leitplanke Cross-Region Inference (CRIS) aktiviert ist, muss der Anrufer außerdem über `ApplyGuardrail` Berechtigungen für alle mit diesem Profil verknüpften guardrail-owner-account Zielregions-Profilobjekte verfügen und muss nacheinander an die Profile angehängt werden. RBPs Weitere Informationen finden Sie unter [Berechtigungen für die Verwendung von regionsübergreifender Inferenz im Integritätsschutz für Amazon Bedrock](guardrail-profiles-permissions.md). Profildetailseiten können über den Abschnitt „Systemdefinierte Leitplankenprofile“ im Leitplanken-Dashboard aufgerufen und von dort aus angehängt werden. RBPs
Bei durchgesetzten Leitplanken (entweder auf Organisations- oder Kontoebene) werden alle Anrufer von Bedrock Invoke oder Converse, die nicht berechtigt sind, diese Leitplanke anzurufen, feststellen APIs , dass ihre Anrufe mit einer Ausnahme fehlschlagen. `AccessDenied` Aus diesem Grund wird dringend empfohlen, vor dem Erstellen einer organisatorischen oder kontoerzwungenen Guardrail-Konfiguration zu überprüfen, ob Sie die [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API auf der Guardrail von den Identitäten aus aufrufen können, von denen sie verwendet wird, und von den Konten aus, für die sie durchgesetzt wird.
Die zulässige Richtliniensprache für ressourcenbasierte Richtlinien für Guardrail und Guardrail-Profile ist derzeit eingeschränkt und unterstützt nur eine begrenzte Anzahl von Richtlinienerklärungen.
## Unterstützte Muster für Grundsatzerklärungen
### Teilen Sie Guardrail in Ihrem eigenen Konto
`account-id`muss das Konto sein, das die Leitplanke enthält.
**Richtlinie für eine Leitplanke:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
}]
}
```
------
**Richtlinie für ein Leitplankenprofil:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
}]
}
```
------
### Teilen Sie die Leitplanke mit Ihrer Organisation
`account-id`muss mit dem Konto übereinstimmen, von dem Sie das RBP anhängen, und dieses Konto muss angemeldet sein. `org-id`
**Richtlinie für eine Leitplanke:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:GetGuardrail",
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
**Richtlinie für ein Leitplankenprofil:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
### Leitplanke mit bestimmten Personen teilen OUs
`account-id`muss mit dem Konto übereinstimmen, von dem Sie das RBP anhängen, und dieses Konto muss angemeldet sein. `org-id`
**Richtlinie für eine Leitplanke:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
**Richtlinie für ein Leitplankenprofil:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
## Nicht unterstützte Funktionen
Guardrails unterstützt keine gemeinsame Nutzung außerhalb Ihrer Organisation.
Guardrails unterstützt RBPs keine anderen Bedingungen als die oben unter oder aufgeführten. `PrincipalOrgId` `PrincipalOrgPaths`
Guardrails unterstützt nicht die Verwendung eines `*` Principals ohne eine Bedingung für eine Organisation oder Organisationseinheit.
Guardrails unterstützt nur die Aktionen und in`bedrock:ApplyGuardrail`. `bedrock:GetGuardrail` RBPs Wird nur für Ressourcen mit Guardrail-Profil unterstützt. `ApplyGuardrail`