View a markdown version of this page

Verwendung ressourcenbasierter Richtlinien für Leitplanken - Amazon Bedrock
Unterstützte Muster für GrundsatzerklärungenNicht unterstützte Funktionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung ressourcenbasierter Richtlinien für Leitplanken

Amazon Bedrock Guardrails unterstützt ressourcenbasierte Richtlinien für Leitplanken und Guardrails-Inferenzprofile. Resource-based Mithilfe von Richtlinien können Sie Zugriffsberechtigungen definieren, indem Sie angeben, wer Zugriff auf die einzelnen Ressourcen hat und welche Aktionen sie für jede Ressource ausführen dürfen.

Sie können eine ressourcenbasierte Richtlinie (RBP) an Guardrails-Ressourcen anhängen (Guardrail oder Guardrail-Inferenzprofil). In dieser Richtlinie geben Sie Berechtigungen für Identity and Access Management (IAM) -Prinzipale an, die bestimmte Aktionen für diese Ressourcen ausführen können. Beispielsweise enthält die einer Leitplanke zugeordnete Richtlinie Berechtigungen zum Anwenden der Leitplanke oder zum Lesen der Guardrail-Konfiguration.

Resource-based Richtlinien werden für die Verwendung mit auf Kontoebene erzwungenen Leitplanken empfohlen und sind für die Verwendung von durchgesetzten Leitplanken auf Organisationsebene erforderlich, da die Mitgliedskonten für organisationsinterne Leitplanken eine Schutzplanke anwenden müssen, die im Administratorkonto der Organisation vorhanden ist. Um eine Guardrail in einem anderen Konto zu verwenden, muss die Identität des Anrufers über die Berechtigung verfügen, die bedrock:ApplyGuardrail API auf der Guardrail aufzurufen, und der Guardrail muss eine ressourcenbasierte Richtlinie angehängt sein, die diesem Anrufer die Erlaubnis erteilt. Weitere Informationen finden Sie unter Logik und Richtlinien zur Bewertung von Richtlinien und ressourcenbasierte Cross-account Richtlinien. Identity-based

RBPs werden auf der Detailseite der Leitplanken angehängt. Wenn für die Guardrail Cross-Region Inference (CRIS) aktiviert ist, muss der Anrufer außerdem über ApplyGuardrail Berechtigungen für alle mit diesem Profil verknüpften Guardrail-Besitzer-Account-Profilobjekte in der Zielregion verfügen, und die RBPs müssen nacheinander an die Profile angehängt werden. Weitere Informationen finden Sie unter Berechtigungen für die Verwendung von regionsübergreifender Inferenz im Integritätsschutz für Amazon Bedrock. Die Detailseiten zu Profilen können über den Abschnitt „Guardrail-Profile“ im System-defined Guardrails-Dashboard aufgerufen werden. Von dort aus können RBPs angehängt werden.

Bei erzwungenen Guardrails (entweder auf Organisations- oder Kontoebene) werden alle Anrufer von Bedrock Invoke- oder Converse-APIs, die nicht über die Rechte zum Aufrufen dieser Guardrail verfügen, feststellen, dass ihre Aufrufe mit einer Ausnahme fehlschlagen. AccessDenied Aus diesem Grund wird dringend empfohlen, vor dem Erstellen einer organisatorischen oder kontoerzwungenen Guardrail-Konfiguration zu überprüfen, ob Sie die ApplyGuardrailAPI auf der Guardrail von den Identitäten aus aufrufen können, von denen sie verwendet wird, und von den Konten aus, für die sie durchgesetzt wird.

Die zulässige Richtliniensprache für ressourcenbasierte Richtlinien für Guardrail und Guardrail-Profile ist derzeit eingeschränkt und unterstützt nur eine begrenzte Anzahl von Richtlinienerklärungen.

Unterstützte Muster für Grundsatzerklärungen

Teilen Sie Guardrail in Ihrem eigenen Konto

account-idmuss das Konto sein, das die Leitplanke enthält.

Richtlinie für eine Leitplanke:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
Richtlinie für ein Leitplankenprofil:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}

Teilen Sie die Leitplanke mit Ihrer Organisation

account-idmuss mit dem Konto übereinstimmen, von dem Sie das RBP anhängen, und dieses Konto muss angemeldet sein. org-id

Richtlinie für eine Leitplanke:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
Richtlinie für ein Leitplankenprofil:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}

Teilen Sie die Leitplanke mit bestimmten Organisationseinheiten

account-idmuss mit dem Konto übereinstimmen, von dem Sie das RBP anhängen, und dieses Konto muss angemeldet sein. org-id

Richtlinie für eine Leitplanke:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
Richtlinie für ein Leitplankenprofil:

JSON
{
    "Version":"2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}

Nicht unterstützte Funktionen

Guardrails unterstützt keine gemeinsame Nutzung außerhalb Ihrer Organisation.

Guardrails unterstützt keine RBPs mit anderen als den oben unter oder aufgeführten Bedingungen. PrincipalOrgId PrincipalOrgPaths

Guardrails unterstützt nicht die Verwendung eines * Principals ohne eine Bedingung für eine Organisation oder Organisationseinheit.

Guardrails unterstützt nur die Aktionen bedrock:ApplyGuardrail und bedrock:GetGuardrail in RBPs. Wird nur für Ressourcen mit Guardrail-Profil unterstützt. ApplyGuardrail