Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d’autorisations pour utiliser les barrières de protection Amazon Bedrock
Pour configurer un rôle avec des autorisations pour les garde-corps, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section [Création d'un rôle pour déléguer des autorisations à](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un service. AWS
Si vous utilisez des barrières de protection avec un agent, associez les autorisations à un rôle de service avec des autorisations pour créer et gérer des agents. Vous pouvez configurer ce rôle dans la console ou créer un rôle personnalisé en suivant les étapes décrites dans [Création d’un rôle de service pour les agents Amazon Bedrock](agents-permissions.md).
## Autorisations permettant de créer et de gérer des barrière de protections pour le rôle de politique
Ajoutez la déclaration suivante au champ `Statement` de la politique relative à l’utilisation de barrières de protection dans votre rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## Autorisations permettant d’invoquer des barrières de protection pour filtrer le contenu
Ajoutez l’instruction suivante au champ `Statement` de la politique correspondant au rôle afin de permettre l’inférence de modèle et d’invoquer des barrières de protections.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
------
# Autorisations pour les politiques de raisonnement automatisé avec ApplyGuardrail
Lorsque vous utilisez des politiques de raisonnement automatisé avec l’API `ApplyGuardrail`, vous avez besoin d’une politique IAM qui vous permet d’invoquer la politique de raisonnement automatisé.
```
{
"Sid": "AutomatedReasoningChecks",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAutomatedReasoningPolicy"
],
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
```
Cette politique vous permet d’invoquer la politique de raisonnement automatisé spécifiée dans votre compte.
# Autorisations pour les politiques de raisonnement automatique avec les agents
Lorsque vous créez un agent dans Amazon Bedrock, le rôle de service de l'agent inclut automatiquement des politiques d'invocation (`bedrock:ApplyGuardrail`) et des modèles de base. Pour associer un garde-fou incluant une politique de raisonnement automatisé à votre agent, ajoutez manuellement des autorisations au rôle de service de l'agent.
Mettez à jour la `AmazonBedrockAgentBedrockApplyGuardrailPolicy` politique relative au rôle de service de votre agent afin d'inclure l'`bedrock:GetGuardrail`action et l'accès aux profils de garde-corps. Ajoutez ensuite une déclaration distincte qui autorise l'`bedrock:InvokeAutomatedReasoningPolicy`action pour votre ressource de politique de raisonnement automatisé.
L'exemple suivant montre la liste complète des instructions :
```
"Statement": [
{
"Sid": "AmazonBedrockAgentBedrockApplyGuardrailPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:*:account-id:guardrail-profile/*"
]
},
{
"Sid": "InvokeAutomatedReasoningPolicyProd",
"Effect": "Allow",
"Action": "bedrock:InvokeAutomatedReasoningPolicy",
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
]
```
**Note**
Le rôle de service existant `AmazonBedrockAgentBedrockFoundationModelPolicy` sur votre agent n'a pas besoin d'être modifié. Seules les `AmazonBedrockAgentBedrockApplyGuardrailPolicy` modifications décrites ci-dessus sont nécessaires.
# (Facultatif) Création d’une clé gérée par le client pour votre barrière de protection pour plus de sécurité
Vous cryptez vos barrières de sécurité grâce à la solution gérée par le client. AWS KMS keys Tout utilisateur `CreateKey` autorisé peut créer des clés gérées par le client à l'aide de la console AWS Key Management Service (AWS KMS) ou de [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)l'opération. Dans ces situations, assurez-vous de créer une clé de chiffrement symétrique.
Après avoir créé votre clé, configurez les stratégies d’autorisation suivantes.
1. Pour créer votre stratégie de clé basée sur les ressources, procédez comme suit :
1. [Créez une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) afin de créer une stratégie basée sur les ressources pour votre clé KMS.
1. Ajoutez les déclarations de stratégie suivantes pour accorder des autorisations aux utilisateurs et aux créateurs de barrières de protection. Remplacez chaque `role` par le rôle que vous souhaitez autoriser à effectuer les actions spécifiées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
1. Associez la stratégie suivante basée sur l’identité à un rôle pour lui permettre de créer et de gérer des barrières de protection. Remplacez `key-id` par l’ID de clé KMS que vous avez créée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Associez la stratégie basée sur l’identité suivante à un rôle pour lui permettre d’utiliser la barrière de protection que vous avez chiffré lors de l’inférence de modèle ou lors de l’invocation d’un agent. Remplacez `key-id` par l’ID de clé KMS que vous avez créée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
# Obligation d’utilisation de barrières de protection spécifiques dans les demandes d’inférence de modèle
Vous pouvez imposer l’utilisation d’une barrière de protection spécifique pour l’inférence de modèle en incluant la clé de condition `bedrock:GuardrailIdentifier` dans votre politique IAM. Cela vous permet de refuser toute demande d’API d’inférence qui n’inclut pas la barrière de protection configurée dans votre politique IAM.
Vous pouvez appliquer cette application pour les inférences APIs suivantes :
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
Les exemples suivants illustrent certaines façons d’utiliser la clé de condition `bedrock:GuardrailIdentifier`.
**Exemple 1 : Imposer l’utilisation d’une barrière de protection spécifique et de sa version numérique**
Utilisez la politique suivante pour imposer l’utilisation d’une barrière de protection spécifique (`guardrail-id`) et de sa version numérique 1 lors de l’inférence de modèle.
Le refus explicite empêche la demande utilisateur d’appeler les actions répertoriées avec tout autre `GuardrailIdentifier` et version de la barrière de protection, quelles que soient les autres autorisations dont dispose l’utilisateur.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Exemple 2 : Imposer l’utilisation d’une barrière de protection spécifique et de sa version préliminaire (DRAFT)**
Utilisez la politique suivante pour imposer l’utilisation d’une barrière de protection spécifique (`guardrail-id`) et de sa version préliminaire lors de l’inférence de modèle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Exemple 3 : Imposer l’utilisation d’une barrière de protection spécifique et de l’une de ses versions numériques**
Utilisez la politique suivante pour imposer l’utilisation d’une barrière de protection spécifique (`guardrail-id`) et de l’une de ses versions numériques lors de l’inférence de modèle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Exemple 4 : Imposer l’utilisation d’une barrière de protection spécifique et de l’une de ses versions**
Utilisez la politique suivante pour imposer l’utilisation d’une barrière de protection spécifique (`guardrail-id`) et de l’une de ses versions numériques (y compris la version préliminaire) lors de l’inférence de modèle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Exemple 5 : Imposer l’utilisation de paires de barrières de protection et de versions spécifiques**
Utilisez la politique suivante pour autoriser l’inférence de modèle uniquement pour un ensemble de barrières de protection et de leurs versions respectives.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
]
}
```
**Limitations**
Quand un utilisateur assume un rôle IAM disposant d’une barrière de protection spécifique configurée à l’aide de la clé de condition `bedrock:GuardrailIdentifier` :
+ Un utilisateur ne doit pas utiliser le même rôle avec des autorisations supplémentaires pour invoquer Bedrock APIs like `RetrieveAndGenerate` et `InvokeAgent` `InvokeModel` passer des appels au nom de l'utilisateur. Cela peut entraîner des erreurs de refus d’accès même lorsque la barrière de protection est spécifiée dans la demande, car `RetrieveAndGenerate` et `InvokeAgent` peuvent effectuer plusieurs appels `InvokeModel` et certains d’entre eux n’incluent pas de barrière de protection.
+ Un utilisateur peut éviter d’appliquer une barrière de protection dans son invite en utilisant des [balises d’entrée de barrière de protection](guardrails-tagging.md). Cependant, la barrière de protection est toujours appliquée sur la réponse.
+ Les barrières de protection Amazon Bedrock ne prenant actuellement pas en charge les politiques basées sur les ressources pour l’accès intercompte, votre barrière de protection doit appartenir au même Compte AWS que le rôle IAM à l’origine de la demande.
# Autorisations d’utilisation de l’inférence interrégionale avec les barrières de protection Amazon Bedrock
L’utilisation de l’[inférence interrégionale](guardrails-cross-region.md) avec les barrières de protection Amazon Bedrock nécessite l’ajout d’autorisations spécifiques à votre rôle IAM, notamment l’autorisation d’accès aux profils de barrière de protection dans d’autres régions.
## Autorisations de création et de gestion de barrières de protection pour l’inférence interrégionale
Utilisez la politique IAM suivante pour [créer](guardrails-components.md), [afficher](guardrails-view.md), [modifier](guardrails-edit.md) et [supprimer](guardrails-delete.md) une barrière de protection utilisant un profil de barrière de protection spécifique. Vous n’avez besoin de ces autorisations que pour appeler un [point de terminaison du plan de contrôle Amazon Bedrock](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
"arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
]
}
]
}
```
------
## Autorisations d’invocation de barrières de protection avec inférence interrégionale
Lorsque vous invoquez une barrière de protection avec inférence interrégionale, vous avez besoin d’une politique IAM qui spécifie les régions de destination définies dans votre profil de barrière de protection.
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
]
}
```
Cet exemple de politique spécifie les ressources suivantes :
+ La barrière de protection que vous invoquez dans votre région source (dans ce cas, `us-east-1`).
+ Les régions de destination définies dans le profil de barrière de protection que vous utilisez (dans ce cas, `us.guardrail.v1:0`). Pour plus d’informations sur les régions de destination à spécifier dans votre politique, consultez [Profils de barrière de protection disponibles](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles).
# Utiliser des politiques basées sur les ressources pour les garde-fous
**Note**
L'utilisation de politiques basées sur les ressources pour Amazon Bedrock Guardrails est en cours de prévisualisation et est susceptible d'être modifiée.
Guardrails prend en charge les politiques basées sur les ressources pour les glissières de sécurité et les profils d'inférence des rambardes. Les politiques basées sur les ressources vous permettent de définir les autorisations d’accès en spécifiant qui a accès à chaque ressource et les actions que cette personne est autorisée à effectuer sur chaque ressource.
Vous pouvez associer une politique basée sur les ressources (RBP) aux ressources de Guardrails (garde-corps ou profil d'inférence de garde-corps). Dans cette politique, vous spécifiez les autorisations pour les [responsables d'Identity and Access Management (IAM) qui peuvent effectuer des](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) actions spécifiques sur ces ressources. Par exemple, la politique attachée à un garde-corps contiendra les autorisations permettant d'appliquer le garde-corps ou de lire la configuration du garde-corps.
Les politiques basées sur les ressources sont recommandées pour les barrières de sécurité appliquées au niveau du compte, et sont requises pour l'utilisation de barrières de sécurité appliquées au niveau de l'organisation, car pour les barrières de sécurité appliquées par l'organisation, les comptes des membres doivent appliquer une barrière de sécurité qui existe dans le compte administrateur de l'organisation. Pour utiliser un garde-corps dans un autre compte, l'identité de l'appelant doit être autorisée à appeler l'`bedrock:ApplyGuardrail`API sur le garde-corps, et le garde-corps doit être associé à une politique basée sur les ressources qui donne l'autorisation à cet appelant. Pour plus d'informations, voir [Logique d'évaluation des politiques entre comptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) et Politiques basées sur l'[identité et politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).
RBPs sont joints à partir de la page détaillée des rambardes. Si l'inférence interrégionale (CRIS) est activée sur le garde-corps, l'appelant doit également avoir l'`ApplyGuardrail`autorisation d'accéder à tous les objets de profil de région de destination associés à ce guardrail-owner-account profil, et RBPs doit être attaché aux profils à tour de rôle. Pour de plus amples informations, veuillez consulter [Autorisations d’utilisation de l’inférence interrégionale avec les barrières de protection Amazon Bedrock](guardrail-profiles-permissions.md). Les pages détaillées des profils sont accessibles depuis la section « Profils de garde-corps définis par le système » du tableau de bord des garde-corps, puis jointes à partir de là. RBPs
En cas d'application de garde-fous (au niveau de l'organisation ou du compte), tous les appelants de Bedrock Invoke ou Converse APIs qui ne sont pas autorisés à appeler ce garde-fou commenceront à voir leurs appels échouer, à une exception près. `AccessDenied` Pour cette raison, il est fortement recommandé de vérifier que vous êtes en mesure d'appeler l'[ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API sur le garde-corps à partir des identités par lesquelles elle sera utilisée, dans les comptes sur lesquels elle sera appliquée, avant de créer une configuration de garde-corps organisationnelle ou imposée par un compte.
Le langage de politique autorisé pour les politiques basées sur les ressources de garde-corps et de profil de garde-corps est actuellement restreint et ne prend en charge qu'un ensemble limité de déclarations de politique.
## Modèles de déclarations de politique pris en charge
### Partagez Guardrail sur votre propre compte
`account-id`doit être le compte contenant le garde-corps.
**Politique relative à un garde-corps :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
}]
}
```
------
**Politique relative à un profil de garde-corps :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
}]
}
```
------
### Partagez le garde-corps avec votre organisation
`account-id`doit correspondre au compte à partir duquel vous joignez le RBP, et ce compte doit être enregistré. `org-id`
**Politique relative à un garde-corps :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:GetGuardrail",
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
**Politique relative à un profil de garde-corps :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
### Partagez le garde-corps avec des spécifiques OUs
`account-id`doit correspondre au compte à partir duquel vous joignez le RBP, et ce compte doit être enregistré. `org-id`
**Politique relative à un garde-corps :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
**Politique relative à un profil de garde-corps :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
## Fonctions non prises en charge
Guardrails ne prend pas en charge le partage en dehors de votre organisation.
Guardrails n'est pas compatible RBPs avec des conditions autres que celles répertoriées ci-dessus sur `PrincipalOrgId` ou. `PrincipalOrgPaths`
Guardrails ne permet pas l'utilisation d'un `*` directeur sans condition d'organisation ou d'unité organisationnelle.
Guardrails ne prend en charge que les `bedrock:GetGuardrail` actions `bedrock:ApplyGuardrail` et dans. RBPs Pour les ressources Guardrail-Profile, seules les ressources sont prises en charge. `ApplyGuardrail`