Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan izin untuk menggunakan Amazon Bedrock Guardrails
Untuk menyiapkan peran dengan izin untuk pagar pembatas, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). AWS
Jika Anda menggunakan pagar pembatas dengan agen, lampirkan izin ke peran layanan dengan izin untuk membuat dan mengelola agen. Anda dapat mengatur peran ini di konsol atau membuat peran khusus dengan mengikuti langkah-langkah di[Buat peran layanan untuk Amazon Bedrock Agents](agents-permissions.md).
## Izin untuk membuat dan mengelola pagar pembatas untuk peran kebijakan
Tambahkan pernyataan berikut ke `Statement` bidang dalam kebijakan agar peran Anda menggunakan pagar pembatas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## Izin untuk memanggil pagar pembatas untuk memfilter konten
Tambahkan pernyataan berikut ke `Statement` bidang dalam kebijakan untuk peran yang memungkinkan inferensi model dan untuk memanggil pagar pembatas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
------
# Izin untuk kebijakan Penalaran Otomatis dengan ApplyGuardrail
Saat menggunakan kebijakan Penalaran Otomatis dengan `ApplyGuardrail` API, Anda memerlukan kebijakan IAM yang memungkinkan Anda menjalankan kebijakan Penalaran Otomatis.
```
{
"Sid": "AutomatedReasoningChecks",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAutomatedReasoningPolicy"
],
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
```
Kebijakan ini memungkinkan Anda untuk menjalankan kebijakan Penalaran Otomatis yang ditentukan di akun Anda.
# Izin untuk kebijakan Penalaran Otomatis dengan agen
Saat Anda membuat agen di Amazon Bedrock, peran layanan untuk agen secara otomatis menyertakan kebijakan untuk memanggil guardrails (`bedrock:ApplyGuardrail`) dan model foundation. Untuk melampirkan pagar pembatas yang menyertakan kebijakan Penalaran Otomatis ke agen Anda, tambahkan izin secara manual ke peran layanan agen.
Perbarui `AmazonBedrockAgentBedrockApplyGuardrailPolicy` kebijakan tentang peran layanan agen Anda untuk menyertakan `bedrock:GetGuardrail` tindakan dan akses ke profil pagar pembatas. Kemudian, tambahkan pernyataan terpisah yang memberikan `bedrock:InvokeAutomatedReasoningPolicy` tindakan untuk sumber daya kebijakan Penalaran Otomatis Anda.
Contoh berikut menunjukkan daftar pernyataan lengkap:
```
"Statement": [
{
"Sid": "AmazonBedrockAgentBedrockApplyGuardrailPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:*:account-id:guardrail-profile/*"
]
},
{
"Sid": "InvokeAutomatedReasoningPolicyProd",
"Effect": "Allow",
"Action": "bedrock:InvokeAutomatedReasoningPolicy",
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
]
```
**catatan**
Yang ada `AmazonBedrockAgentBedrockFoundationModelPolicy` pada peran layanan agen Anda tidak perlu dimodifikasi. Hanya yang `AmazonBedrockAgentBedrockApplyGuardrailPolicy` membutuhkan perubahan yang dijelaskan di atas.
# (Opsional) Buat kunci terkelola pelanggan untuk pagar pembatas Anda untuk keamanan tambahan
Anda mengenkripsi pagar pembatas Anda dengan pelanggan yang dikelola. AWS KMS keys Setiap pengguna dengan `CreateKey` izin dapat membuat kunci yang dikelola pelanggan dengan menggunakan konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi AWS Key Management Service (AWS KMS). Dalam situasi ini, pastikan untuk membuat kunci enkripsi simetris.
Setelah Anda membuat kunci, konfigurasikan kebijakan izin berikut.
1. Lakukan hal berikut untuk membuat kebijakan kunci berbasis sumber daya:
1. [Buat kebijakan utama untuk membuat kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) berbasis sumber daya untuk kunci KMS Anda.
1. Tambahkan pernyataan kebijakan berikut untuk memberikan izin kepada pengguna pagar pembatas dan pembuat pagar pembatas. Ganti masing-masing `role` dengan peran yang ingin Anda izinkan untuk melakukan tindakan yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
1. Lampirkan kebijakan berbasis identitas berikut ke peran untuk memungkinkannya membuat dan mengelola pagar pembatas. Ganti `key-id` dengan ID kunci KMS yang Anda buat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Lampirkan kebijakan berbasis identitas berikut ke peran untuk memungkinkannya menggunakan pagar pembatas yang Anda enkripsi selama inferensi model atau saat memanggil agen. Ganti `key-id` dengan ID kunci KMS yang Anda buat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
# Menegakkan penggunaan pagar pembatas tertentu dalam permintaan inferensi model
Anda dapat menerapkan penggunaan pagar pembatas tertentu untuk inferensi model dengan memasukkan kunci `bedrock:GuardrailIdentifier` kondisi dalam kebijakan IAM Anda. Ini memungkinkan Anda untuk menolak permintaan API inferensi apa pun yang tidak menyertakan pagar pembatas yang dikonfigurasi dalam kebijakan IAM Anda.
Anda dapat menerapkan penegakan ini untuk kesimpulan APIs berikut:
+ [Bercakap](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
Contoh berikut adalah beberapa cara di mana Anda dapat menggunakan tombol `bedrock:GuardrailIdentifier` kondisi.
**Contoh 1: Menegakkan penggunaan pagar pembatas tertentu dan versi numeriknya**
Gunakan kebijakan berikut untuk menerapkan penggunaan pagar pembatas (`guardrail-id`) tertentu dan versi numeriknya 1 selama inferensi model.
Penolakan eksplisit membuat permintaan pengguna tidak memanggil tindakan yang terdaftar dengan versi lain `GuardrailIdentifier` dan pagar pembatas apa pun izin lain yang mungkin dimiliki pengguna.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Contoh 2: Menegakkan penggunaan pagar pembatas tertentu dan versi DRAF-nya**
Gunakan kebijakan berikut untuk menegakkan penggunaan pagar pembatas (`guardrail-id`) tertentu dan versi DRAF-nya selama inferensi model.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Contoh 3: Menegakkan penggunaan pagar pembatas tertentu dan versi numeriknya**
Gunakan kebijakan berikut untuk menerapkan penggunaan guardrail (`guardrail-id`) tertentu dan versi numeriknya selama inferensi model.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Contoh 4: Menegakkan penggunaan pagar pembatas tertentu dan versinya**
Gunakan kebijakan berikut untuk menerapkan penggunaan guardrail (`guardrail-id`) tertentu dan versi numeriknya (termasuk versi DRAFT) selama inferensi model.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**Contoh 5: Menegakkan penggunaan pagar pembatas dan pasangan versi tertentu**
Gunakan kebijakan berikut untuk mengizinkan inferensi model hanya untuk satu set pagar pembatas dan versinya masing-masing.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
]
}
```
**Batasan**
Jika pengguna mengasumsikan peran IAM yang memiliki pagar pembatas tertentu yang dikonfigurasi menggunakan kunci kondisi: `bedrock:GuardrailIdentifier`
+ Pengguna tidak boleh menggunakan peran yang sama dengan izin tambahan untuk memanggil Bedrock APIs like `RetrieveAndGenerate` dan `InvokeAgent` yang melakukan `InvokeModel` panggilan atas nama pengguna. Hal ini dapat menyebabkan kesalahan akses ditolak bahkan ketika pagar pembatas ditentukan dalam permintaan karena `RetrieveAndGenerate` dan `InvokeAgent` melakukan beberapa `InvokeModel` panggilan, dan beberapa panggilan ini tidak menyertakan pagar pembatas.
+ Seorang pengguna dapat memotong penerapan pagar pembatas di prompt mereka dengan menggunakan tag input [pagar pembatas](guardrails-tagging.md). Namun, pagar pembatas selalu diterapkan pada respons.
+ Karena Amazon Bedrock Guardrails saat ini tidak mendukung kebijakan berbasis sumber daya untuk akses lintas akun, pagar pembatas Anda harus sama dengan peran IAM yang membuat permintaan. Akun AWS
# Izin untuk menggunakan inferensi lintas wilayah dengan Amazon Bedrock Guardrails
Menggunakan [inferensi lintas wilayah](guardrails-cross-region.md) dengan Amazon Bedrock Guardrails memerlukan penambahan izin khusus ke peran IAM Anda, termasuk mengizinkan akses ke profil pagar pembatas di Wilayah lain.
## Izin untuk membuat dan mengelola pagar pembatas untuk inferensi lintas wilayah
Gunakan kebijakan IAM berikut untuk [membuat](guardrails-components.md), [melihat](guardrails-view.md), [memodifikasi](guardrails-edit.md), dan [menghapus](guardrails-delete.md) pagar pembatas yang menggunakan profil pagar pembatas tertentu. Anda hanya memerlukan izin ini untuk memanggil titik akhir [bidang kontrol Amazon Bedrock](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
"arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
]
}
]
}
```
------
## Izin untuk memanggil pagar pembatas dengan inferensi lintas wilayah
Saat menjalankan pagar pembatas dengan inferensi lintas wilayah, Anda memerlukan kebijakan IAM yang menentukan Wilayah tujuan yang ditentukan dalam profil pagar pembatas Anda.
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
]
}
```
Kebijakan contoh ini menentukan sumber daya berikut:
+ Pagar pembatas yang Anda panggil di Wilayah sumber Anda (dalam hal ini,). `us-east-1`
+ Wilayah tujuan yang ditentukan dalam profil pagar pembatas yang Anda gunakan (dalam hal ini,`us.guardrail.v1:0`). Untuk informasi tentang Wilayah tujuan mana yang akan ditentukan dalam kebijakan Anda, lihat Profil [pagar pembatas yang tersedia](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles).
# Menggunakan kebijakan berbasis sumber daya untuk pagar pembatas
**catatan**
Menggunakan kebijakan berbasis sumber daya untuk Amazon Bedrock Guardrails dalam pratinjau dan dapat berubah.
Guardrails mendukung kebijakan berbasis sumber daya untuk profil inferensi pagar pembatas dan pagar pembatas. Kebijakan berbasis sumber daya memungkinkan Anda menentukan izin akses dengan menentukan siapa yang memiliki akses ke setiap sumber daya, dan tindakan yang diizinkan untuk dilakukan pada setiap sumber daya.
Anda dapat melampirkan kebijakan berbasis sumber daya (RBP) ke sumber daya Pagar Pembatas (profil inferensi pagar pembatas atau pagar pembatas). Dalam kebijakan ini, Anda menentukan izin untuk [prinsip Identity and Access Management (IAM) dan Access Management (IAM) yang dapat melakukan tindakan spesifik pada sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) ini. Misalnya, kebijakan yang dilampirkan pada pagar pembatas akan berisi izin untuk menerapkan pagar pembatas atau membaca konfigurasi pagar pembatas.
Kebijakan berbasis sumber daya direkomendasikan untuk digunakan dengan pagar pembatas yang diberlakukan di tingkat akun, dan diperlukan untuk penggunaan pagar pembatas yang diberlakukan tingkat organisasi, karena untuk pagar pembatas yang diberlakukan organisasi, akun anggota diharuskan untuk menerapkan pagar pembatas yang ada di akun administrator organisasi. Untuk menggunakan pagar pembatas di akun yang berbeda, identitas penelepon harus memiliki izin untuk memanggil `bedrock:ApplyGuardrail` API di pagar pembatas, dan pagar pembatas harus memiliki kebijakan berbasis sumber daya yang dilampirkan yang memberikan izin pemanggil tersebut. Untuk informasi selengkapnya, lihat [Logika evaluasi kebijakan lintas akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) dan kebijakan berbasis [identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).
RBPs dilampirkan dari halaman detail pagar pembatas. Jika pagar pembatas mengaktifkan Inferensi Lintas Wilayah (CRIS), pemanggil juga harus memiliki `ApplyGuardrail` izin pada semua objek guardrail-owner-account profil wilayah tujuan yang terkait dengan profil itu, dan RBPs harus dilampirkan ke profil secara bergantian. Untuk informasi selengkapnya, lihat [Izin untuk menggunakan inferensi lintas wilayah dengan Amazon Bedrock Guardrails](guardrail-profiles-permissions.md). Halaman detail profil dapat dicapai dari bagian “Profil pagar pembatas yang ditentukan sistem” di dasbor pagar pembatas, dan dilampirkan dari sana. RBPs
Untuk pagar pembatas yang diberlakukan (baik tingkat organisasi atau akun), semua penelepon Bedrock Invoke atau Converse APIs yang tidak memiliki izin untuk memanggil pagar pembatas tersebut akan mulai melihat panggilan mereka gagal dengan pengecualian. `AccessDenied` Untuk alasan ini, sangat disarankan untuk memeriksa apakah Anda dapat memanggil [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API di pagar pembatas dari identitas yang akan digunakan olehnya, di akun yang akan diberlakukan, sebelum membuat konfigurasi pagar pembatas yang diberlakukan oleh organisasi atau akun.
Bahasa kebijakan yang diizinkan untuk kebijakan berbasis sumber daya pagar pembatas dan profil pembatas saat ini dibatasi dan hanya mendukung serangkaian pernyataan kebijakan terbatas.
## Pola pernyataan kebijakan yang didukung
### Bagikan pagar pembatas dalam akun Anda sendiri
`account-id`harus berupa akun yang berisi pagar pembatas.
**Kebijakan untuk pagar pembatas:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
}]
}
```
------
**Kebijakan untuk profil pagar pembatas:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
}]
}
```
------
### Bagikan pagar pembatas dengan organisasi Anda
`account-id`harus cocok dengan akun tempat Anda melampirkan RBP, dan akun itu harus masuk. `org-id`
**Kebijakan untuk pagar pembatas:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:GetGuardrail",
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
**Kebijakan untuk profil pagar pembatas:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
### Bagikan pagar pembatas dengan spesifik OUs
`account-id`harus cocok dengan akun tempat Anda melampirkan RBP, dan akun itu harus masuk. `org-id`
**Kebijakan untuk pagar pembatas:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
**Kebijakan untuk profil pagar pembatas:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
## Fitur yang tidak didukung
Guardrails tidak mendukung berbagi di luar organisasi Anda.
Pagar pembatas tidak mendukung RBPs dengan kondisi selain yang tercantum di atas pada `PrincipalOrgId` atau. `PrincipalOrgPaths`
Guardrails tidak mendukung penggunaan `*` Principal tanpa kondisi organisasi atau unit organisasi.
Pagar pembatas hanya mendukung `bedrock:ApplyGuardrail` dan `bedrock:GetGuardrail` tindakan di. RBPs Untuk sumber daya profil pagar, hanya didukung. `ApplyGuardrail`