Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan kebijakan berbasis sumber daya untuk pagar pembatas
<a name="guardrails-resource-based-policies"></a>

**catatan**  
Menggunakan kebijakan berbasis sumber daya untuk Amazon Bedrock Guardrails dalam pratinjau dan dapat berubah.

Guardrails mendukung kebijakan berbasis sumber daya untuk profil inferensi pagar pembatas dan pagar pembatas. Kebijakan berbasis sumber daya memungkinkan Anda menentukan izin akses dengan menentukan siapa yang memiliki akses ke setiap sumber daya, dan tindakan yang diizinkan untuk dilakukan pada setiap sumber daya.

Anda dapat melampirkan kebijakan berbasis sumber daya (RBP) ke sumber daya Pagar Pembatas (profil inferensi pagar pembatas atau pagar pembatas). Dalam kebijakan ini, Anda menentukan izin untuk [prinsip Identity and Access Management (IAM) dan Access Management (IAM) yang dapat melakukan tindakan spesifik pada sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) ini. Misalnya, kebijakan yang dilampirkan pada pagar pembatas akan berisi izin untuk menerapkan pagar pembatas atau membaca konfigurasi pagar pembatas.

Kebijakan berbasis sumber daya direkomendasikan untuk digunakan dengan pagar pembatas yang diberlakukan di tingkat akun, dan diperlukan untuk penggunaan pagar pembatas yang diberlakukan tingkat organisasi, karena untuk pagar pembatas yang diberlakukan organisasi, akun anggota diharuskan untuk menerapkan pagar pembatas yang ada di akun administrator organisasi. Untuk menggunakan pagar pembatas di akun yang berbeda, identitas penelepon harus memiliki izin untuk memanggil `bedrock:ApplyGuardrail` API di pagar pembatas, dan pagar pembatas harus memiliki kebijakan berbasis sumber daya yang dilampirkan yang memberikan izin pemanggil tersebut. Untuk informasi selengkapnya, lihat [Logika evaluasi kebijakan lintas akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) dan kebijakan berbasis [identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).

RBPs dilampirkan dari halaman detail pagar pembatas. Jika pagar pembatas mengaktifkan Inferensi Lintas Wilayah (CRIS), pemanggil juga harus memiliki `ApplyGuardrail` izin pada semua objek guardrail-owner-account profil wilayah tujuan yang terkait dengan profil itu, dan RBPs harus dilampirkan ke profil secara bergantian. Untuk informasi selengkapnya, lihat [Izin untuk menggunakan inferensi lintas wilayah dengan Amazon Bedrock Guardrails](guardrail-profiles-permissions.md). Halaman detail profil dapat dicapai dari bagian “Profil pagar pembatas yang ditentukan sistem” di dasbor pagar pembatas, dan dilampirkan dari sana. RBPs 

Untuk pagar pembatas yang diberlakukan (baik tingkat organisasi atau akun), semua penelepon Bedrock Invoke atau Converse APIs yang tidak memiliki izin untuk memanggil pagar pembatas tersebut akan mulai melihat panggilan mereka gagal dengan pengecualian. `AccessDenied` Untuk alasan ini, sangat disarankan untuk memeriksa apakah Anda dapat memanggil [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html)API di pagar pembatas dari identitas yang akan digunakan olehnya, di akun yang akan diberlakukan, sebelum membuat konfigurasi pagar pembatas yang diberlakukan oleh organisasi atau akun.

Bahasa kebijakan yang diizinkan untuk kebijakan berbasis sumber daya pagar pembatas dan profil pembatas saat ini dibatasi dan hanya mendukung serangkaian pernyataan kebijakan terbatas.

## Pola pernyataan kebijakan yang didukung
<a name="supported-policy-statement-patterns"></a>

### Bagikan pagar pembatas dalam akun Anda sendiri
<a name="share-guardrail-within-account"></a>

`account-id`harus berupa akun yang berisi pagar pembatas.

**Kebijakan untuk pagar pembatas:**  


------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
    }]
}
```

------

**Kebijakan untuk profil pagar pembatas:**  


------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
    }]
}
```

------

### Bagikan pagar pembatas dengan organisasi Anda
<a name="share-guardrail-with-organization"></a>

`account-id`harus cocok dengan akun tempat Anda melampirkan RBP, dan akun itu harus masuk. `org-id`

**Kebijakan untuk pagar pembatas:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
```

------

**Kebijakan untuk profil pagar pembatas:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
```

------

### Bagikan pagar pembatas dengan spesifik OUs
<a name="share-guardrail-with-specific-ous"></a>

`account-id`harus cocok dengan akun tempat Anda melampirkan RBP, dan akun itu harus masuk. `org-id`

**Kebijakan untuk pagar pembatas:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
```

------

**Kebijakan untuk profil pagar pembatas:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
```

------

## Fitur yang tidak didukung
<a name="unsupported-features"></a>

Guardrails tidak mendukung berbagi di luar organisasi Anda.

Pagar pembatas tidak mendukung RBPs dengan kondisi selain yang tercantum di atas pada `PrincipalOrgId` atau. `PrincipalOrgPaths`

Guardrails tidak mendukung penggunaan `*` Principal tanpa kondisi organisasi atau unit organisasi.

Pagar pembatas hanya mendukung `bedrock:ApplyGuardrail` dan `bedrock:GetGuardrail` tindakan di. RBPs Untuk sumber daya profil pagar, hanya didukung. `ApplyGuardrail`