翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Bedrock ガードレールを使用するためのアクセス許可を設定する
ガードレールのアクセス許可を持つロールを設定するには、[AWS 「 サービスにアクセス許可を委任するロールを作成する」の手順に従って、IAM ロールを作成し、次のアクセス許可をアタッチします](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
エージェントでガードレールを使用する場合は、エージェントを作成して管理するアクセス許可を持つサービスロールに、これらのアクセス許可をアタッチします。このロールをコンソールで設定するか、「[Amazon Bedrock エージェントのサービスロールを作成する](agents-permissions.md)」の手順に従ってカスタムロールを作成できます。
## ポリシーロールでガードレールを作成および管理するためのアクセス許可
ガードレールを使用するには、ロールのポリシーの `Statement` フィールドに次のステートメントを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
```
------
## ガードレールを呼び出してコンテンツをフィルタリングするためのアクセス許可
モデル推論を許可し、ガードレールを呼び出すには、ロールのポリシーの `Statement` フィールドに次のステートメントを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
------
# ApplyGuardrail を使用した自動推論ポリシーのアクセス許可
`ApplyGuardrail` API で自動推論ポリシーを使用する場合は、自動推論ポリシーを呼び出すことができる IAM ポリシーが必要です。
```
{
"Sid": "AutomatedReasoningChecks",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAutomatedReasoningPolicy"
],
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
```
このポリシーにより、アカウントで指定された自動推論ポリシーを呼び出すことができます。
# エージェントを使用した自動推論ポリシーのアクセス許可
Amazon Bedrock でエージェントを作成すると、エージェントのサービスロールには、ガードレール (`bedrock:ApplyGuardrail`) と基盤モデルを呼び出すためのポリシーが自動的に含まれます。自動推論ポリシーを含むガードレールをエージェントにアタッチするには、エージェントのサービスロールにアクセス許可を手動で追加します。
エージェントのサービスロールの`AmazonBedrockAgentBedrockApplyGuardrailPolicy`ポリシーを更新して、 `bedrock:GetGuardrail`アクションとガードレールプロファイルへのアクセスを含めます。次に、Automated Reasoning ポリシーリソースの `bedrock:InvokeAutomatedReasoningPolicy`アクションを許可する別のステートメントを追加します。
次の例は、完全なステートメントリストを示しています。
```
"Statement": [
{
"Sid": "AmazonBedrockAgentBedrockApplyGuardrailPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:*:account-id:guardrail-profile/*"
]
},
{
"Sid": "InvokeAutomatedReasoningPolicyProd",
"Effect": "Allow",
"Action": "bedrock:InvokeAutomatedReasoningPolicy",
"Resource": [
"arn:aws:bedrock:region:account-id:automated-reasoning-policy/policy-id:policy-version"
]
}
]
```
**注記**
エージェントのサービスロール`AmazonBedrockAgentBedrockFoundationModelPolicy`の既存の を変更する必要はありません。上記の変更`AmazonBedrockAgentBedrockApplyGuardrailPolicy`が必要なのは、 のみです。
# (オプション) セキュリティ強化のためにガードレール用のカスタマーマネージドキーを作成する
ガードレールはカスタマーマネージドで暗号化します AWS KMS keys。`CreateKey` アクセス許可を持つユーザーは、 AWS Key Management Service (AWS KMS) コンソールまたは [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して、カスタマーマネージドキーを作成できます。この場合、必ず対称暗号化キーを作成します。
キーの作成後、次のアクセス許可を設定します。
1. リソースベースのキーポリシーを作成するには、次の手順を実行します。
1. 「[キーポリシーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)」の手順に従って、KMS キーのリソースベースのポリシーを作成します。
1. 次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各 `role` は、指定されたアクションの実行を許可するロールに置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
1. 次のアイデンティティベースのポリシーをロールにアタッチして、そのロールでガードレールを作成および管理できるようにします。`key-id` を先ほど作成した KMS キーの ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. 次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に、暗号化されたガードレールをそのロールで使用できるようにします。`key-id` を先ほど作成した KMS キーの ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
# モデル推論リクエストで特定のガードレールの使用を強制する
IAM ポリシーに `bedrock:GuardrailIdentifier` 条件キーを含めると、モデル推論に特定のガードレールの使用を強制できます。これにより、IAM ポリシーで設定されたガードレールを含まない推論 API リクエストを拒否できます。
この強制は、次の推論 API に適用できます。
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
`bedrock:GuardrailIdentifier` 条件キーを使用するいくつかの方法は、以下の例のとおりです。
**例 1: 特定のガードレールとその数値バージョンの使用を強制する**
モデル推論中に特定のガードレール (`guardrail-id`) とその数値バージョン 1 の使用を強制するには、次のポリシーを使用します。
明示的な拒否により、ユーザーが他のアクセス許可を持っていたとしても、いかなる `GuardrailIdentifier` およびガードレールバージョンでも、ユーザーリクエストによるリストされたアクションの呼び出しを禁止します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:1"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**例 2: 特定のガードレールとそのドラフトバージョンの使用を強制する**
モデル推論中に特定のガードレール (`guardrail-id`) とそのドラフトバージョンの使用を強制するには、次のポリシーを使用します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**例 3: 特定のガードレールとその任意の数値バージョンの使用を強制する**
モデル推論中に特定のガードレール (`guardrail-id`) とその任意の数値バージョンの使用を強制するには、次のポリシーを使用します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id:*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**例 4: 特定のガードレールとその任意のバージョンの使用を強制する**
モデル推論中に特定のガードレール (`guardrail-id`) とその任意の数値バージョン (ドラフトバージョンも含む) の使用を強制するには、次のポリシーを使用します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"ArnNotLike": {
"bedrock:GuardrailIdentifier": "arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id*"
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-id"
]
}
]
}
```
**例 5: 特定のガードレールとそのバージョンのペアの使用を強制する**
次のポリシーを使用して、ガードレールのセットとその対応するバージョンのモデル推論のみを許可します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModelStatement1",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "InvokeFoundationModelStatement2",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*"
],
"Condition": {
"StringNotEquals": {
"bedrock:GuardrailIdentifier": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id:1",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id:2",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
}
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-1-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-2-id",
"arn:aws:bedrock:us-east-1:123456789012:guardrail/guardrail-3-id"
]
}
]
}
```
**制限事項**
ユーザーが `bedrock:GuardrailIdentifier` 条件キーを使用して設定された特定のガードレールを持つ IAM ロールを引き受ける場合:
+ ユーザーに代わって、`InvokeModel` コールを行う、`RetrieveAndGenerate` や `InvokeAgent` などの Bedrock API を呼び出す際に、追加のアクセス許可を持つ同じロールを使用すべきではありません。`RetrieveAndGenerate` や `InvokeAgent` は、複数の `InvokeModel` コールを行いますが、これらのコールの一部にはガードレールが含まれないため、アクセス拒否エラーにつながる可能性があります。
+ ユーザーは、[ガードレール入力タグ](guardrails-tagging.md)を使用して、プロンプトへのガードレールの適用をバイパスできます。ただし、ガードレールは常にレスポンスには適用されます。
+ Amazon Bedrock ガードレールは現時点では、クロスアカウントアクセス用のリソースベースのポリシーはサポートしていないため、ガードレールはリクエストを行う IAM ロールと同じ AWS アカウント に配置する必要があります。
# Amazon Bedrock ガードレールでクロスリージョン推論を使用するためのアクセス許可
Amazon Bedrock ガードレールで[クロスリージョン推論](guardrails-cross-region.md)を使用するには、他のリージョンのガードレールプロファイルへのアクセスを許可するなど、IAM ロールに特定のアクセス許可を追加する必要があります。
## クロスリージョン推論用のガードレールを作成および管理するためのアクセス許可
特定のガードレールプロファイルを使用するガードレールを[作成](guardrails-components.md)、[表示](guardrails-view.md)、[変更](guardrails-edit.md)、[削除](guardrails-delete.md)するには、以下の IAM ポリシーを使用します。これらのアクセス許可は、[Amazon Bedrock コントロールプレーンエンドポイント](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)を呼び出す場合にのみ必要となります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:UpdateGuardrail",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/*",
"arn:aws:bedrock:us-east-1:123456789012:guardrail-profile/guardrail-profile-id"
]
}
]
}
```
------
## クロスリージョン推論でガードレールを呼び出すためのアクセス許可
クロスリージョン推論を使用してガードレールを呼び出す場合は、ガードレールプロファイルで定義されている送信先リージョンを指定する IAM ポリシーが必要です。
```
{
"Effect": "Allow",
"Action": ["bedrock:ApplyGuardrail"],
"Resource": [
"arn:aws:bedrock:us-east-1:account-id:guardrail/guardrail-id",
"arn:aws:bedrock:us-east-1:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-east-2:account-id:guardrail-profile/us.guardrail.v1:0",
"arn:aws:bedrock:us-west-2:account-id:guardrail-profile/us.guardrail.v1:0"
]
}
```
このサンプルポリシーでは、次のリソースを指定しています。
+ ソースリージョン (この場合は `us-east-1`) で呼び出すガードレール
+ 使用しているガードレールプロファイルで定義されている送信先リージョン (この場合は `us.guardrail.v1:0`)。ポリシーで指定する送信先リージョンについては、「[Available guardrail profiles](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-cross-region-support.html#available-guardrail-profiles)」を参照してください。
# ガードレールのリソースベースのポリシーの使用
**注記**
Amazon Bedrock ガードレールのリソースベースのポリシーの使用はプレビュー中であり、変更される可能性があります。
ガードレールは、ガードレールとガードレール推論プロファイルのリソースベースのポリシーをサポートします。リソースベースのポリシーでは、各リソースにアクセスできるユーザーと、各リソースに対して実行できるアクションを指定することで、アクセス許可を定義できます。
リソースベースのポリシー (RBP) を Guardrails リソース (ガードレールまたはガードレール推論プロファイル) にアタッチできます。このポリシーでは、これらのリソースに対して特定のアクションを実行できる Identity and Access Management (IAM) [プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)のアクセス許可を指定します。たとえば、ガードレールにアタッチされたポリシーには、ガードレールを適用したり、ガードレール設定を読み取ったりするためのアクセス許可が含まれます。
リソースベースのポリシーは、アカウントレベルの強制ガードレールでの使用に推奨され、組織レベルの強制ガードレールの使用に必要です。これは、組織レベルの強制ガードレールの場合、メンバーアカウントは組織管理者アカウントに存在するガードレールを適用する必要があるためです。別のアカウントでガードレールを使用するには、発信者 ID にガードレールで `bedrock:ApplyGuardrail` API を呼び出すアクセス許可が必要です。また、ガードレールには、その発信者にアクセス許可を付与するリソースベースのポリシーがアタッチされている必要があります。詳細については、[「クロスアカウントポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)」および[「アイデンティティベースのポリシー」および「リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。
RBPs はガードレールの詳細ページからアタッチされます。ガードレールでクロスリージョン推論 (CRIS) が有効になっている場合、呼び出し元には、そのプロファイルに関連付けられたすべての送信先/リージョンguardrail-owner-accountプロファイルオブジェクトに対する`ApplyGuardrail`アクセス許可も必要です。また、RBPsをプロファイルにアタッチする必要があります。詳細については、「[Amazon Bedrock ガードレールでクロスリージョン推論を使用するためのアクセス許可](guardrail-profiles-permissions.md)」を参照してください。プロファイルの詳細ページには、ガードレールダッシュボードの「システム定義のガードレールプロファイル」セクションと、そこからアタッチRBPs からアクセスできます。
強制ガードレール (組織レベルまたはアカウントレベル) の場合、そのガードレールを呼び出すアクセス許可を持たない Bedrock Invoke API または Converse APIs のすべての発信者は、`AccessDenied`例外で呼び出しが失敗し始めます。このため、組織またはアカウントの強制ガードレール設定を作成する前に、使用する ID からガードレールで [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html) API を呼び出せることを確認することを強くお勧めします。
ガードレールおよびガードレールプロファイルのリソースベースのポリシーで許可されるポリシー言語は、現在制限されており、制限されたポリシーステートメントのセットのみをサポートしています。
## サポートされているポリシーステートメントパターン
### 自分のアカウント内でガードレールを共有する
`account-id` はガードレールを含むアカウントである必要があります。
**ガードレールのポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id"
}]
}
```
------
**ガードレールプロファイルのポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id"
}]
}
```
------
### ガードレールを組織と共有する
`account-id` は RBP をアタッチするアカウントと一致する必要があり、そのアカウントは にある必要があります`org-id`。
**ガードレールのポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:GetGuardrail",
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
**ガードレールプロファイルのポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}]
}
```
------
### ガードレールを特定の OUs と共有する
`account-id` は RBP をアタッチするアカウントと一致する必要があり、そのアカウントは にある必要があります`org-id`。
**ガードレールのポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail",
"bedrock:GetGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail/guardrail-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
**ガードレールプロファイルのポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": "*",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": "arn:aws:bedrock:us-east-1:111122223333:guardrail-profile/profile-id",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"org-id/*/org-unit-id/*"
]
}
}
}]
}
```
------
## サポートされていない 機能
ガードレールは、組織外の共有をサポートしていません。
ガードレールは、 `PrincipalOrgId`または で上記の条件以外の条件の RBPs をサポートしていません`PrincipalOrgPaths`。
ガードレールは、組織または組織単位の条件がない`*`プリンシパルの使用をサポートしていません。
ガードレールは、RBPs の `bedrock:ApplyGuardrail`および `bedrock:GetGuardrail`アクションのみをサポートします。ガードレールプロファイルリソースでは、 のみがサポート`ApplyGuardrail`されています。