翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ガードレールにリソースベースのポリシーを使用する
<a name="guardrails-resource-based-policies"></a>

Amazon Bedrock ガードレールは、ガードレールとガードレール推論プロファイルのリソースベースのポリシーをサポートしています。リソースベースのポリシーでは、各リソースにアクセスできるユーザーと、各リソースに対して実行できるアクションを指定することで、アクセス許可を定義できます。

リソースベースのポリシー (RBP) を Guardrails リソース (ガードレールまたはガードレール推論プロファイル) にアタッチできます。このポリシーでは、これらのリソースに対して特定のアクションを実行できる Identity and Access Management (IAM) [プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)のアクセス許可を指定します。たとえば、ガードレールにアタッチされたポリシーには、ガードレールを適用したり、ガードレール設定を読み取ったりするためのアクセス許可が含まれます。

リソースベースのポリシーは、アカウントレベルの強制ガードレールでの使用に推奨され、組織レベルの強制ガードレールの使用に必要です。これは、組織レベルの強制ガードレールの場合、メンバーアカウントは組織管理者アカウントに存在するガードレールを適用する必要があるためです。別のアカウントでガードレールを使用するには、発信者 ID にガードレールで `bedrock:ApplyGuardrail` API を呼び出すアクセス許可が必要です。また、ガードレールには、その発信者にアクセス許可を付与するリソースベースのポリシーがアタッチされている必要があります。詳細については、[「クロスアカウントポリシーの評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)」および[「アイデンティティベースのポリシー」および「リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。

RBPs はガードレールの詳細ページからアタッチされます。ガードレールでクロスリージョン推論 (CRIS) が有効になっている場合、呼び出し元には、そのプロファイルに関連付けられたすべての送信先/リージョンguardrail-owner-accountプロファイルオブジェクトに対する`ApplyGuardrail`アクセス許可も必要です。また、RBPsをプロファイルにアタッチする必要があります。詳細については、「[Amazon Bedrock ガードレールでクロスリージョン推論を使用するためのアクセス許可](guardrail-profiles-permissions.md)」を参照してください。プロファイルの詳細ページには、ガードレールダッシュボードの「システム定義のガードレールプロファイル」セクションと、そこからアタッチRBPs からアクセスできます。

強制ガードレール (組織レベルまたはアカウントレベル) の場合、そのガードレールを呼び出すアクセス許可を持たない Bedrock Invoke API または Converse APIs のすべての発信者は、`AccessDenied`例外で呼び出しが失敗し始めます。このため、組織またはアカウントの強制ガードレール設定を作成する前に、使用する ID からガードレールで [ApplyGuardrail](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ApplyGuardrail.html) API を呼び出せることを確認することを強くお勧めします。

ガードレールおよびガードレールプロファイルのリソースベースのポリシーで許可されるポリシー言語は、現在制限されており、制限されたポリシーステートメントのセットのみをサポートしています。

## サポートされているポリシーステートメントパターン
<a name="supported-policy-statement-patterns"></a>

### 自分のアカウント内でガードレールを共有する
<a name="share-guardrail-within-account"></a>

`account-id` はガードレールを含むアカウントである必要があります。

**ガードレールのポリシー:**  


------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{111122223333}}:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
	    "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail/guardrail-id"
    }]
}
```

------

**ガードレールプロファイルのポリシー:**  


------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{111122223333}}:root"
        },
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail-profile/profile-id"
    }]
}
```

------

### ガードレールを組織と共有する
<a name="share-guardrail-with-organization"></a>

`account-id` は RBP をアタッチするアカウントと一致する必要があり、そのアカウントは にある必要があります`org-id`。

**ガードレールのポリシー:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:GetGuardrail",
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail/guardrail-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
```

------

**ガードレールプロファイルのポリシー:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail-profile/profile-id",
        "Condition": {
            "StringEquals": { 
                "aws:PrincipalOrgID": "org-id"
            }
        }
    }]
}
```

------

### ガードレールを特定の OUs と共有する
<a name="share-guardrail-with-specific-ous"></a>

`account-id` は RBP をアタッチするアカウントと一致する必要があり、そのアカウントは にある必要があります`org-id`。

**ガードレールのポリシー:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail",
            "bedrock:GetGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail/guardrail-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
```

------

**ガードレールプロファイルのポリシー:**  
 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "bedrock:ApplyGuardrail"
        ],
        "Resource": "arn:aws:bedrock:us-east-1:{{111122223333}}:guardrail-profile/profile-id",
        "Condition": {
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "org-id/*/org-unit-id/*"
                ]
            }
        }
    }]
}
```

------

## サポートされていない機能
<a name="unsupported-features"></a>

ガードレールは、組織外の共有をサポートしていません。

ガードレールは、 `PrincipalOrgId`または で上記の条件以外の条件の RBPs をサポートしていません`PrincipalOrgPaths`。

ガードレールは、組織または組織単位の条件がない`*`プリンシパルの使用をサポートしていません。

ガードレールは、RBPs の `bedrock:ApplyGuardrail` および `bedrock:GetGuardrail`アクションのみをサポートします。ガードレールプロファイルリソースでは、 のみがサポート`ApplyGuardrail`されています。