本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 Bedrock 政策
<a name="orgs_manage_policies_bedrock"></a>

Amazon Bedrock 策略允许您在组织结构中的任何元素中自动实施在 Amazon Bedrock Guardrails 中配置的保护措施，以应对对 Amazon Bedrock 的所有模型推理调用。这样就无需为每个账户配置单独的防护。Amazon Bedrock Guardrails 提供可配置的保护措施，以帮助安全地大规模构建生成式 AI 应用程序，其标准方法适用于各种基础模型，包括：Amazon Bedrock 中支持的模型、经过微调的模型和托管在 Amazon Bedrock 之外的模型。

Organizations 中的 Amazon Bedrock 政策允许您 AWS 以 JSON 格式引用在您的管理账户中创建的护栏。您可以将任何策略附加到组织结构的必需元素，例如根账户、组织单位 (OUs) 和个人账户。 AWS Organizations 应用继承规则来合并这些策略，从而为每个账户制定有效的政策，规定如何为您的生成式 AI 应用程序实施保障措施。

## 工作原理
<a name="bedrock-policies-how-it-works"></a>

借助 Amazon Bedrock 政策，您可以控制在多个账户的护栏内自动强制执行安全措施，从而允许您在所有或部分模型上强制执行护栏，以便对 Amazon Bedrock 进行推理调用。您需要在政策中引用相应护栏的特定版本，同时遵守组织负责任的人工智能要求。这特定于您的护栏所在 AWS 区域，您需要为每个想要实施安全控制的 AWS 区域设置不同的护栏。然后，您可以将此策略附加到组织中的任何节点，然后该节点下的账户将自动继承这些保护措施，并将其应用于对 Amazon Bedrock 的每次模型调用。

Amazon Bedrock 政策可帮助您确保在整个组织中实现一致的安全控制，并提供一种集中式方法来安全地大规模构建生成式 AI 应用程序。

# 开始使用 Amazon Bedrock 政策
<a name="orgs_manage_policies_bedrock_getting_started"></a>

在配置 Amazon Bedrock 策略之前，请确保您了解先决条件和实施要求。本主题将指导您完成在组织中设置和管理这些策略的过程。

## 开始前的准备工作
<a name="bedrock_getting_started-before-begin"></a>

在实施 Amazon Bedrock 政策之前，请查看以下要求：
+ 您的账户必须是 AWS 组织的一部分
+ 您必须使用以下任一身份登录：
  + 组织的管理账户
  + 有权管理 Amazon Bedrock 策略的委托管理员账户
+ 您必须在组织根目录中启用 Amazon Bedrock 策略类型

## 实现步骤
<a name="bedrock_getting_started-implementation"></a>

要有效实施 Amazon Bedrock 政策，请按顺序执行以下步骤。每个步骤都可确保配置正确，并有助于在设置过程中避免常见问题。管理账户或授权管理员可以通过 AWS Organizations 控制台、 AWS 命令行界面 (AWS CLI) 或执行这些步骤 AWS SDKs。

1. [为您的组织启用 Amazon Bedrock 政策](enable-policy-type.md)。

1. [创建 Amazon Bedrock 政策](orgs_manage_policies_bedrock_syntax.md)。

1. [将 Amazon Bedrock 政策附加到贵组织的根目录、组织单位或账户](orgs_policies_attach.md)。

1. [查看适用于账户的合并生效 Amazon Bedrock 政策](orgs_manage_policies_effective.md)。

# 使用 Amazon Bedrock 政策的最佳实践
<a name="orgs_manage_policies_bedrock_best_practices"></a>

## 使用有效的护栏标识符
<a name="use-valid-guardrail-identifier"></a>

不正确或格式错误的标识符将导致目标组织中的所有 Amazon Bedrock API 调用失败。[监控无效 CloudTrail 的有效策略警报，以快速检测错误配置](https://docs.aws.amazon.com/organizations/latest/userguide/invalid-policy-alerts.html)。

## 排除自动推理策略
<a name="exclude-automated-reasoning-policies"></a>

组织层面的执法不支持包含自动推理策略的防护栏。确认您选择的 Amazon Bedrock Guardrail 中不包含护栏。

## 授予必要的 IAM 权限
<a name="grant-necessary-iam-permissions"></a>

使用 [Amazon Bedrock Guardrails 基于资源的策略](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-resource-based-policies.html)向组织及其成员账户授予在运行时评估强制性护栏的权限。

## 查看 Amazon Bedrock 护栏的服务限制
<a name="review-service-limits"></a>

使用 Amazon Bedrock 政策的会员账户通话将计入该会员的服务配额。查看 Service Quotas 控制台，确保您的 Guardrails 运行时限制足以满足您的呼叫量。

## 从小处着手，然后扩大规模
<a name="start-small-scale"></a>

首先，将您的保单附加到几个账户，确保按照您预期的方式应用政策。请务必测试 Guardrail 权限是否已配置为允许跨账户访问。

## 使用验证对您的 Amazon Bedrock 政策的更改 DescribeEffectivePolicy
<a name="validate-policy-changes-bedrock"></a>

在您对 Amazon Bedrock 政策进行更改后，请查看低于您更改级别的代表账户的有效政策。您可以使用 AWS 管理控制台、`DescribeEffectivePolicy` API 操作或其 AWS CLI 或 AWS SDK 变体之一来查看有效策略。确保您所做的更改对有效策略产生预期影响。

## 沟通与培训
<a name="communicate-and-train-bedrock"></a>

确保您的组织了解您的 Amazon Bedrock 政策的目的和影响。就 Amazon Bedrock Guardrails 的行为和预期情况提供明确的指导。

# Amazon Bedrock 政策语法和示例
<a name="orgs_manage_policies_bedrock_syntax"></a>

Amazon Bedrock 政策是一个按照 JSON 规则构造的纯文本文件。Amazon Bedrock 策略的语法遵循所有管理策略类型的语法。有关更多信息，请参阅[管理策略类型的策略语法和继承](orgs_manage_policies_inheritance_mgmt.md)。本主题重点介绍如何将该通用语法应用于 Amazon Bedrock 策略类型的特定要求。

以下 Amazon Bedrock 策略示例显示了基本的亚马逊 Bedrock 策略语法：

```
{
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/hu1dlsv9wy1d:1"
                    },
                    "selective_content_guarding": {
                        "system": {
                            "@@assign": "selective"
                        },
                        "messages": {
                            "@@assign": "comprehensive"
                        }
                    },
                    "model_enforcement": {
                        "included_models": {
                            "@@assign": ["ALL"]
                        },
                        "excluded_models": {
                            "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
                        }
                    }
                }
            }
        }
    }
}
```

## Amazon Bedrock 策略语法包括以下元素
<a name="bedrock-policy-components"></a>

`"bedrock"`  
Amazon Bedrock 政策文件的顶级密钥。

`"guardrail_inference"`  
定义护栏强制配置。

`<region>`  
将实施政策的区域。例如 `"us-east-1"`。

`"config_1"`  
护栏设置的配置标识符。

`"identifier"`（必填）  
Guardrail ARN，其次是护栏版本`:version`。  
+ 护栏必须归管理账户所有。您无法使用其他账户的 Guardrail 创建策略。
+ 护栏必须有版本，并且该版本不能是草稿。要创建护栏的版本，请参阅 Amazon B [edrock 用户指南中的创建护栏版本](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-versions-create.html)。
+ Guardrail 必须有基于资源的政策，允许组织成员拨打电话。`ApplyGuardrail`
+ 护栏必须在指定区域创建和使用。

`"selective_content_guarding"`（可选）  
Amazon Bedrock APIs 允许在输入中标记呼叫者希望护栏处理的特定内容。这些设置允许执法人员控制是否尊重来电者做出的内容标记决定。如果指定，则必须`"messages"`为`"system"`或之一。

`"system"`（可选）  
选择护栏如何处理系统提示。未指定`comprehensive`时默认为。  
+ `"comprehensive"`: 评估所有内容，而不考虑警卫内容标签。
+ `"selective"`：仅评估防护内容标签内的内容。未指定标签时不评估任何内容。

`"messages"`（可选）  
选择护栏如何处理带有用户和助手对话的消息内容。未指定`comprehensive`时默认为。  
+ `"comprehensive"`: 评估所有内容，而不考虑警卫内容标签。
+ `"selective"`：仅评估防护内容标签内的内容。未指定标签时，评估消息中的所有内容。

`"model_enforcement"`（可选）  
强制护栏配置的特定型号信息。如果不存在，则将在所有型号上强制执行该配置。

`"included_models"`（必填）  
用于加强护栏的型号清单。如果为空，则对所有模型应用强制执行。还接受关键字 “ALL” 以明确包含所有模型。

`"excluded_models"`（必填）  
排除在护栏强制执行范围之外的模型。如果为空，则不会将任何模型排除在强制执行范围之外。如果模型同时出现在包括和排除的模型列表中，则将其排除在外。