本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon Bedrock 政策的最佳实践
<a name="orgs_manage_policies_bedrock_best_practices"></a>

## 使用有效的护栏标识符
<a name="use-valid-guardrail-identifier"></a>

不正确或格式错误的标识符将导致目标组织中的所有 Amazon Bedrock API 调用失败。[监控无效 CloudTrail 的有效策略警报，以快速检测错误配置](https://docs.aws.amazon.com/organizations/latest/userguide/invalid-policy-alerts.html)。

## 排除自动推理策略
<a name="exclude-automated-reasoning-policies"></a>

组织层面的执法不支持包含自动推理策略的防护栏。确认您选择的 Amazon Bedrock Guardrail 中不包含护栏。

## 授予必要的 IAM 权限
<a name="grant-necessary-iam-permissions"></a>

使用 [Amazon Bedrock Guardrails 基于资源的策略](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-resource-based-policies.html)向组织及其成员账户授予在运行时评估强制性护栏的权限。

## 查看 Amazon Bedrock 护栏的服务限制
<a name="review-service-limits"></a>

使用 Amazon Bedrock 政策的会员账户通话将计入该会员的服务配额。查看 Service Quotas 控制台，确保您的 Guardrails 运行时限制足以满足您的呼叫量。

## 从小处着手，然后扩大规模
<a name="start-small-scale"></a>

首先，将您的保单附加到几个账户，确保按照您预期的方式应用政策。请务必测试 Guardrail 权限是否已配置为允许跨账户访问。

## 使用验证对您的 Amazon Bedrock 政策的更改 DescribeEffectivePolicy
<a name="validate-policy-changes-bedrock"></a>

在您对 Amazon Bedrock 政策进行更改后，请查看低于您更改级别的代表账户的有效政策。您可以使用 AWS 管理控制台、`DescribeEffectivePolicy` API 操作或其 AWS CLI 或 AWS SDK 变体之一来查看有效策略。确保您所做的更改对有效策略产生预期影响。

## 沟通与培训
<a name="communicate-and-train-bedrock"></a>

确保您的组织了解您的 Amazon Bedrock 政策的目的和影响。就 Amazon Bedrock Guardrails 的行为和预期情况提供明确的指导。