本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Bedrock 政策
<a name="orgs_manage_policies_bedrock"></a>

Amazon Bedrock 政策可讓您針對對 Amazon Bedrock 的所有模型推論呼叫，在組織結構中的任何元素中自動強制執行在 Amazon Bedrock Guardrails 中設定的保護措施。這樣就不需要為每個帳戶設定個別護欄。Amazon Bedrock Guardrails 提供可設定的保護措施，協助大規模安全地建置生成式 AI 應用程式，並針對各種基礎模型採用標準方法，包括：Amazon Bedrock 支援的模型、微調模型，以及在 Amazon Bedrock 外部託管的模型。

 AWS Organizations 中的 Amazon Bedrock 政策可讓您參考在管理帳戶中以 JSON 格式建立的護欄。您可以將任何政策連接至組織結構的必要元素，例如根、組織單位 (OUs) 和個別帳戶。 AWS 組織會套用繼承規則來結合政策，進而為每個帳戶產生有效的政策，以決定如何對生成式 AI 應用程式強制執行保護措施。

## 運作方式
<a name="bedrock-policies-how-it-works"></a>

Amazon Bedrock 政策可讓您控制跨多個帳戶在護欄內自動強制執行保護措施，讓您在所有或部分模型上強制執行護欄，以對 Amazon Bedrock 進行推論呼叫。您需要參考政策中適當護欄的特定版本，以符合組織的負責任 AI 要求。這是您護欄存在 AWS 的區域特有的，而且您需要針對您想要強制執行安全控制的每個 AWS 區域擁有不同的護欄。然後，您可以將此政策連接到組織的任何節點，該節點下方的帳戶會自動繼承這些保護措施，並套用於對 Amazon Bedrock 的每個模型調用。

Amazon Bedrock 政策可協助您確保整個組織的安全控制一致，並提供集中式方法來大規模安全地建置生成式 AI 應用程式。

# Amazon Bedrock 政策入門
<a name="orgs_manage_policies_bedrock_getting_started"></a>

設定 Amazon Bedrock 政策之前，請確定您了解先決條件和實作需求。本主題會引導您在組織中設定和管理這些政策的程序。

## 開始之前
<a name="bedrock_getting_started-before-begin"></a>

在實作 Amazon Bedrock 政策之前，請檢閱下列要求：
+ 您的帳戶必須是 AWS 組織的一部分
+ 您必須以下列其中一種身分登入：
  + 組織的管理帳戶
  + 具有管理 Amazon Bedrock 政策許可的委派管理員帳戶
+ 您必須在組織的根目錄中啟用 Amazon Bedrock 政策類型

## 實作步驟
<a name="bedrock_getting_started-implementation"></a>

若要有效實作 Amazon Bedrock 政策，請依照下列步驟依序執行。每個步驟可確保適當的組態，並有助於防止設定期間的常見問題。管理帳戶或委派管理員可以透過 AWS Organizations 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS SDKs執行這些步驟。

1. [為您的組織啟用 Amazon Bedrock 政策](enable-policy-type.md)。

1. [建立 Amazon Bedrock 政策](orgs_manage_policies_bedrock_syntax.md)。

1. [將 Amazon Bedrock 政策連接至組織的根、OU 或帳戶](orgs_policies_attach.md)。

1. [檢視套用至 帳戶的合併有效 Amazon Bedrock 政策](orgs_manage_policies_effective.md)。

# 使用 Amazon Bedrock 政策的最佳實務
<a name="orgs_manage_policies_bedrock_best_practices"></a>

## 使用有效的護欄識別符
<a name="use-valid-guardrail-identifier"></a>

不正確或格式不正確的識別符會導致目標組織的所有 Amazon Bedrock API 呼叫失敗。[監控 CloudTrail 是否有無效的有效政策提醒，以快速偵測錯誤設定](https://docs.aws.amazon.com/organizations/latest/userguide/invalid-policy-alerts.html)。

## 排除自動推理政策
<a name="exclude-automated-reasoning-policies"></a>

組織層級強制執行不支援包含自動推理政策的護欄。確認您選取的 Amazon Bedrock Guardrail 不包含一個。

## 授予必要的 IAM 許可
<a name="grant-necessary-iam-permissions"></a>

使用 [Amazon Bedrock Guardrails 資源型政策](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-resource-based-policies.html)，授予組織及其成員帳戶在執行時間評估強制執行護欄的許可。

## 檢閱 Guardrails 的 Amazon Bedrock Service 限制
<a name="review-service-limits"></a>

使用 Amazon Bedrock 政策的成員帳戶呼叫將計入成員的服務Service Quotas。檢閱 Service Quotas 主控台，並確保您的 Guardrails 執行時間限制足以容納您的通話量。

## 從小開始，然後擴展
<a name="start-small-scale"></a>

將您的政策連接到幾個帳戶以啟動，確保以您預期的方式套用政策。請務必測試 Guardrail 許可是否已設定為允許跨帳戶存取。

## 使用 DescribeEffectivePolicy 驗證 Amazon Bedrock 政策的變更
<a name="validate-policy-changes-bedrock"></a>

變更 Amazon Bedrock 政策後，請檢查您進行變更之層級下代表帳戶的有效政策。您可以使用 AWS 管理主控台，或使用 `DescribeEffectivePolicy` API 操作或其中一個 CLI AWS 或 AWS SDK 變體來檢視有效政策。請確定您所做的變更對有效政策產生預期的影響。

## 通訊和訓練
<a name="communicate-and-train-bedrock"></a>

確保您的組織了解 Amazon Bedrock 政策的目的和影響。提供有關 Amazon Bedrock Guardrails 行為和預期事項的明確指導。

# Amazon Bedrock 政策語法和範例
<a name="orgs_manage_policies_bedrock_syntax"></a>

Amazon Bedrock 政策是根據 JSON 規則建構的純文字檔案。Amazon Bedrock 政策的語法遵循所有管理政策類型的語法。如需詳細資訊，請參閱 [管理政策類型的政策語法和繼承](orgs_manage_policies_inheritance_mgmt.md)。本主題著重於將該一般語法套用至 Amazon Bedrock 政策類型的特定需求。

下列 Amazon Bedrock 政策範例顯示基本 Amazon Bedrock 政策語法：

```
{
    "bedrock": {
        "guardrail_inference": {
            "us-east-1": {
                "config_1": {
                    "identifier": {
                        "@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/hu1dlsv9wy1d:1"
                    },
                    "selective_content_guarding": {
                        "system": {
                            "@@assign": "selective"
                        },
                        "messages": {
                            "@@assign": "comprehensive"
                        }
                    },
                    "model_enforcement": {
                        "included_models": {
                            "@@assign": ["ALL"]
                        },
                        "excluded_models": {
                            "@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
                        }
                    }
                }
            }
        }
    }
}
```

## Amazon Bedrock 政策語法包含下列元素
<a name="bedrock-policy-components"></a>

`"bedrock"`  
Amazon Bedrock 政策文件的最上層金鑰。

`"guardrail_inference"`  
定義護欄強制執行組態。

`<region>`  
將強制執行政策的區域。例如 `"us-east-1"`。

`"config_1"`  
護欄設定的組態識別符。

`"identifier"` (必要)  
護欄 ARN，後面接著 Guardrail `:version`版本。  
+ 護欄必須由 管理帳戶擁有。您無法從另一個帳戶使用 Guardrail 建立政策。
+ 護欄必須具有版本，且該版本不能為 DRAFT。若要建立護欄版本，請參閱《Amazon Bedrock 使用者指南》中的[建立護欄版本](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-versions-create.html)。
+ 護欄必須具有資源型政策，允許組織成員呼叫 `ApplyGuardrail`。
+ Guardrail 必須在指定的區域中建立和使用。

`"selective_content_guarding"` (選用)  
Amazon Bedrock APIs在呼叫者希望護欄處理的輸入中標記特定內容。這些設定可讓強制執行者控制是否遵守發起人所做的內容標記決策。指定時，`"messages"`需要其中一個 `"system"`或 。

`"system"` (選用)  
選擇護欄將如何處理系統提示。未指定`comprehensive`時，預設為 。  
+ `"comprehensive"`：評估所有內容，無論護衛內容標籤為何。
+ `"selective"`：僅評估防護內容標籤中的內容。未指定標籤時， 不會評估任何內容。

`"messages"` (選用)  
選擇護欄如何處理使用者和助理對話的訊息內容。未指定`comprehensive`時，預設為 。  
+ `"comprehensive"`：評估所有內容，無論護衛內容標籤為何。
+ `"selective"`：僅評估防護內容標籤中的內容。未指定標籤時，評估訊息中的所有內容。

`"model_enforcement"` (選用)  
強制執行護欄組態的模型特定資訊。如果不存在，則會在所有模型上強制執行組態。

`"included_models"` (必要)  
要強制執行護欄的模型清單。空白時， 會將強制執行套用至所有模型。也接受關鍵字「ALL」以明確包含所有模型。

`"excluded_models"` (必要)  
要排除護欄強制執行的模型。空白時， 不會將任何模型排除在強制執行之外。如果包含和排除的模型清單中都存在模型，則會排除該模型。