本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon Bedrock 政策的最佳實務
<a name="orgs_manage_policies_bedrock_best_practices"></a>

## 使用有效的護欄識別符
<a name="use-valid-guardrail-identifier"></a>

不正確或格式不正確的識別符會導致目標組織的所有 Amazon Bedrock API 呼叫失敗。[監控 CloudTrail 是否有無效的有效政策提醒，以快速偵測錯誤設定](https://docs.aws.amazon.com/organizations/latest/userguide/invalid-policy-alerts.html)。

## 排除自動推理政策
<a name="exclude-automated-reasoning-policies"></a>

組織層級強制執行不支援包含自動推理政策的護欄。確認您選取的 Amazon Bedrock Guardrail 不包含一個。

## 授予必要的 IAM 許可
<a name="grant-necessary-iam-permissions"></a>

使用 [Amazon Bedrock Guardrails 資源型政策](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-resource-based-policies.html)，授予組織及其成員帳戶在執行時間評估強制執行護欄的許可。

## 檢閱 Guardrails 的 Amazon Bedrock Service 限制
<a name="review-service-limits"></a>

使用 Amazon Bedrock 政策的成員帳戶呼叫將計入成員的服務Service Quotas。檢閱 Service Quotas 主控台，並確保您的 Guardrails 執行時間限制足以容納您的通話量。

## 從小開始，然後擴展
<a name="start-small-scale"></a>

將您的政策連接到幾個帳戶以啟動，確保以您預期的方式套用政策。請務必測試 Guardrail 許可是否已設定為允許跨帳戶存取。

## 使用 DescribeEffectivePolicy 驗證 Amazon Bedrock 政策的變更
<a name="validate-policy-changes-bedrock"></a>

變更 Amazon Bedrock 政策後，請檢查您進行變更之層級下代表帳戶的有效政策。您可以使用 AWS 管理主控台，或使用 `DescribeEffectivePolicy` API 操作或其中一個 CLI AWS 或 AWS SDK 變體來檢視有效政策。請確定您所做的變更對有效政策產生預期的影響。

## 通訊和訓練
<a name="communicate-and-train-bedrock"></a>

確保您的組織了解 Amazon Bedrock 政策的目的和影響。提供有關 Amazon Bedrock Guardrails 行為和預期事項的明確指導。