Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie Sicherheitskonfigurationen für Ihre Wissensdatenbank ein
Nachdem Sie eine Wissensdatenbank erstellt haben, müssen Sie möglicherweise die folgenden Sicherheitskonfigurationen einrichten:
Richten Sie Datenzugriffsrichtlinien für Ihre Wissensdatenbank ein
Wenn Sie eine benutzerdefinierte Rolle verwenden, richten Sie Sicherheitskonfigurationen für Ihre neu erstellte Wissensdatenbank ein. Wenn Sie Amazon Bedrock eine Servicerolle für Sie erstellen lassen, können Sie diesen Schritt überspringen. Folgen Sie den Schritten auf der Registerkarte, die der Datenbank entspricht, die Sie eingerichtet haben.
- Amazon OpenSearch Serverless
-
Um den Zugriff auf die Amazon OpenSearch Serverless-Sammlung auf die Knowledge-Base-Servicerolle zu beschränken, erstellen Sie eine Datenzugriffsrichtlinie. Sie können dies auf folgende Weise tun:
Verwenden Sie die folgende Datenzugriffsrichtlinie, in der Sie die Amazon OpenSearch Serverless-Sammlung und Ihre Servicerolle angeben:
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Pinecone, Redis Enterprise Cloud or MongoDB Atlas
-
Um ein zu integrieren Pinecone, Redis Enterprise Cloud, MongoDB Atlas Vector Index, fügen Sie Ihrer Wissensdatenbank-Servicerolle die folgende identitätsbasierte Richtlinie hinzu, damit sie auf das AWS Secrets Manager Geheimnis für den Vektorindex zugreifen kann.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
}
}
}]
}
Richten Sie Netzwerkzugriffsrichtlinien für Ihre Amazon OpenSearch Serverless-Wissensdatenbank ein
Wenn Sie eine private Amazon OpenSearch Serverless-Sammlung für Ihre Wissensdatenbank verwenden, kann nur über einen AWS PrivateLink VPC-Endpunkt darauf zugegriffen werden. Sie können eine private Amazon OpenSearch Serverless-Sammlung erstellen, wenn Sie Ihre Amazon OpenSearch Serverless-Vektorsammlung einrichten, oder Sie können eine bestehende Amazon OpenSearch Serverless-Sammlung (einschließlich einer, die von der Amazon Bedrock-Konsole für Sie erstellt wurde) privat machen, wenn Sie deren Netzwerkzugriffsrichtlinie konfigurieren.
Die folgenden Ressourcen im Amazon OpenSearch Service Developer Guide helfen Ihnen dabei, die Einrichtung zu verstehen, die für private Amazon OpenSearch Serverless-Sammlungen erforderlich ist:
Um einer Amazon Bedrock-Wissensdatenbank den Zugriff auf eine private Amazon OpenSearch Serverless-Sammlung zu ermöglichen, müssen Sie die Netzwerkzugriffsrichtlinie für die Amazon OpenSearch Serverless-Sammlung bearbeiten, um Amazon Bedrock als Quellservice zuzulassen. Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:
- Console
-
-
Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/.
-
Wählen Sie im linken Navigationsbereich Sammlungen aus. Wählen Sie dann Ihre Sammlung aus.
-
Wählen Sie im Bereich Netzwerk die zugehörige Richtlinie aus.
-
Wählen Sie Edit (Bearbeiten) aus.
-
Führen Sie unter Methode zur Richtliniendefinition auswählen einen der folgenden Schritte aus:
-
Belassen Sie die Option Methode zur Richtliniendefinition auswählen auf Visueller Editor und konfigurieren Sie die folgenden Einstellungen im Abschnitt Regel 1:
-
(Optional) Geben Sie im Feld Regelname einen Namen für die Netzwerkzugriffsregel ein.
-
Wählen Sie unter Zugriff auf Sammlungen von die Option Privat (empfohlen) aus.
-
Wählen Sie AWS Dienst mit privatem Zugriff aus. Geben Sie in das Textfeld einbedrock.amazonaws.com.
-
Deaktivieren Sie die Option Zugriff auf OpenSearch Dashboards aktivieren.
-
Wählen Sie JSON und fügen Sie die folgende Richtlinie in den JSON-Editor ein.
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
Wählen Sie Aktualisieren.
- API
-
Gehen Sie wie folgt vor, um die Netzwerkzugriffsrichtlinie für OpenSearch Ihre Amazon Serverless-Sammlung zu bearbeiten:
-
Senden Sie eine GetSecurityPolicyAnfrage mit einem OpenSearch serverlosen Endpunkt. Geben Sie den Typ name der Richtlinie an und geben Sie den Namen type als network an. Beachten Sie die policyVersion in der Antwort.
-
Senden Sie eine UpdateSecurityPolicyAnfrage mit einem OpenSearch serverlosen Endpunkt. Geben Sie mindestens die folgenden Felder an:
| Feld |
Beschreibung |
| name |
Der Name der Richtlinie. |
| Version der Richtlinie |
Die ist von der GetSecurityPolicy Antwort zu Ihnen policyVersion zurückgekehrt. |
| Typ |
Der Typ der Sicherheitsrichtlinie. Geben Sie an network. |
| policy |
Die zu verwendende Richtlinie. Geben Sie das folgende JSON-Objekt an |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
Ein AWS CLI Beispiel finden Sie unter Datenzugriffsrichtlinien erstellen (AWS CLI).
-
Verwenden Sie die Amazon OpenSearch Service-Konsole, indem Sie den Schritten unter Netzwerkrichtlinien erstellen (Konsole) folgen. Anstatt eine Netzwerkrichtlinie zu erstellen, notieren Sie sich die zugehörige Richtlinie im Unterabschnitt Netzwerk der Erfassungsdetails.
