Configuraciones de seguridad para la base de conocimientos

Modo de enfoque

Configuraciones de seguridad para la base de conocimientos - Amazon Bedrock

Configuración de políticas de acceso a datos para la base de conocimientos Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless

Después de crear una base de conocimientos, es posible que tenga que configurar los siguientes ajustes de seguridad:

Temas

Configuración de políticas de acceso a datos para la base de conocimientos
Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless

Configuración de políticas de acceso a datos para la base de conocimientos

Si utiliza un rol personalizado, establezca las configuraciones de seguridad para la base de conocimientos recién creada. Si permite que Amazon Bedrock cree un rol de servicio para usted, puede omitir este paso. Siga los pasos de la pestaña correspondiente a la base de datos que configuró.

Amazon OpenSearch Serverless

Para restringir el acceso a la colección Amazon OpenSearch Serverless a la función de servicio de la base de conocimientos, cree una política de acceso a los datos. Puede hacerlo de las siguientes maneras:

Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en Creación de políticas de acceso a datos (consola) en la Guía para desarrolladores de Amazon OpenSearch Service.
Usa la AWS API enviando una CreateAccessPolicysolicitud con un punto final OpenSearch sin servidor. Para ver un AWS CLI ejemplo, consulte Creación de políticas de acceso a datos (AWS CLI).

Utilice la siguiente política de acceso a datos, especificando la recopilación de Amazon OpenSearch Serverless y su función de servicio:


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

Para integrar un Pinecone, Redis Enterprise Cloud, índice vectorial de MongoDB Atlas, adjunte la siguiente política basada en la identidad a su rol de servicio de la base de conocimientos para permitirle acceder al secreto AWS Secrets Manager del índice vectorial.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
            }
        }
    }]
}

anchor anchor

Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en Creación de políticas de acceso a datos (consola) en la Guía para desarrolladores de Amazon OpenSearch Service.
Usa la AWS API enviando una CreateAccessPolicysolicitud con un punto final OpenSearch sin servidor. Para ver un AWS CLI ejemplo, consulte Creación de políticas de acceso a datos (AWS CLI).

Utilice la siguiente política de acceso a datos, especificando la recopilación de Amazon OpenSearch Serverless y su función de servicio:


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless

Si utiliza una colección privada de Amazon OpenSearch Serverless para su base de conocimientos, solo podrá acceder a ella a través de un punto de enlace de AWS PrivateLink VPC. Puede crear una colección privada de Amazon OpenSearch Serverless al configurar su colección vectorial de Amazon OpenSearch Serverless o puede hacer que una colección Amazon OpenSearch Serverless existente (incluida una que la consola de Amazon Bedrock haya creado para usted) sea privada al configurar su política de acceso a la red.

Los siguientes recursos de la Guía para desarrolladores de Amazon OpenSearch Service le ayudarán a comprender la configuración necesaria para las colecciones privadas de Amazon OpenSearch Serverless:

Para obtener más información sobre la configuración de un punto de enlace de VPC para una colección privada de Amazon OpenSearch Serverless, consulte Acceder a Amazon OpenSearch Serverless mediante un punto de enlace de interfaz ().AWS PrivateLink
Para obtener más información sobre las políticas de acceso a la red en Amazon OpenSearch Serverless, consulte Acceso a la red para Amazon OpenSearch Serverless.

Para permitir que una base de conocimiento de Amazon Bedrock acceda a una colección privada de Amazon OpenSearch Serverless, debe editar la política de acceso a la red de la colección Amazon OpenSearch Serverless para permitir que Amazon Bedrock sea un servicio de origen. Elija la pestaña del método que prefiera y, a continuación, siga los pasos:

Console

Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/.
En el panel de navegación de la izquierda, seleccione Colecciones. A continuación, elija su colección.
En la sección Red, seleccione Política asociada.
Elija Editar.
Para Seleccionar método de definición de política, realice una de las siguientes acciones:
- Deje Seleccionar método de definición de política como Editor visual y configure los siguientes ajustes en la sección Regla 1:
  1. (Opcional) En el campo Nombre de la regla, introduzca un nombre para la regla de acceso a la red.
  2. En Obtener acceso a las colecciones desde, seleccione Privado (recomendado).
  3. Seleccione Acceso privado a los servicios de AWS . Escriba bedrock.amazonaws.com en el cuadro de texto.
  4. Anule la selección de Habilitar el acceso a los OpenSearch paneles de control.
- Elija JSON y pegue la siguiente política en el Editor JSON.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Elija Actualizar.

API

Para editar la política de acceso a la red de su colección de Amazon OpenSearch Serverless, haga lo siguiente:

Envíe una GetSecurityPolicysolicitud con un punto final OpenSearch sin servidor. Especifique el name de la política y el type como network. Tenga en cuenta los policyVersion en la respuesta.

Envíe una UpdateSecurityPolicysolicitud con un punto final OpenSearch sin servidor. Debe especificar al menos los siguientes campos:

Campo	Descripción
name	El nombre de la política
policyVersion	Es la `policyVersion` devuelta por la respuesta de `GetSecurityPolicy`.
type	El tipo de política de seguridad. Especifique `network`.
policy	Es la política que se debe utilizar. Especifique el siguiente objeto JSON.


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Para ver un AWS CLI ejemplo, consulte Creación de políticas de acceso a datos (AWS CLI).

anchor anchor

Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/.
En el panel de navegación de la izquierda, seleccione Colecciones. A continuación, elija su colección.
En la sección Red, seleccione Política asociada.
Elija Editar.
Para Seleccionar método de definición de política, realice una de las siguientes acciones:
- Deje Seleccionar método de definición de política como Editor visual y configure los siguientes ajustes en la sección Regla 1:
  1. (Opcional) En el campo Nombre de la regla, introduzca un nombre para la regla de acceso a la red.
  2. En Obtener acceso a las colecciones desde, seleccione Privado (recomendado).
  3. Seleccione Acceso privado a los servicios de AWS . Escriba bedrock.amazonaws.com en el cuadro de texto.
  4. Anule la selección de Habilitar el acceso a los OpenSearch paneles de control.
- Elija JSON y pegue la siguiente política en el Editor JSON.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Elija Actualizar.

Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en Creación de políticas de red (consola). En lugar de crear una política de red, tome nota de la política asociada de la subsección Red en los detalles de la colección.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Personalice la ingesta de una fuente de datos

Sincronización de un origen de datos

En esta página

Seleccione sus preferencias de cookies

Personalizar preferencias de cookies

Esenciales

De rendimiento

Funcionales

De publicidad

No se pueden guardar las preferencias de cookies

Configuraciones de seguridad para la base de conocimientos

Temas

Configuración de políticas de acceso a datos para la base de conocimientos

Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless

En esta página

Related resources

¿Le ha servido de ayuda esta página?

Related resources

Tema siguiente:

Tema anterior:

¿Necesita ayuda?