Configure las configuraciones de seguridad para su base de conocimientos

Cree una base de conocimientos de Amazon Bedrock

Puede crear una base de conocimientos de Amazon Bedrock para recuperar información de sus datos propietarios y generar respuestas para responder a las preguntas en lenguaje natural. Como parte de la creación de una base de conocimientos, debe configurar una fuente de datos y un almacén vectorial de su elección.

nota

No puede crear una base de conocimientos con un usuario root. Inicie sesión con un IAM usuario antes de iniciar estos pasos.

Seleccione la pestaña correspondiente al método que prefiera y siga los pasos:

Console

Creación de una base de conocimientos

Inicie sesión en el AWS Management Console uso de un IAMrol con los permisos de Amazon Bedrock y abra la consola de Amazon Bedrock en. https://console.aws.amazon.com/bedrock/
En el panel de navegación izquierdo, seleccione Bases de conocimiento.
En la sección Bases de conocimiento, selecciona Crear base de conocimiento.
En la página Proporcionar detalles de la base de conocimientos, configure las siguientes configuraciones:
1. (Opcional) En la sección de detalles de la base de conocimientos, cambie el nombre predeterminado y proporcione una descripción de la base de conocimientos.
2. En la sección de IAMpermisos, elija un rol AWS Identity and Access Management (IAM) que otorgue permiso a Amazon Bedrock para acceder a otros AWS servicios. Puede dejar que Amazon Bedrock cree el rol de servicio o elegir un rol personalizado que haya creado.
3. (Opcional) Añada etiquetas a su base de conocimientos. Para obtener más información, consulte Etiquetado de los recursos de Amazon Bedrock.
4. Seleccione Siguiente.
En la página Elegir fuente de datos, seleccione la fuente de datos que desee utilizar en la base de conocimientos:
1. Siga los pasos de configuración de la conexión para la fuente de datos seleccionada. Consulte Fuentes de datos compatibles para seleccionar la fuente de datos y siga los pasos de configuración de la conexión de la consola.
2. (Opcional) Para configurar los siguientes ajustes avanzados como parte de la configuración de la fuente de datos, amplíe la sección Configuración avanzada: opcional.
  
  Para KMS key la configuración, puede elegir una clave personalizada o utilizar la clave de cifrado de datos proporcionada por defecto.
  
  Al convertir sus datos en incrustaciones, Amazon Bedrock cifra los datos transitorios con una clave que AWS posee y administra, de forma predeterminada. Puedes usar tu propia clave. KMS Para obtener más información, consulte Cifrado del almacenamiento de datos transitorios durante la ingesta de datos.
  
  Para configurar la política de eliminación de datos, puede elegir una de las siguientes opciones:
  - Eliminar: elimina todos los datos de la fuente de datos que se convierten en incrustaciones vectoriales al eliminar una base de conocimientos o un recurso de fuente de datos. Tenga en cuenta que el almacén de vectores en sí no se elimina, solo se eliminan los datos. Este indicador se ignora si se elimina una AWS cuenta.
  - Conservar: conserva todos los datos de la fuente de datos que se convierten en incrustaciones vectoriales al eliminar una base de conocimientos o un recurso de fuente de datos. Tenga en cuenta que el almacén de vectores en sí no se elimina si elimina una base de conocimientos o un recurso de fuente de datos.
3. Para configurar los siguientes ajustes de fragmentación y análisis de contenido como parte de la configuración de la fuente de datos, vaya a la sección de fragmentación y análisis de contenido.
  
  Elige una de las siguientes opciones de fragmentación:
  - Fragmentación de tamaño fijo: el contenido se divide en fragmentos de texto del tamaño aproximado que hayas establecido. Puedes establecer el número máximo de fichas que no debe superar un fragmento y el porcentaje de superposición entre fragmentos consecutivos.
  - Fragmentación predeterminada: el contenido se divide en fragmentos de texto de hasta 300 fichas. Si un solo documento o contenido contiene menos de 300 fichas, el documento no se divide más.
  - Fragmentación jerárquica: contenido organizado en estructuras anidadas de fragmentos principales e secundarios. Usted establece el tamaño máximo del token del fragmento principal y el tamaño máximo del token del fragmento secundario. También ha establecido el número absoluto de fichas superpuestas entre los fragmentos principales consecutivos y los fragmentos secundarios consecutivos.
  - Fragmentación semántica: contenido organizado en fragmentos de texto o grupos de oraciones semánticamente similares. Establece el número máximo de oraciones que rodean a la oración objetiva/actual para agruparlas (tamaño del búfer). También estableces el umbral del percentil del punto de interrupción para dividir el texto en fragmentos significativos. La fragmentación semántica utiliza un modelo básico. Consulte Amazon Bedrock los precios para obtener información sobre el costo de los modelos básicos.
  - Sin fragmentación: cada documento se trata como un único fragmento de texto. Es posible que desee preprocesar los documentos dividiéndolos en archivos separados.
  nota
  No puede cambiar la estrategia de fragmentación después de haber creado la fuente de datos.
  
  Puede optar por utilizar el modelo Amazon Bedrock básico para analizar los documentos y analizar más que el texto estándar. Puede analizar los datos tabulares de los documentos con su estructura intacta, por ejemplo. Consulte Amazon Bedrock los precios para obtener información sobre el costo de los modelos de base.
  
  Puede optar por utilizar una AWS Lambda función para personalizar su estrategia de fragmentación y la forma en que se tratan e ingieren los atributos/campos de los metadatos del documento. Proporcione la ubicación del Amazon S3 depósito para la entrada y la salida de la función Lambda.
4. Seleccione Siguiente.
En la página Seleccione el modelo de incrustaciones y configure el almacén de vectores, elija un modelo de incrustaciones compatible para convertir los datos en incrustaciones vectoriales para la base de conocimientos.
En la sección Almacén de vectores, elija una de las siguientes opciones para almacenar las incrustaciones vectoriales para su base de conocimientos:
- Cree rápidamente una nueva tienda de vectores: Amazon Bedrock crea una colección de búsquedas vectoriales de Amazon OpenSearch Serverless para usted. Con esta opción, se configuran automáticamente una colección pública de búsqueda vectorial y un índice vectorial con los campos y las configuraciones necesarios. Una vez creada la colección, puede administrarla en la consola de Amazon OpenSearch Serverless o a través de AWS API. Para obtener más información, consulta Cómo trabajar con colecciones de búsquedas vectoriales en la Guía para desarrolladores de Amazon OpenSearch Service. Si seleccionas esta opción, también puedes habilitar los siguientes ajustes:
  1. Para habilitar las réplicas activas redundantes, de forma que la disponibilidad del almacén vectorial no se vea comprometida en caso de que se produzca un fallo en la infraestructura, seleccione Habilitar la redundancia (réplicas activas).
    
    nota
    Le recomendamos que deje esta opción desactivada mientras pone a prueba su base de conocimientos. Cuando esté listo para la implementación en producción, le recomendamos que habilite las réplicas activas redundantes. Para obtener información sobre los precios, consulte Precios de Serverless OpenSearch
  2. Para cifrar el almacén vectorial automatizado con una clave gestionada por el cliente, seleccione Añadir clave gestionada por el cliente KMS para el vector Amazon OpenSearch Serverless (opcional) y elija la clave. Para obtener más información, consulte Cifrado de la información transferida a Amazon OpenSearch Service.
- Seleccione un almacén vectorial que haya creado: seleccione el servicio para el almacén vectorial que ya ha creado. Rellene los campos para permitir que Amazon Bedrock asigne información de la base de conocimientos a su almacén de vectores, de modo que pueda almacenar, actualizar y gestionar las incrustaciones de vectores. Para obtener más información sobre los campos, consulte Configurar su propio almacén de vectores compatible.
  
  nota
  Si utiliza una base de datos en Amazon OpenSearch Serverless, Amazon Aurora o MongoDB Atlas, debe haber configurado previamente los campos de Field Mapping. Si utiliza una base de datos en Pinecone o Redis Enterprise Cloud, puede proporcionar los nombres de estos campos aquí y Amazon Bedrock los creará automáticamente de forma dinámica en la tienda de vectores.
Seleccione Siguiente.
En la página Revisar y crear, compruebe la configuración y los detalles de su base de conocimientos. Selecciona Editar en cualquier sección que necesites modificar. Cuando esté satisfecho, seleccione Crear base de conocimientos.
El tiempo que se tarda en crear la base de conocimientos depende de las configuraciones específicas. Una vez finalizada la creación de la base de conocimientos, el estado de la base de conocimientos cambia al estado de lista o disponible.

API

Para crear una base de conocimientos, envíe una CreateKnowledgeBasesolicitud con un terminal de tiempo de compilación de Agents for Amazon Bedrock e indique el nombre, la descripción, las instrucciones sobre lo que debe hacer y el modelo básico con el que debe organizarse.

nota

Si prefieres dejar que Amazon Bedrock cree y gestione una tienda de vectores para ti en Amazon OpenSearch Service, usa la consola. Para obtener más información, consulte Cree una base de conocimientos de Amazon Bedrock.

ARNOfrézcales permisos para crear una base de conocimientos sobre el roleArn terreno.
Proporcione el modelo de incrustaciones vectoriales para usarlo en el embeddingModelArn campo del objeto. knowledgeBaseConfiguration Consulte los modelos compatibles para ver las bases de conocimiento.

Debe habilitar el acceso a los modelos para usar un modelo que sea compatible con las bases de conocimiento. Toma nota del nombre de recurso de Amazon (ARN) de tu modelo, que es necesario para convertir tus datos en incrustaciones vectoriales. Copie el ID del modelo elegido para las bases de conocimiento y construya el modelo ARN utilizando el ID del modelo (recurso), siguiendo los ARNejemplos proporcionados para el tipo de recurso de su modelo.
Proporcione la configuración de su almacén vectorial en el objeto storageConfiguration. Para obtener más información, consulte Requisitos previos para su propia tienda de vectores para una base de conocimientos
- Para una base de datos de Amazon OpenSearch Service, usa el opensearchServerlessConfiguration objeto.
- Para un Pinecone base de datos, utilice el pineconeConfiguration objeto.
- Para un Redis Enterprise Cloud base de datos, utilice el redisEnterpriseCloudConfiguration objeto.
- Para una base de datos de Amazon Aurora, utilice el rdsConfiguration objeto.
- Para una base de datos Atlas de MongoDB, utilice el objeto. mongodbConfiguration

Tras crear una base de conocimientos, cree una fuente de datos que contenga los documentos o el contenido de la base de conocimientos. Para crear la fuente de datos, envíe una CreateDataSourcesolicitud. Consulte Fuentes de datos compatibles para seleccionar su fuente de datos y seguir el ejemplo de configuración de API conexión.

Proporcione la información de conexión de los archivos de la fuente de datos en el dataSourceConfiguration campo.
Especifique cómo dividir las fuentes de datos en el vectorIngestionConfiguration campo.

nota
No puede cambiar la configuración de fragmentación después de crear la fuente de datos.
Proporcione la dataDeletionPolicy para su fuente de datos. Puede utilizar DELETE todos los datos de su fuente de datos que se conviertan en incrustaciones vectoriales al eliminar una base de conocimientos o un recurso de fuente de datos. Esta marca se ignora si se elimina una AWS cuenta. Puede utilizar RETAIN todos los datos de su fuente de datos que se conviertan en incrustaciones vectoriales al eliminar una base de conocimientos o un recurso de fuente de datos. Tenga en cuenta que el almacén de vectores en sí no se elimina si elimina una base de conocimientos o un recurso de fuente de datos.
(Opcional) Al convertir sus datos en incrustaciones, Amazon Bedrock los cifra con una clave que AWS posee y administra, de forma predeterminada. Para usar su propia KMS clave, inclúyala en el objeto. serverSideEncryptionConfiguration Para obtener más información, consulte Cifrado de recursos de bases de conocimientos.

Configure las configuraciones de seguridad para su base de conocimientos

Después de crear una base de conocimientos, es posible que tenga que configurar las siguientes configuraciones de seguridad:

Temas

Configure políticas de acceso a los datos para su base de conocimientos
Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless

Configure políticas de acceso a los datos para su base de conocimientos

Si utiliza un rol personalizado, configure las configuraciones de seguridad para la base de conocimientos recién creada. Si permites que Amazon Bedrock cree un rol de servicio para ti, puedes saltarte este paso. Siga los pasos de la pestaña correspondiente a la base de datos que configuró.

Amazon OpenSearch Serverless

Para restringir el acceso a la colección Amazon OpenSearch Serverless a la función de servicio de la base de conocimientos, cree una política de acceso a los datos. Puede hacerlo de las siguientes maneras:

Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en Creación de políticas de acceso a datos (consola) en la Guía para desarrolladores de Amazon OpenSearch Service.
AWS APIUtilízala enviando una CreateAccessPolicysolicitud con un punto final OpenSearch sin servidor. Para ver un AWS CLI ejemplo, consulte Creación de políticas de acceso a datos (AWS CLI).

Utilice la siguiente política de acceso a datos, especificando la recopilación de Amazon OpenSearch Serverless y su función de servicio:


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

Para integrar un Pinecone, Redis Enterprise Cloud, índice vectorial de MongoDB Atlas, adjunte la siguiente política basada en la identidad a su rol de servicio de la base de conocimientos para permitirle acceder al secreto AWS Secrets Manager del índice vectorial.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
            }
        }
    }]
}

Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless

Si utiliza una colección privada de Amazon OpenSearch Serverless para su base de conocimientos, solo podrá acceder a ella a través de un AWS PrivateLink VPC punto de conexión. Puede crear una colección privada de Amazon OpenSearch Serverless al configurar su colección vectorial de Amazon OpenSearch Serverless o puede hacer que una colección Amazon OpenSearch Serverless existente (incluida una que la consola de Amazon Bedrock haya creado para usted) sea privada al configurar su política de acceso a la red.

Los siguientes recursos de la Guía para desarrolladores de Amazon OpenSearch Service le ayudarán a comprender la configuración necesaria para las colecciones privadas de Amazon OpenSearch Serverless:

Para obtener más información sobre la configuración de un VPC punto final para una colección privada de Amazon OpenSearch Serverless, consulte Acceder a Amazon OpenSearch Serverless mediante un punto de enlace de interfaz ()AWS PrivateLink.
Para obtener más información sobre las políticas de acceso a la red en Amazon OpenSearch Serverless, consulte Acceso a la red para Amazon OpenSearch Serverless.

Para permitir que una base de conocimiento de Amazon Bedrock acceda a una colección privada de Amazon OpenSearch Serverless, debe editar la política de acceso a la red de la colección Amazon OpenSearch Serverless para permitir que Amazon Bedrock sea un servicio de origen. Seleccione la pestaña correspondiente al método que prefiera y siga los pasos:

Console

Abre la consola OpenSearch de Amazon Service en https://console.aws.amazon.com/aos/.
En el panel de navegación izquierdo, selecciona Colecciones. A continuación, elige tu colección.
En la sección Red, selecciona la Política asociada.
Elija Editar.
Para seleccionar el método de definición de políticas, realice una de las siguientes acciones:
- Deje Seleccione el método de definición de políticas como editor visual y configure los siguientes ajustes en la sección Regla 1:
  1. (Opcional) En el campo Nombre de la regla, introduzca un nombre para la regla de acceso a la red.
  2. En Acceder a las colecciones desde, selecciona Privado (recomendado).
  3. Selecciona el AWS servicio de acceso privado. En el cuadro de texto, ingresabedrock.amazonaws.com.
  4. Anule la selección de Habilitar el acceso a los OpenSearch paneles de control.
- Elija JSONy pegue la siguiente política en el JSON editor.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            },
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Elija Actualizar.

API

Para editar la política de acceso a la red de su colección de Amazon OpenSearch Serverless, haga lo siguiente:

Envíe una GetSecurityPolicysolicitud con un punto final OpenSearch sin servidor. Especifique name la política y especifique el type asnetwork. Tenga en cuenta los policyVersion en la respuesta.

Envíe una UpdateSecurityPolicysolicitud con un punto final OpenSearch sin servidor. Como mínimo, especifique los siguientes campos:

Campo	Descripción
name (nombre)	El nombre de la política
policyVersion	Los que se le `policyVersion` devuelven de la `GetSecurityPolicy` respuesta.
type	El tipo de política de seguridad. Especifique `network`.
política	La política a utilizar. Especifique el siguiente JSON objeto


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            },
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Para ver un AWS CLI ejemplo, consulte Creación de políticas de acceso a datos (AWS CLI).

Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en Creación de políticas de red (consola). En lugar de crear una política de red, anota la política asociada en la subsección Red de los detalles de la colección.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos previos para usar tu propia tienda de vectores

Ver información sobre una base de conocimientos