Configurez des politiques d'accès aux données pour votre base de connaissances Configurez des politiques d'accès au réseau pour votre base de connaissances Amazon OpenSearch Serverless

Configurez des configurations de sécurité pour votre base de connaissances

Après avoir créé une base de connaissances, vous devrez peut-être configurer les configurations de sécurité suivantes :

Rubriques

Configurez des politiques d'accès aux données pour votre base de connaissances
Configurez des politiques d'accès au réseau pour votre base de connaissances Amazon OpenSearch Serverless

Configurez des politiques d'accès aux données pour votre base de connaissances

Si vous utilisez un rôle personnalisé, configurez des configurations de sécurité pour votre nouvelle base de connaissances. Si vous autorisez Amazon Bedrock à créer un rôle de service pour vous, vous pouvez ignorer cette étape. Suivez les étapes indiquées dans l’onglet correspondant à la base de données que vous avez configurée.

Amazon OpenSearch Serverless

Pour restreindre l'accès à la collection Amazon OpenSearch Serverless au rôle de service de base de connaissances, créez une politique d'accès aux données. Vous pouvez le faire de différentes manières :

Utilisez la console Amazon OpenSearch Service en suivant les étapes décrites dans la section Création de politiques d'accès aux données (console) dans le manuel Amazon OpenSearch Service Developer Guide.
Utilisez le AWS API en envoyant une CreateAccessPolicydemande avec un point de terminaison OpenSearch sans serveur. Pour un AWS CLI exemple, voir Création de politiques d'accès aux données (AWS CLI).

Appliquez la politique d'accès aux données suivante, en spécifiant la collection Amazon OpenSearch Serverless et votre rôle de service :


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

Pour intégrer un Pinecone, Redis Enterprise Cloud, index vectoriel MongoDB Atlas, associez la politique d'identité suivante à votre rôle de service de base de connaissances pour lui permettre d'accéder au AWS Secrets Manager secret de l'index vectoriel.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
            }
        }
    }]
}

Configurez des politiques d'accès au réseau pour votre base de connaissances Amazon OpenSearch Serverless

Si vous utilisez une collection Amazon OpenSearch Serverless privée pour votre base de connaissances, elle n'est accessible que via un AWS PrivateLink VPC point de terminaison. Vous pouvez créer une collection Amazon OpenSearch Serverless privée lorsque vous configurez votre collection vectorielle Amazon OpenSearch Serverless ou vous pouvez rendre privée une collection Amazon OpenSearch Serverless existante (y compris une collection créée pour vous par la console Amazon Bedrock) lorsque vous configurez sa politique d'accès au réseau.

Les ressources suivantes du manuel Amazon OpenSearch Service Developer Guide vous aideront à comprendre la configuration requise pour une collection Amazon OpenSearch Serverless privée :

Pour plus d'informations sur la configuration d'un VPC point de terminaison pour une collection privée Amazon OpenSearch Serverless, consultez Accéder à Amazon OpenSearch Serverless à l'aide d'un point de terminaison d'interface ()AWS PrivateLink.
Pour plus d'informations sur les politiques d'accès au réseau dans Amazon OpenSearch Serverless, consultez la section Accès réseau pour Amazon OpenSearch Serverless.

Pour autoriser une base de connaissances Amazon Bedrock à accéder à une collection privée Amazon OpenSearch Serverless, vous devez modifier la politique d'accès réseau de la collection Amazon OpenSearch Serverless afin d'autoriser Amazon Bedrock en tant que service source. Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console

Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.
Dans le volet de navigation de gauche, sélectionnez Collections. Choisissez ensuite votre collection.
Dans la section Réseau, sélectionnez la politique associée.
Choisissez Modifier.
Pour Sélectionner la méthode de définition des politiques, effectuez l'une des opérations suivantes :
- Laissez Select policy definition method comme éditeur visuel et configurez les paramètres suivants dans la section Règle 1 :
  1. (Facultatif) Dans le champ Nom de la règle, entrez le nom de la règle d'accès au réseau.
  2. Sous Accéder aux collections depuis, sélectionnez Privé (recommandé).
  3. Sélectionnez l'accès privé au AWS service. Dans la zone de texte, entrezbedrock.amazonaws.com.
  4. Désélectionnez Activer l'accès aux OpenSearch tableaux de bord.
- Choisissez JSONet collez la politique suivante dans l'JSONéditeur.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            },
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Choisissez Mettre à jour.

API

Pour modifier la politique d'accès au réseau pour votre collection Amazon OpenSearch Serverless, procédez comme suit :

Envoyez une GetSecurityPolicydemande avec un point de terminaison OpenSearch sans serveur. Spécifiez name la politique et spécifiez le type commenetwork. Notez le policyVersion dans la réponse.

Envoyez une UpdateSecurityPolicydemande avec un point de terminaison OpenSearch sans serveur. Spécifiez au minimum les champs suivants :

Champ	Description
name	Nom de la politique.
policyVersion	Ils vous ont été `policyVersion` renvoyés suite à la `GetSecurityPolicy` réponse.
type	Type de stratégie de sécurité. Spécifiez `network`.
politique	La politique à utiliser. Spécifiez l'JSONobjet suivant


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            },
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Pour un AWS CLI exemple, voir Création de politiques d'accès aux données (AWS CLI).

Utilisez la console Amazon OpenSearch Service en suivant les étapes de la section Création de politiques réseau (console). Au lieu de créer une politique réseau, notez la politique associée dans la sous-section Réseau des détails de la collecte.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Personnaliser l'ingestion pour une source de données

Synchroniser une source de données