Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Définition des configurations de sécurité pour votre base de connaissances
<a name="kb-create-security"></a>

Après avoir créé une base de connaissances, vous devrez peut-être définir les configurations de sécurité suivantes :

**Topics**
+ [

## Configuration de stratégies d’accès aux données pour votre base de connaissances
](#kb-create-security-data)
+ [

## Configurez des politiques d'accès réseau pour votre base de connaissances Amazon OpenSearch Serverless
](#kb-create-security-network)

## Configuration de stratégies d’accès aux données pour votre base de connaissances
<a name="kb-create-security-data"></a>

Si vous utilisez un [rôle personnalisé](kb-permissions.md), définissez des configurations de sécurité pour la base de connaissances que vous venez de créer. Si vous laissez Amazon Bedrock créer un rôle de service pour vous, vous pouvez ignorer cette étape. Suivez les étapes indiquées dans l’onglet correspondant à la base de données que vous avez configurée.

------
#### [ Amazon OpenSearch Serverless ]

Pour restreindre l'accès à la collection Amazon OpenSearch Serverless au rôle de service de base de connaissances, créez une politique d'accès aux données. Vous pouvez procéder de différentes manières :
+ Utilisez la console Amazon OpenSearch Service en suivant les étapes décrites dans la section [Création de politiques d'accès aux données (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console) dans le manuel Amazon OpenSearch Service Developer Guide.
+ Utilisez l'AWSAPI en envoyant une [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html)demande avec un point de [terminaison OpenSearch sans serveur](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Pour un AWS CLI exemple, voir [Création de politiques d'accès aux données (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).

Appliquez la politique d'accès aux données suivante, en spécifiant la collection Amazon OpenSearch Serverless et votre rôle de service :

```
[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]
```

------
#### [ Pinecone, Redis Enterprise Cloud or MongoDB Atlas ]

Pour intégrer un index vectoriel MongoDB Atlas PineconeRedis Enterprise Cloud, associez la politique d'identité suivante à votre rôle de service de base de connaissances afin de lui permettre d'accéder au AWS Secrets Manager secret de l'index vectoriel.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
            }
        }
    }]
}
```

------

------

## Configurez des politiques d'accès réseau pour votre base de connaissances Amazon OpenSearch Serverless
<a name="kb-create-security-network"></a>

Si vous utilisez une collection Amazon OpenSearch Serverless privée pour votre base de connaissances, elle n'est accessible que via un point de terminaison AWS PrivateLink VPC. Vous pouvez créer une collection Amazon OpenSearch Serverless privée lorsque vous [configurez votre collection vectorielle Amazon OpenSearch Serverless ou vous pouvez rendre privée une collection](knowledge-base-setup.md) Amazon OpenSearch Serverless existante (y compris une collection créée pour vous par la console Amazon Bedrock) lorsque vous configurez sa politique d'accès au réseau.

Les ressources suivantes du manuel Amazon OpenSearch Service Developer Guide vous aideront à comprendre la configuration requise pour une collection Amazon OpenSearch Serverless privée :
+ Pour plus d'informations sur la configuration d'un point de terminaison VPC pour une collection privée Amazon Serverless, consultez Accéder à Amazon OpenSearch Serverless à l'[aide d'un point de terminaison d'interface](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html) (). OpenSearch AWS PrivateLink
+ Pour plus d'informations sur les politiques d'accès au réseau dans Amazon OpenSearch Serverless, consultez la section [Accès réseau pour Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html).

Pour autoriser une base de connaissances Amazon Bedrock à accéder à une collection privée Amazon OpenSearch Serverless, vous devez modifier la politique d'accès réseau de la collection Amazon OpenSearch Serverless afin d'autoriser Amazon Bedrock en tant que service source. Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :

------
#### [ Console ]

1. Ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Dans le volet de navigation de gauche, sélectionnez **Collections**. Choisissez ensuite votre collection.

1. Dans la section **Réseau**, sélectionnez la **stratégie associée**.

1. Choisissez **Modifier**.

1. Pour **Sélectionner une méthode de définition de stratégie**, effectuez l’une des opérations suivantes :
   + Laissez **Sélectionner une méthode de définition de stratégie** comme **éditeur visuel** et configurez les paramètres suivants dans la section **Règle 1** :

     1. (Facultatif) Dans le champ **Nom de la règle**, saisissez un nom pour la règle d’accès réseau.

     1. Sous **Accéder aux collections à partir de**, sélectionnez **Privé (recommandé)**.

     1. Sélectionnez **Accès privé au service AWS**. Saisissez **bedrock.amazonaws.com** dans la zone de texte.

     1. Désélectionnez **Activer l'accès aux OpenSearch tableaux de bord**.
   + Choisissez **JSON**, puis collez la stratégie suivante dans l’**éditeur JSON**.

     ```
     [
         {                                        
             "AllowFromPublic": false,
             "Description":"${network access policy description}",
             "Rules":[
                 {
                     "ResourceType": "collection",
                     "Resource":[
                         "collection/${collection-id}"
                     ]
                 }
             ],
             "SourceServices":[
                 "bedrock.amazonaws.com"
             ]
         }
     ]
     ```

1. Choisissez **Mettre à jour**.

------
#### [ API ]

Pour modifier la politique d'accès au réseau de votre collection Amazon OpenSearch Serverless, procédez comme suit :

1. Envoyez une [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)demande avec un point de [terminaison OpenSearch sans serveur](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Renseignez `name` pour la stratégie, puis `network` comme `type`. Notez le `policyVersion` dans la réponse.

1. Envoyez une [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)demande avec un point de [terminaison OpenSearch sans serveur](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Spécifiez les champs suivants de façon minimale :  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/kb-create-security.html)

   ```
   [
       {                                        
           "AllowFromPublic": false,
           "Description":"${network access policy description}",
           "Rules":[
               {
                   "ResourceType": "collection",
                   "Resource":[
                       "collection/${collection-id}"
                   ]
               }
           ],
           "SourceServices":[
               "bedrock.amazonaws.com"
           ]
       }
   ]
   ```

Pour un AWS CLI exemple, voir [Création de politiques d'accès aux données (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).

------
+ Utilisez la console Amazon OpenSearch Service en suivant les étapes de la section [Création de politiques réseau (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console). Au lieu de créer une stratégie réseau, notez la **stratégie associée** dans la sous-section **Réseau** des détails de la collection.