Configura le politiche di accesso ai dati per la tua knowledge base Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Configura le configurazioni di sicurezza per la tua knowledge base

Dopo aver creato una knowledge base, potrebbe essere necessario configurare le seguenti configurazioni di sicurezza:

Argomenti

Configura le politiche di accesso ai dati per la tua knowledge base
Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Configura le politiche di accesso ai dati per la tua knowledge base

Se utilizzi un ruolo personalizzato, configura le configurazioni di sicurezza per la knowledge base appena creata. Se consenti ad Amazon Bedrock di creare un ruolo di servizio per te, puoi saltare questo passaggio. Segui i passaggi nella scheda corrispondente al database che hai configurato.

Amazon OpenSearch Serverless

Per limitare l'accesso alla raccolta Amazon OpenSearch Serverless al ruolo di servizio della knowledge base, crea una policy di accesso ai dati. Puoi farlo nei seguenti modi:

Utilizza la console di Amazon OpenSearch Service seguendo i passaggi descritti in Creazione di politiche di accesso ai dati (console) nella Amazon OpenSearch Service Developer Guide.
Usa l' AWS API inviando una CreateAccessPolicyrichiesta con un endpoint OpenSearch Serverless. Per un AWS CLI esempio, consulta Creazione di politiche di accesso ai dati ()AWS CLI.

Utilizza la seguente politica di accesso ai dati, specificando la raccolta Amazon OpenSearch Serverless e il tuo ruolo di servizio:


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

Per integrare un Pinecone, Redis Enterprise Cloud, indice vettoriale MongoDB Atlas, allega la seguente politica basata sull'identità al ruolo del servizio della Knowledge Base per consentirgli di accedere al segreto per l'indice vettoriale. AWS Secrets Manager


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
            }
        }
    }]
}

Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Se utilizzi una raccolta privata Amazon OpenSearch Serverless per la tua knowledge base, è possibile accedervi solo tramite un endpoint AWS PrivateLink VPC. Puoi creare una raccolta Amazon OpenSearch Serverless privata quando configuri la tua raccolta vettoriale Amazon OpenSearch Serverless oppure puoi rendere privata una raccolta Amazon Serverless esistente (inclusa una raccolta Amazon OpenSearch Serverless creata per te dalla console Amazon Bedrock) quando configuri la politica di accesso alla rete.

Le seguenti risorse nell'Amazon OpenSearch Service Developer Guide ti aiuteranno a comprendere la configurazione richiesta per una raccolta Amazon OpenSearch Serverless privata:

Per ulteriori informazioni sulla configurazione di un endpoint VPC per una raccolta Amazon Serverless privata, consulta Accedere ad Amazon OpenSearch OpenSearch Serverless usando un endpoint di interfaccia ().AWS PrivateLink
Per ulteriori informazioni sulle politiche di accesso alla rete in Amazon OpenSearch Serverless, consulta Accesso alla rete per Amazon OpenSearch Serverless.

Per consentire a una knowledge base Amazon Bedrock di accedere a una raccolta Amazon OpenSearch Serverless privata, devi modificare la politica di accesso alla rete per la raccolta Amazon OpenSearch Serverless per consentire Amazon Bedrock come servizio di origine. Scegli la scheda relativa al metodo che preferisci, quindi segui i passaggi:

Console

Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/.
Dal riquadro di navigazione a sinistra, seleziona Raccolte. Quindi scegli la tua collezione.
Nella sezione Rete, seleziona la Politica associata.
Scegli Modifica.
Per Seleziona il metodo di definizione della politica, esegui una delle seguenti operazioni:
- Lascia Select policy definition method come Visual editor e configura le seguenti impostazioni nella sezione Rule 1:
  1. (Facoltativo) Nel campo Nome regola, inserisci un nome per la regola di accesso alla rete.
  2. In Accedi alle raccolte da, seleziona Privato (consigliato).
  3. Seleziona l'accesso privato al AWS servizio. Nella casella di testo, inseriscibedrock.amazonaws.com.
  4. Deseleziona Abilita l'accesso ai OpenSearch dashboard.
- Scegli JSON e incolla la seguente politica nell'editor JSON.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Scegli Aggiorna.

API

Per modificare la politica di accesso alla rete per la tua raccolta Amazon OpenSearch Serverless, procedi come segue:

Invia una GetSecurityPolicyrichiesta con un endpoint OpenSearch Serverless. Specificare name la policy e specificare l'typeas. network Prendere nota dell'ID policyVersion nella risposta.

Invia una UpdateSecurityPolicyrichiesta con un endpoint OpenSearch Serverless. Specificate almeno i seguenti campi:

Campo	Descrizione
nome	Il nome della policy
Versione della politica	Ti hanno `policyVersion` risposto dalla risposta. `GetSecurityPolicy`
tipo	Il tipo di policy di sicurezza. Specifica `network`.
policy	La politica da usare. Specificare il seguente oggetto JSON


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Per un AWS CLI esempio, vedete Creazione di politiche di accesso ai dati (AWS CLI).

Utilizza la console OpenSearch di Amazon Service seguendo la procedura descritta in Creazione di politiche di rete (console). Invece di creare una politica di rete, prendi nota della politica associata nella sottosezione Rete dei dettagli della raccolta.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Personalizza l'inserimento per un'origine dati

Sincronizza una fonte di dati