Configura le configurazioni di sicurezza per la tua knowledge base

Crea una knowledge base Amazon Bedrock

Puoi creare una knowledge base Amazon Bedrock per recuperare informazioni dai tuoi dati proprietari e generare risposte per rispondere a domande in linguaggio naturale. Come parte della creazione di una knowledge base, configuri una fonte di dati e un archivio vettoriale a tua scelta.

Nota

Non è possibile creare una knowledge base con un utente root. Accedi con un IAM utente prima di iniziare questi passaggi.

Seleziona la scheda corrispondente al metodo scelto e segui i passaggi.

Console

Per creare una knowledge base

Accedi al AWS Management Console utilizzando un IAMruolo con autorizzazioni Amazon Bedrock e apri la console Amazon Bedrock all'indirizzo. https://console.aws.amazon.com/bedrock/
Dal riquadro di navigazione a sinistra, seleziona Knowledge base.
Nella sezione Knowledge base, seleziona Crea knowledge base.
Nella pagina Fornisci i dettagli della knowledge base, imposta le seguenti configurazioni:
1. (Facoltativo) Nella sezione Dettagli della Knowledge Base, modificare il nome predefinito e fornire una descrizione per la Knowledge Base.
2. Nella sezione IAMAutorizzazioni, scegli un AWS Identity and Access Management (IAM) ruolo che fornisce ad Amazon Bedrock l'autorizzazione ad accedere ad altri AWS servizi. Puoi lasciare che Amazon Bedrock crei il ruolo di servizio o scegliere un ruolo personalizzato che hai creato.
3. (Facoltativo) Aggiungi tag alla tua knowledge base. Per ulteriori informazioni, consulta Gestisci le risorse utilizzando i tag.
4. Seleziona Successivo.
Nella pagina Scegli l'origine dati, seleziona la fonte di dati da utilizzare per la knowledge base:
1. Segui i passaggi di configurazione della connessione per l'origine dati selezionata. Consulta Origini dati supportate per selezionare l'origine dati e segui i passaggi di configurazione della connessione alla console.
2. (Facoltativo) Per configurare le seguenti impostazioni avanzate come parte della configurazione dell'origine dati, espandi la sezione Impostazioni avanzate - opzionale.
  
  In KMS key impostazioni, puoi scegliere una chiave personalizzata o utilizzare la chiave di crittografia dei dati fornita di default.
  
  Durante la conversione dei dati in incorporamenti, Amazon Bedrock crittografa i dati transitori con una chiave che AWS possiede e gestisce, per impostazione predefinita. È possibile utilizzare la propria KMS chiave. Per ulteriori informazioni, consulta Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati.
  
  Per le impostazioni della politica di cancellazione dei dati, puoi scegliere tra:
  - Elimina: elimina tutti i dati dall'origine dati convertiti in incorporamenti vettoriali al momento dell'eliminazione di una knowledge base o di una risorsa di origine dati. Nota che l'archivio vettoriale stesso non viene eliminato, ma solo i dati. Questo flag viene ignorato se AWS l'account viene eliminato.
  - Conserva: conserva tutti i dati della fonte di dati convertiti in incorporamenti vettoriali dopo l'eliminazione di una knowledge base o di una risorsa di origine dati. Tieni presente che l'archivio vettoriale stesso non viene eliminato se elimini una knowledge base o una risorsa di origine dati.
3. Per configurare le seguenti impostazioni di suddivisione in blocchi e analisi dei contenuti come parte della configurazione dell'origine dati, vai alla sezione Suddivisione in suddivisioni e analisi dei contenuti.
  
  Scegli una delle seguenti opzioni di suddivisione in blocchi:
  - Suddivisione in blocchi a dimensione fissa: il contenuto è suddiviso in blocchi di testo della dimensione approssimativa del token impostata. È possibile impostare il numero massimo di token che non deve superare per ogni blocco e la percentuale di sovrapposizione tra blocchi consecutivi.
  - Suddivisione in blocchi predefinita: il contenuto è suddiviso in blocchi di testo composti da un massimo di 300 token. Se un singolo documento o contenuto contiene meno di 300 token, il documento non viene ulteriormente suddiviso.
  - Suddivisione gerarchica: contenuto organizzato in strutture annidate di blocchi padre-figlio. È possibile impostare la dimensione massima del token del blocco principale e la dimensione massima del token del blocco secondario. È inoltre possibile impostare il numero assoluto di token di sovrapposizione tra blocchi principali consecutivi e blocchi figlio consecutivi.
  - Suddivisione in blocchi semantici: contenuti organizzati in blocchi di testo o gruppi di frasi semanticamente simili. È possibile impostare il numero massimo di frasi che circondano la frase destinataria/corrente da raggruppare (dimensione del buffer). È inoltre possibile impostare la soglia percentile del punto di interruzione per dividere il testo in blocchi significativi. La suddivisione in blocchi semantici utilizza un modello di base. Visualizzazione di Amazon Bedrock prezzi per informazioni sul costo dei modelli di base.
  - Nessuna suddivisione in blocchi: ogni documento viene trattato come un unico blocco di testo. Potresti voler preelaborare i tuoi documenti suddividendoli in file separati.
  Nota
  Non puoi modificare la strategia di suddivisione in blocchi dopo aver creato la fonte di dati.
  
  Puoi scegliere di usare Amazon Bedrockè il modello base per l'analisi dei documenti in modo da analizzare più del testo standard. Ad esempio, è possibile analizzare i dati tabulari all'interno dei documenti con la loro struttura intatta. Visualizzazione di Amazon Bedrock prezzi per informazioni sul costo dei modelli di base.
  
  Puoi scegliere di utilizzare un AWS Lambda funzione per personalizzare la strategia di suddivisione in blocchi e il modo in cui gli attributi/campi dei metadati dei documenti vengono trattati e inseriti. Fornisci il Amazon S3 posizione del bucket per l'input e l'output della funzione Lambda.
4. Seleziona Avanti.
Nella pagina Seleziona il modello di incorporamento e configura l'archivio vettoriale, scegli un modello di incorporamento supportato per convertire i dati in incorporamenti vettoriali per la knowledge base.
Nella sezione Vector store, scegli una delle seguenti opzioni per memorizzare gli incorporamenti vettoriali per la tua knowledge base:
- Crea rapidamente un nuovo archivio vettoriale: Amazon Bedrock crea per te una raccolta di ricerche vettoriali Amazon OpenSearch Serverless. Con questa opzione, vengono configurati automaticamente una raccolta di ricerca vettoriale e un indice vettoriale pubblici con i campi richiesti e le configurazioni necessarie. Dopo aver creato la raccolta, puoi gestirla nella console Amazon OpenSearch Serverless o tramite AWS API. Per ulteriori informazioni, consulta Lavorare con le raccolte di ricerca vettoriale nella Amazon OpenSearch Service Developer Guide. Se selezioni questa opzione, puoi facoltativamente abilitare le seguenti impostazioni:
  1. Per abilitare le repliche attive ridondanti, in modo che la disponibilità del tuo archivio vettoriale non venga compromessa in caso di guasto dell'infrastruttura, seleziona Abilita ridondanza (repliche attive).
    
    Nota
    Ti consigliamo di lasciare questa opzione disabilitata durante il test della knowledge base. Quando sei pronto per la distribuzione in produzione, ti consigliamo di abilitare le repliche attive ridondanti. Per informazioni sui prezzi, consulta Pricing for Serverless OpenSearch
  2. Per crittografare l'archivio vettoriale automatizzato con una chiave gestita dal cliente, seleziona Aggiungi chiave gestita dal cliente KMS per Amazon OpenSearch Serverless vector (opzionale) e scegli la chiave. Per ulteriori informazioni, consulta Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service.
- Seleziona un archivio vettoriale che hai creato: seleziona il servizio per l'archivio vettoriale che hai già creato. Compila i campi per consentire ad Amazon Bedrock di mappare le informazioni dalla knowledge base al tuo archivio vettoriale, in modo che possa archiviare, aggiornare e gestire gli incorporamenti vettoriali. Per ulteriori informazioni sui campi, consulta Configurare il proprio archivio vettoriale supportato.
  
  Nota
  Se utilizzi un database in Amazon OpenSearch Serverless, Amazon Aurora o MongoDB Atlas, devi prima aver configurato i campi in Mappatura dei campi. Se utilizzi un database in Pinecone oppure Redis Enterprise Cloud, puoi fornire i nomi per questi campi qui e Amazon Bedrock li creerà dinamicamente nel vector store per te.
Seleziona Avanti.
Nella pagina Verifica e crea, controlla la configurazione e i dettagli della knowledge base. Scegli Modifica in qualsiasi sezione che desideri modificare. Quando ritieni che vada tutto bene, seleziona Crea knowledge base.
Il tempo necessario per creare la knowledge base dipende dalle configurazioni specifiche. Una volta completata la creazione della knowledge base, lo stato della knowledge base cambia e indica che è pronta o disponibile.

API

Per creare una knowledge base, invia una CreateKnowledgeBaserichiesta a un endpoint di compilazione Agents for Amazon Bedrock e fornisci il nome, la descrizione, le istruzioni su cosa deve fare e il modello di base con cui orchestrare.

Nota

Se preferisci lasciare che Amazon Bedrock crei e gestisca un archivio vettoriale per te in Amazon OpenSearch Service, usa la console. Per ulteriori informazioni, consulta Crea una knowledge base Amazon Bedrock.

Fornisci loro ARN le autorizzazioni per creare una knowledge base sul campo. roleArn
Fornisci il modello di incorporamenti vettoriali da utilizzare nel embeddingModelArn campo dell'oggetto. knowledgeBaseConfiguration Consulta i modelli supportati per le knowledge base.

È necessario abilitare l'accesso al modello per utilizzare un modello supportato per le knowledge base. Prendi nota del tuo modello Amazon Resource Name (ARN) necessario per convertire i dati in incorporamenti vettoriali. Copia l'ID del modello per il modello scelto per le knowledge base e costruisci il modello ARN utilizzando l'ID del modello (risorsa), seguendo ARNgli esempi forniti per il tipo di risorsa del modello.
Fornisci la configurazione per il tuo archivio vettoriale nell'oggetto storageConfiguration. Per ulteriori informazioni, consulta Prerequisiti per il tuo archivio vettoriale per una knowledge base
- Per un database Amazon OpenSearch Service, usa l'opensearchServerlessConfigurationoggetto.
- Per un Pinecone database, usa l'pineconeConfigurationoggetto.
- Per un Redis Enterprise Cloud database, usa l'redisEnterpriseCloudConfigurationoggetto.
- Per un database Amazon Aurora, usa l'rdsConfigurationoggetto.
- Per un database MongoDB Atlas, usa l'oggetto. mongodbConfiguration

Dopo aver creato una knowledge base, create una fonte di dati contenente i documenti o i contenuti della knowledge base. Per creare la fonte di dati, invia una CreateDataSourcerichiesta. Consulta Fonti di dati supportate per selezionare la tua fonte di dati e segui l'esempio di configurazione della API connessione.

Fornisci le informazioni di connessione per i file di origine dati nel dataSourceConfiguration campo.
Specificate come suddividere le fonti di dati nel vectorIngestionConfiguration campo.

Nota
Non è possibile modificare la configurazione della suddivisione in blocchi dopo aver creato l'origine dati.
Fornisci il file dataDeletionPolicy per la tua fonte di dati. Puoi convertire DELETE tutti i dati della tua fonte di dati in incorporamenti vettoriali dopo l'eliminazione di una knowledge base o di una risorsa di origine dati. Questo flag viene ignorato se AWS l'account viene eliminato. Puoi convertire RETAIN tutti i dati della tua fonte di dati in incorporamenti vettoriali dopo l'eliminazione di una knowledge base o di una risorsa di origine dati. Tieni presente che l'archivio vettoriale stesso non viene eliminato se elimini una knowledge base o una risorsa di origine dati.
(Facoltativo) Durante la conversione dei dati in incorporamenti, Amazon Bedrock li crittografa con una chiave che AWS possiede e gestisce, per impostazione predefinita. Per usare la tua KMS chiave, includila nell'serverSideEncryptionConfigurationoggetto. Per ulteriori informazioni, consulta Crittografia delle risorse della knowledge base.

Configura le configurazioni di sicurezza per la tua knowledge base

Dopo aver creato una knowledge base, potrebbe essere necessario configurare le seguenti configurazioni di sicurezza:

Argomenti

Configura le politiche di accesso ai dati per la tua knowledge base
Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Configura le politiche di accesso ai dati per la tua knowledge base

Se utilizzi un ruolo personalizzato, configura le configurazioni di sicurezza per la knowledge base appena creata. Se consenti ad Amazon Bedrock di creare un ruolo di servizio per te, puoi saltare questo passaggio. Segui i passaggi nella scheda corrispondente al database che hai configurato.

Amazon OpenSearch Serverless

Per limitare l'accesso alla raccolta Amazon OpenSearch Serverless al ruolo di servizio della knowledge base, crea una policy di accesso ai dati. Puoi farlo nei seguenti modi:

Utilizza la console di Amazon OpenSearch Service seguendo la procedura descritta in Creazione di politiche di accesso ai dati (console) nella Amazon OpenSearch Service Developer Guide.
Usa il AWS APIinviando una CreateAccessPolicyrichiesta con un endpoint OpenSearch Serverless. Per un AWS CLI ad esempio, vedi Creazione di politiche di accesso ai dati (AWS CLI).

Utilizza la seguente politica di accesso ai dati, specificando la raccolta Amazon OpenSearch Serverless e il tuo ruolo di servizio:


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

Per integrare un Pinecone, Redis Enterprise Cloud, Indice vettoriale MongoDB Atlas, allega la seguente politica basata sull'identità al ruolo del servizio della Knowledge Base per consentirgli di accedere a AWS Secrets Manager segreto per l'indice vettoriale.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
            }
        }
    }]
}

Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Se utilizzi una raccolta privata Amazon OpenSearch Serverless per la tua knowledge base, è possibile accedervi solo tramite AWS PrivateLink VPCendpoint. Puoi creare una raccolta Amazon OpenSearch Serverless privata quando configuri la tua raccolta vettoriale Amazon OpenSearch Serverless oppure puoi rendere privata una raccolta Amazon Serverless esistente (inclusa una raccolta Amazon OpenSearch Serverless creata per te dalla console Amazon Bedrock) quando configuri la politica di accesso alla rete.

Le seguenti risorse nell'Amazon OpenSearch Service Developer Guide ti aiuteranno a comprendere la configurazione richiesta per una raccolta Amazon OpenSearch Serverless privata:

Per ulteriori informazioni sulla configurazione di un VPC endpoint per una raccolta Amazon OpenSearch Serverless privata, consulta Accedere ad Amazon OpenSearch Serverless utilizzando un endpoint di interfaccia (AWS PrivateLink).
Per ulteriori informazioni sulle politiche di accesso alla rete in Amazon OpenSearch Serverless, consulta Accesso alla rete per Amazon OpenSearch Serverless.

Per consentire a una knowledge base Amazon Bedrock di accedere a una raccolta Amazon OpenSearch Serverless privata, devi modificare la politica di accesso alla rete per la raccolta Amazon OpenSearch Serverless per consentire Amazon Bedrock come servizio di origine. Seleziona la scheda corrispondente al metodo scelto e segui i passaggi.

Console

Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/.
Dal riquadro di navigazione a sinistra, seleziona Raccolte. Quindi scegli la tua collezione.
Nella sezione Rete, seleziona la Politica associata.
Scegli Modifica.
Per Seleziona il metodo di definizione della politica, esegui una delle seguenti operazioni:
- Lascia Select policy definition method come Visual editor e configura le seguenti impostazioni nella sezione Rule 1:
  1. (Facoltativo) Nel campo Nome regola, inserisci un nome per la regola di accesso alla rete.
  2. In Accedi alle raccolte da, seleziona Privato (consigliato).
  3. Selezionare AWS accesso privato al servizio. Nella casella di testo, inseriscibedrock.amazonaws.com.
  4. Deseleziona Abilita l'accesso ai OpenSearch dashboard.
- Scegli JSONe incolla la seguente politica nell'JSONeditor.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            },
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Scegli Aggiorna.

API

Per modificare la politica di accesso alla rete per la tua raccolta Amazon OpenSearch Serverless, procedi come segue:

Invia una GetSecurityPolicyrichiesta con un endpoint OpenSearch Serverless. Specificare name la policy e specificare l'typeas. network Prendere nota dell'ID policyVersion nella risposta.

Invia una UpdateSecurityPolicyrichiesta con un endpoint OpenSearch Serverless. Specificate almeno i seguenti campi:

Campo	Descrizione
nome	Il nome della policy
policyVersion	Ti hanno `policyVersion` restituito la `GetSecurityPolicy` risposta.
tipo	Il tipo di policy di sicurezza. Specifica `network`.
policy	La politica da usare. Specificare il seguente JSON oggetto


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            },
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Per un AWS CLI ad esempio, vedi Creazione di politiche di accesso ai dati (AWS CLI).

Utilizza la console OpenSearch di Amazon Service seguendo la procedura descritta in Creazione di politiche di rete (console). Invece di creare una politica di rete, prendi nota della politica associata nella sottosezione Rete dei dettagli della raccolta.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Prerequisiti per l'utilizzo del proprio archivio vettoriale

Visualizza informazioni su una knowledge base