翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ナレッジベースのセキュリティ設定を行います。
ナレッジベースを作成したら、次のセキュリティ設定をセットアップする必要がある場合があります。
ナレッジベースのデータアクセスポリシーを設定する
カスタムロールを使用している場合は、新しく作成したナレッジベースのセキュリティを設定します。Amazon Bedrock にサービスロールを作成させる場合は、このステップをスキップできます。設定するデータベースに対応するタブの手順に従います。
- Amazon OpenSearch Serverless
-
Amazon OpenSearch Serverless コレクションへのアクセスをナレッジベースサービスロールに制限するには、データアクセスポリシーを作成します。これは以下の方法で実行できます。
Amazon OpenSearch Serverless コレクションとサービスロールを指定して、次のデータアクセスポリシーを使用します。
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Pinecone, Redis Enterprise Cloud or MongoDB Atlas
-
を統合するには Pinecone, Redis Enterprise Cloud、MongoDB Atlas ベクトルインデックス、ナレッジベースサービスロールに次のアイデンティティベースのポリシーをアタッチして、ベクトルインデックスの AWS Secrets Manager シークレットへのアクセスを許可します。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
}
}
}]
}
Amazon OpenSearch Serverless ナレッジベースのネットワークアクセスポリシーを設定する
ナレッジベースにプライベート Amazon OpenSearch Serverless コレクションを使用する場合は、エンドポイントを介して AWS PrivateLink VPCのみアクセスできます。Amazon OpenSearch Serverless ベクトルコレクションを設定するときにプライベート Amazon OpenSearch Serverless コレクションを作成することも、ネットワークアクセスポリシーを設定するときに既存の Amazon OpenSearch Serverless コレクション (Amazon Bedrock コンソールが作成したコレクションを含む) をプライベートにすることもできます。
Amazon OpenSearch Service デベロッパーガイドの以下のリソースは、プライベート Amazon OpenSearch Serverless コレクションに必要なセットアップを理解するのに役立ちます。
Amazon Bedrock ナレッジベースがプライベート Amazon OpenSearch Serverless コレクションにアクセスできるようにするには、Amazon OpenSearch Serverless コレクションのネットワークアクセスポリシーを編集して、Amazon Bedrock をソースサービスとして許可する必要があります。任意の方法のタブを選択し、ステップに従います。
- Console
-
-
で Amazon OpenSearch Service コンソールを開きますhttps://console.aws.amazon.com/aos/。
-
左側のナビゲーションペインで [コレクション] を選択します。次に、コレクションを選択します。
-
[ネットワーク] セクションで、[関連ポリシー] を選択します。
-
[編集] を選択します。
-
[ポリシーの定義方法を選択] で、次のいずれかを実行します。
-
[ポリシーの定義方法を選択] を [ビジュアルエディタ] のままにして、[ルール 1] セクションで以下の設定を行います。
-
(オプション) [ルール名] フィールドに、ネットワークアクセスルールの名前を入力します。
-
[次からコレクションにアクセス:] で、[プライベート (推奨)] を選択します。
-
[AWS サービスプライベートアクセス] を選択します。テキストボックスに「bedrock.amazonaws.com」と入力します。
-
選択解除 OpenSearch Dashboards へのアクセスを有効にします。
-
JSON エディタで次のポリシーJSONを選択して貼り付けます。
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
},
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
[Update] (更新) を選択します。
- API
-
Amazon OpenSearch Serverless コレクションのネットワークアクセスポリシーを編集するには、次の手順を実行します。
-
OpenSearch サーバーレスエンドポイントを使用してGetSecurityPolicyリクエストを送信します。ポリシーの name を指定し、type を network として指定します。レスポンス内の policyVersion を書き留めます。
-
OpenSearch サーバーレスエンドポイントを使用してUpdateSecurityPolicyリクエストを送信します。少なくとも、以下のフィールドを指定します。
| フィールド |
説明 |
| 名前 |
ポリシーの名前 |
| policyVersion |
GetSecurityPolicy レスポンスから返された policyVersion。 |
| type |
セキュリティポリシーのタイプ。network を指定します。 |
| ポリシー |
使用するポリシー。次のJSONオブジェクトを指定します。 |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
},
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
AWS CLI 例については、「データアクセスポリシーの作成 (AWS CLI)」を参照してください。
