翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ドキュメントレベルのアクセスコントロール
<a name="confluence-kb-acl"></a>

Confluence Cloud ナレッジベースは、オプションでドキュメントレベルのアクセスコントロールをサポートします。有効にすると、Amazon Quick は各クロール中に Confluence からアクセスコントロールリスト (ACLs) を同期し、クエリ時に各ユーザーのアクセス許可を検証します。ユーザーには、Confluence でアクセスが許可されているドキュメントからの回答のみが表示されます。

## 仕組み
<a name="confluence-kb-acl-how-it-works"></a>

ユーザーが ACL 管理を有効にした Confluence ナレッジベースを使用する Amazon Quick エージェントにクエリを実行すると、システムは次の 2 つの段階でアクセスコントロールを適用します。

1. **取得前フィルタリング** – Amazon Quick は、ベクトルインデックスに対してセマンティック検索を実行して、最も関連性の高いドキュメントパッセージを見つけます。システムは、前回のクロール中に Confluence から同期されたアクセスコントロールリストを適用します。これにより、候補ドキュメントの予備セットが生成されます。

1. **リアルタイム検証** – システムは、Confluence でクエリを実行するユーザーの現在のアクセスを確認することで、候補ドキュメントをリアルタイムで検証します。現在アクセスが許可されているドキュメントのみがレスポンスに表示されます。

この 2 段階のアプローチは、Confluence のアクセス許可が同期間で変化しても最新の状態を維持するドキュメントレベルのアクセスコントロールを提供します。

Amazon Quick は、次の Confluence ACL リソースをクロールします。
+ **Spaces** – スペースのアクセス許可は、デフォルトでスペース内のすべてのドキュメントに適用されます。
+ **ページ** – ページは特定のユーザーとグループに制限できます。ネストされたページは親ページから制限を継承し、独自の制限を持つことができます。
+ **ブログ** – ブログ投稿は、スペース内の特定のユーザーとグループに制限できます。
+ **添付ファイル** – ページまたはブログ投稿にアタッチされたファイルは、親ドキュメントのアクセスコントロールを継承します。

## ACL 管理を有効にする
<a name="confluence-kb-acl-enable"></a>

追加**設定**ステップのナレッジベースの作成時に ACL 管理を設定します。**ACLsによるドキュメントアクセスのコントロール**チェックボックスを選択して有効にします。このオプションには、**認証方法**のステップで指定した Atlassian 管理者認証情報が必要です。管理者認証情報がない場合、ACL オプションは無効になります。

**重要**  
ナレッジベースの作成後に ACL 管理を変更することはできません。この設定を変更する必要がある場合は、新しいナレッジベースを作成する必要があります。

Atlassian 管理者認証情報を使用すると、個々の E メールの可視性設定に関係なく、Amazon Quick は Confluence インスタンスからすべてのユーザーおよびグループ情報にアクセスできます。Atlassian 組織から管理者認証情報を取得する手順については、「」を参照してください[Atlassian 管理者認証情報を取得する](#confluence-kb-atlassian-admin-credentials)。ナレッジベースのセットアップ手順については、「」を参照してください[アカウントの認証](confluence-knowledge-base.md#confluence-kb-setup-auth)。

ACL のベストプラクティスの詳細については、「」を参照してください[ナレッジベースで ACLs を管理するためのベストプラクティス](acl-best-practices-kb.md)。

## リアルタイムアクセス検証
<a name="confluence-kb-acl-realtime"></a>

ユーザーが ACL 対応の Confluence ナレッジベースのコンテンツを含むクエリを送信すると、Amazon Quick はユーザーのアクセスをリアルタイムで検証します。

1. ユーザーはクイックチャットアシスタントで質問をします。

1. 回答に ACL 対応のナレッジベースの Confluence コンテンツが含まれている場合、Quick はユーザーに Confluence にサインインするよう促します。

1. ユーザーは Confluence の E メールとパスワードでサインインし、認可ダイアログを受け入れます。

1. Quick は、ユーザーの認証情報を使用して、Confluence API に対して各候補ドキュメントへのアクセスをリアルタイムで検証します。

1. Confluence で現在アクセスできるドキュメントのみがレスポンスに表示されます。

サインインは 1 回限りのステップです。サインイン後、セッションの有効期限が切れるまで、ユーザーは再度プロンプトを表示されません。

**注記**  
リアルタイムのアクセス許可の検証に失敗した場合 (Confluence API が一時的に使用できない場合など）、ユーザーに再試行を求めるエラーメッセージが表示されます。Amazon Quick はキャッシュされたアクセス許可にフォールバックしません。アクセスコントロールの精度を確保するためには、リアルタイムの検証が必要です。

## Atlassian 管理者認証情報を取得する
<a name="confluence-kb-atlassian-admin-credentials"></a>

Confluence ナレッジベースのセットアップ中に Atlassian 管理者認証情報を提供するには、Atlassian 組織管理者が次のステップを完了する必要があります。

### API キーと組織 ID を取得する
<a name="confluence-kb-admin-api-key"></a>

1. 管理者権限で [Atlassian 管理者ポータル](https://admin.atlassian.com/)にサインインします。

1. 所属する組織の管理アプリを開きます。URL は次のようになります。 `https://admin.atlassian.com/o/ORGANIZATION-UUID/overview`

1. URL から**組織 ID** をコピーします。

1. **[Settings]**、**[API Keys]** の順に選択します。

1. **API の作成**を選択します。

1. API キーの次のスコープを選択します。
   + `read:directories:admin`
   + `read:workspaces:admin`

1. **組織 ID** と **API キー**の両方をコピーして保存します。
**注記**  
API キーの有効期限が切れます。有効期限をモニタリングし、キーの有効期限が切れる前にデータソース認証情報を更新します。

### ディレクトリ ID を取得する
<a name="confluence-kb-admin-directory-id"></a>

Atlassian Admin Workspace API を使用して、ディレクトリ ID を取得します。

1. *ORGANIZATION-ID *を Organization ID に、*API-KEY* を API キーに置き換えて、次のコマンドを実行します。

   ```
   curl --request POST \
     --url 'https://api.atlassian.com/admin/v2/orgs/ORGANIZATION-ID/workspaces' \
     --header 'Authorization: Bearer API-KEY' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{
       "query": {
         "field": {
           "name": "attributes.type",
           "values": ["confluence"]
         }
       },
       "limit": 20
     }'
   ```

   このクエリは Confluence ワークスペースにのみ結果をフィルタリングするため、すべてのワークスペースタイプをページスルーする必要はありません。

1. API レスポンスで、Confluence Cloud インスタンスに一致するワークスペースのエントリを見つけます。ワークスペース名がインスタンスと一致することを確認します。

1. `attributes` セクションから`directory`値をコピーします。これは**ディレクトリ ID** です。

Atlassian 管理者 API スコープの詳細については、「[Atlassian API scopes documentation](https://developer.atlassian.com/cloud/admin/scopes/)」を参照してください。API の詳細については、「[Atlassian Admin Workspace API reference](https://developer.atlassian.com/cloud/admin/organization/rest/api-group-workspaces/#api-group-workspaces)」を参照してください。

## 制限事項
<a name="confluence-kb-acl-limitations"></a>
+ **Atlassian 管理者認証情報が必要** – ドキュメントレベルのアクセスコントロールには Atlassian 管理者認証情報が必要です。これはナレッジベースのセットアップ中に提供する必要があります。管理者認証情報なしで ACLs を有効にしたり、ナレッジベースの作成後に管理者認証情報を追加したりすることはできません。
+ **リアルタイム検証は必須です** – Amazon Quick は、ACL 対応ナレッジベースのクエリ時に常にリアルタイムアクセス許可チェックを実行します。Confluence API が使用できない場合、ACL で保護されたコンテンツを含むクエリは、キャッシュされたアクセス許可にフォールバックするのではなく、エラーを返します。

ACL の永続性、研究の互換性、E メールアドレス管理など、一般的な ACL の制限とベストプラクティスについては、「」を参照してください[ナレッジベースで ACLs を管理するためのベストプラクティス](acl-best-practices-kb.md)。

## 次の手順
<a name="confluence-kb-acl-next-steps"></a>

ドキュメントレベルのアクセスコントロールを検証し、アクセス許可の問題をトラブルシューティングするには、「」を参照してください[ドキュメントアクセスの確認 (ACL 検証)](sync-reports-observability.md#sync-reports-acl-verification)。Confluence ナレッジベース統合の設定については、「」を参照してください[ナレッジベース統合を設定する](confluence-knowledge-base.md#confluence-kb-setup)。