기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
지식 기반의 보안 구성 설정
지식 기반을 만든 후에는 다음과 같은 보안 구성을 설정해야 할 수 있습니다.
지식 기반에 대한 데이터 액세스 정책 설정
사용자 지정 역할을 사용하는 경우, 새로 만든 지식 기반의 보안 구성을 설정해야 합니다. Amazon Bedrock이 사용자를 대신하여 서비스 역할을 만들도록 하는 경우 이 단계를 건너뛸 수 있습니다. 설정한 데이터베이스에 해당하는 탭의 단계를 따릅니다.
- Amazon OpenSearch Serverless
-
Amazon OpenSearch Serverless 컬렉션에 대한 액세스를 지식 기반 서비스 역할로 제한하려면 데이터 액세스 정책을 생성합니다. 다음과 같은 방법을 사용할 수 있습니다.
Amazon OpenSearch Serverless 컬렉션과 서비스 역할을 지정하여 다음 데이터 액세스 정책을 사용합니다.
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Pinecone, Redis Enterprise Cloud or MongoDB Atlas
-
를 통합하려면 Pinecone, Redis Enterprise CloudMongoDB Atlas 벡터 인덱스인는 지식 기반 서비스 역할에 다음 자격 증명 기반 정책을 연결하여 벡터 인덱스의 AWS Secrets Manager 보안 암호에 액세스할 수 있도록 합니다.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
}
}
}]
}
Amazon OpenSearch Serverless 지식 기반에 대한 네트워크 액세스 정책 설정
지식 기반에 프라이빗 Amazon OpenSearch Serverless 컬렉션을 사용하는 경우 엔드포인트를 AWS PrivateLink VPC 통해서만 액세스할 수 있습니다. Amazon OpenSearch Serverless 벡터 컬렉션을 설정할 때 프라이빗 Amazon OpenSearch Serverless 컬렉션을 생성하거나 네트워크 액세스 정책을 구성할 때 기존 Amazon OpenSearch Serverless 컬렉션(Amazon Bedrock 콘솔에서 생성한 컬렉션 포함)을 프라이빗으로 만들 수 있습니다.
Amazon OpenSearch Service 개발자 안내서의 다음 리소스는 프라이빗 Amazon OpenSearch Serverless 컬렉션에 필요한 설정을 이해하는 데 도움이 됩니다.
Amazon Bedrock 지식 기반이 프라이빗 Amazon OpenSearch Serverless 컬렉션에 액세스하도록 허용하려면 Amazon Bedrock을 소스 서비스로 허용하도록 Amazon OpenSearch Serverless 컬렉션의 네트워크 액세스 정책을 편집해야 합니다. 원하는 메서드의 탭을 선택한 다음 다음 단계를 따릅니다.
- Console
-
-
에서 Amazon OpenSearch Service 콘솔을 엽니다https://console.aws.amazon.com/aos/.
-
왼쪽 탐색 창에서 컬렉션을 선택합니다. 그런 다음 컬렉션을 선택합니다.
-
네트워크 섹션에서 연결된 정책을 선택합니다.
-
편집을 선택합니다.
-
정책 정의 방법 선택의 경우, 다음 중 하나를 수행합니다.
-
정책 정의 방법 선택을 시각적 편집기로 두고 규칙 1 섹션에서 다음 설정을 구성합니다.
-
(선택 사항) 규칙 이름 필드에 네트워크 액세스 규칙의 이름을 입력합니다.
-
다음에서 컬렉션에 액세스에서 프라이빗(권장)을 선택합니다.
-
AWS 서비스 프라이빗 액세스를 선택합니다. 텍스트 상자에 bedrock.amazonaws.com을 입력합니다.
-
OpenSearch 대시보드에 대한 액세스 활성화를 선택 취소합니다.
-
JSON 편집기에서 다음 정책을 JSON 선택하고 붙여 넣습니다.
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
},
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
업데이트를 선택합니다.
- API
-
Amazon OpenSearch Serverless 컬렉션의 네트워크 액세스 정책을 편집하려면 다음을 수행합니다.
-
OpenSearch Serverless 엔드포인트로 GetSecurityPolicy 요청을 보냅니다. 정책의 name을 지정하고 type을 network로 지정합니다. 응답의 policyVersion에 주의하세요.
-
OpenSearch Serverless 엔드포인트로 UpdateSecurityPolicy 요청을 보냅니다. 최소 다음 필드를 지정합니다.
| 필드 |
설명 |
| name |
정책의 이름입니다. |
| policyVersion |
GetSecurityPolicy 응답에서 policyVersion이 반환됩니다. |
| type |
보안 정책의 유형입니다. network를 지정합니다. |
| 정책 |
사용할 정책입니다. 다음 JSON 객체 지정 |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
},
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
AWS CLI 예제는 데이터 액세스 정책 생성(AWS CLI)을 참조하세요.
