기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 지식 기반의 보안 구성 설정
지식 기반을 만든 후에는 다음과 같은 보안 구성을 설정해야 할 수 있습니다.
**Topics**
+ [지식 기반에 대한 데이터 액세스 정책 설정](#kb-create-security-data)
+ [Amazon OpenSearch Serverless 지식 기반에 대한 네트워크 액세스 정책 설정](#kb-create-security-network)
## 지식 기반에 대한 데이터 액세스 정책 설정
[사용자 지정](kb-permissions.md) 역할을 사용하는 경우, 새로 만든 지식 기반의 보안 구성을 설정해야 합니다. Amazon Bedrock이 사용자를 대신하여 서비스 역할을 만들도록 하는 경우 이 단계를 건너뛸 수 있습니다. 설정한 데이터베이스에 해당하는 탭의 단계를 따릅니다.
------
#### [ Amazon OpenSearch Serverless ]
Amazon OpenSearch Serverless 컬렉션에 대한 액세스를 지식 기반 서비스 역할로 제한하려면 데이터 액세스 정책을 만듭니다. 다음과 같은 방법을 사용할 수 있습니다.
+ Amazon OpenSearch Service 개발자 안내서에 나와 있는 [데이터 액세스 정책 생성(콘솔)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console)의 단계에 따라 Amazon OpenSearch Service 콘솔을 사용합니다.
+ [OpenSearch Serverless 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions)와 함께 [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html) 요청을 전송하여 AWSAPI를 사용합니다. AWS CLI예제는 [데이터 액세스 정책 생성(AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli)을 참조하세요.
다음 데이터 액세스 정책을 사용하여 Amazon OpenSearch Serverless 컬렉션과 서비스 역할을 지정합니다.
```
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
```
------
#### [ Pinecone, Redis 엔터프라이즈 클라우드 or MongoDB Atlas ]
Pinecone, Redis Enterprise Cloud, MongoDB Atlas 벡터 인덱스를 통합하려면 지식 기반 서비스 역할에 다음 자격 증명 기반 정책을 연결하여 벡터 인덱스의 AWS Secrets Manager보안 암호에 액세스할 수 있도록 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
}
}
}]
}
```
------
------
## Amazon OpenSearch Serverless 지식 기반에 대한 네트워크 액세스 정책 설정
지식 기반에 프라이빗 Amazon OpenSearch Serverless 컬렉션을 사용하는 경우 AWS PrivateLinkVPC 엔드포인트를 통해서만 액세스할 수 있습니다. [Amazon OpenSearch Serverless 벡터 컬렉션을 설정](knowledge-base-setup.md)할 때 프라이빗 Amazon OpenSearch Serverless 컬렉션을 만들거나, 네트워크 액세스 정책을 구성할 때 기존 Amazon OpenSearch Serverless 컬렉션(Amazon Bedrock 콘솔이 사용자를 대신해 만든 컬렉션 포함)을 프라이빗으로 만들 수 있습니다.
Amazon OpenSearch Service 개발자 안내서의 다음 리소스는 프라이빗 Amazon OpenSearch Serverless 컬렉션에 필요한 설정을 이해하는 데 도움이 됩니다.
+ 프라이빗 Amazon OpenSearch Serverless 컬렉션의 VPC 엔드포인트 설정에 대한 자세한 내용은 [인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 Amazon OpenSearch Serverless에 액세스](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)를 참조하세요.
+ Amazon OpenSearch Serverless의 네트워크 액세스 정책에 대한 자세한 내용은 [Network access for Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html)를 참조하세요.
Amazon Bedrock Knowledge Bases가 프라이빗 Amazon OpenSearch Serverless 컬렉션에 액세스하도록 허용하려면 Amazon OpenSearch Serverless 컬렉션에 대한 네트워크 액세스 정책을 편집하여 Amazon Bedrock을 소스 서비스로 허용해야 합니다. 원하는 방법의 탭을 선택한 후 다음 단계를 따릅니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) Amazon OpenSearch Service 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **컬렉션**을 선택합니다. 그런 다음 컬렉션을 선택합니다.
1. **네트워크** 섹션에서 **연결된 정책**을 선택합니다.
1. **편집**을 선택합니다.
1. **정책 정의 방법 선택**의 경우, 다음 중 하나를 수행합니다.
+ **정책 정의 방법 선택**을 **시각적 편집기**로 두고 **규칙 1** 섹션에서 다음 설정을 구성합니다.
1. (선택 사항) **규칙 이름** 필드에 네트워크 액세스 규칙의 이름을 입력합니다.
1. **다음에서 컬렉션에 액세스**에서 **프라이빗(권장)**을 선택합니다.
1. **AWS 서비스 프라이빗 액세스**를 선택합니다. 텍스트 상자에 **bedrock.amazonaws.com**을 입력합니다.
1. **OpenSearch 대시보드에 대한 액세스 활성화**를 선택 해제합니다.
+ **JSON**을 선택하고 다음 정책을 **JSON 편집기**에 붙여 넣습니다.
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
1. **업데이트**를 선택합니다.
------
#### [ API ]
Amazon OpenSearch Serverless 컬렉션의 네트워크 액세스 정책을 편집하려면 다음을 수행합니다.
1. [OpenSearch Serverless 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions)를 사용하여 [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html) 요청을 전송합니다. 정책의 `name`을 지정하고 `type`을 `network`로 지정합니다. 응답의 `policyVersion`에 주의하세요.
1. [OpenSearch Serverless 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions)를 사용하여 [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) 요청을 전송합니다. 최소 다음 필드를 지정합니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/bedrock/latest/userguide/kb-create-security.html)
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
AWS CLI예제는 [데이터 액세스 정책 생성(AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli)을 참조하세요.
------
+ [네트워크 정책 생성(콘솔)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console)의 단계에 따라 Amazon OpenSearch Service 콘솔을 사용합니다. 네트워크 정책을 만드는 대신 컬렉션 세부 정보의 **네트워크** 하위 섹션에서 **연결된 정책**을 기록해 둡니다.