As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Definir configurações de segurança para a base de conhecimento
Depois de criar uma base de conhecimento, talvez você precise definir as seguintes configurações de segurança:
Configurar políticas de acesso a dados para a base de conhecimento
Se você estiver usando um perfil personalizado, defina configurações de segurança para a base de conhecimento recém-criada. Se permitir que o Amazon Bedrock crie uma função de serviço para você, ignore essa etapa. Siga as etapas na guia correspondente ao banco de dados que você configurou.
- Amazon OpenSearch Serverless
-
Para restringir o acesso à coleção Amazon OpenSearch Serverless à função de serviço da base de conhecimento, crie uma política de acesso a dados. Você pode fazer isso assim:
Use a seguinte política de acesso a dados, especificando a coleção Amazon OpenSearch Serverless e sua função de serviço:
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Pinecone, Redis Enterprise Cloud or MongoDB Atlas
-
Para integrar um Pinecone, Redis Enterprise Cloud, índice vetorial MongoDB Atlas, anexe a seguinte política baseada em identidade à sua função de serviço da base de conhecimento para permitir que ela acesse AWS Secrets Manager o segredo do índice vetorial.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
}
}
}]
}
Configure políticas de acesso à rede para sua base de conhecimento Amazon OpenSearch Serverless
Se você usar uma coleção privada Amazon OpenSearch Serverless para sua base de conhecimento, ela só poderá ser acessada por meio de um VPC endpoint AWS PrivateLink . Você pode criar uma coleção privada Amazon OpenSearch Serverless ao configurar sua coleção vetorial Amazon OpenSearch Serverless ou pode tornar privada uma coleção Amazon OpenSearch Serverless existente (incluindo uma que o console Amazon Bedrock criou para você) ao configurar sua política de acesso à rede.
Os seguintes recursos no Amazon OpenSearch Service Developer Guide ajudarão você a entender a configuração necessária para coleções privadas do Amazon OpenSearch Serverless:
-
Para obter mais informações sobre como configurar um VPC endpoint para uma coleção privada do Amazon OpenSearch Serverless, consulte Acessar o Amazon Serverless usando um endpoint de OpenSearch interface ().AWS PrivateLink
-
Para obter mais informações sobre políticas de acesso à rede no Amazon OpenSearch Serverless, consulte Acesso à rede para Amazon OpenSearch Serverless.
Para permitir que uma base de conhecimento do Amazon Bedrock acesse uma coleção privada do Amazon OpenSearch Serverless, você deve editar a política de acesso à rede da OpenSearch coleção Amazon Serverless para permitir que o Amazon Bedrock seja um serviço de origem. Escolha a guia do seu método preferido e siga as etapas:
- Console
-
-
Abra o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/.
-
No painel de navegação à esquerda, selecione Coleções. Em seguida, escolha a coleção.
-
Na seção Rede, selecione a Política associada.
-
Selecione Editar.
-
Em Selecionar método de definição de política, faça o seguinte:
-
Deixe Selecionar método de definição de política como Editor visual e defina as seguintes configurações na seção Regra 1:
-
(Opcional) No campo Nome da regra, insira um nome para a regra de acesso à rede.
-
Em Acessar coleções de, selecione Privado (recomendado).
-
Selecione Acesso privado ao serviço da AWS . Na caixa de texto, digite bedrock.amazonaws.com.
-
Desmarque Habilitar acesso aos OpenSearch painéis.
-
Escolha JSON e cole a política a seguir no editor JSON.
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
Selecione Atualizar.
- API
-
Para editar a política de acesso à rede para sua coleção Amazon OpenSearch Serverless, faça o seguinte:
-
Envie uma GetSecurityPolicysolicitação com um OpenSearch endpoint sem servidor. Especifique o name da política e o type como network. Observe o policyVersion na resposta.
-
Envie uma UpdateSecurityPolicysolicitação com um OpenSearch endpoint sem servidor. Especifique pelo menos os seguintes campos:
| Campo |
Descrição |
| nome |
O nome da política |
| policyVersion |
O policyVersion retornado para você pela resposta GetSecurityPolicy. |
| type |
O tipo de política de segurança. Especifique network. |
| política |
A política a ser usada. Especifique o objeto JSON a seguir. |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
Para ver um AWS CLI exemplo, consulte Criação de políticas de acesso a dados (AWS CLI).
