為您的知識庫設定安全組態

RSS

焦點模式

為您的知識庫設定安全組態 - Amazon Bedrock

為您的知識庫設定資料存取政策為您的 Amazon OpenSearch Serverless 知識庫設定網路存取政策

建立知識庫之後，您可能需要設定下列安全組態：

主題

為您的知識庫設定資料存取政策
為您的 Amazon OpenSearch Serverless 知識庫設定網路存取政策

為您的知識庫設定資料存取政策

如果您使用自訂角色，請為新建立的知識庫設定安全組態。如果您讓 Amazon Bedrock 為您建立服務角色，您可以略過此步驟。依照您設定之資料庫對應索引標籤中的步驟進行。

Amazon OpenSearch Serverless

若要將 Amazon OpenSearch Serverless 集合的存取限制為知識庫服務角色，請建立資料存取政策。您可以透過下列方式執行此操作：

請依照 Amazon OpenSearch Service 開發人員指南中的建立資料存取政策（主控台）中的步驟，使用 Amazon OpenSearch Service 主控台。
透過傳送具有 OpenSearch Serverless 端點的 CreateAccessPolicy 請求來使用 AWS API。如需 AWS CLI 範例，請參閱建立資料存取政策 (AWS CLI)。

使用以下資料存取政策，指定 Amazon OpenSearch Serverless 集合和您的服務角色：


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

若要整合 Pinecone、Redis Enterprise Cloud、MongoDB Atlas 向量索引，請將下列身分型政策連接至您的知識庫服務角色，以允許它存取向量索引的 AWS Secrets Manager 秘密。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
            }
        }
    }]
}

anchor anchor

若要將 Amazon OpenSearch Serverless 集合的存取限制為知識庫服務角色，請建立資料存取政策。您可以透過下列方式執行此操作：

請依照 Amazon OpenSearch Service 開發人員指南中的建立資料存取政策（主控台）中的步驟，使用 Amazon OpenSearch Service 主控台。
透過傳送具有 OpenSearch Serverless 端點的 CreateAccessPolicy 請求來使用 AWS API。如需 AWS CLI 範例，請參閱建立資料存取政策 (AWS CLI)。

使用以下資料存取政策，指定 Amazon OpenSearch Serverless 集合和您的服務角色：


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

為您的 Amazon OpenSearch Serverless 知識庫設定網路存取政策

如果您針對知識庫使用私有 Amazon OpenSearch Serverless 集合，則只能透過 AWS PrivateLink VPC 端點存取。您可以在設定 Amazon OpenSearch Serverless 向量集合時建立私有 Amazon OpenSearch Serverless 集合，也可以在設定其網路存取政策時，將現有的 Amazon OpenSearch Serverless 集合（包括 Amazon Bedrock 主控台為您建立的集合）設為私有。 OpenSearch

Amazon OpenSearch Service 開發人員指南中的下列資源可協助您了解私有 Amazon OpenSearch Serverless 集合所需的設定：

如需為私有 Amazon OpenSearch Serverless 集合設定 VPC 端點的詳細資訊，請參閱使用介面端點存取 Amazon OpenSearch Serverless (AWS PrivateLink)。
如需 Amazon OpenSearch Serverless 中網路存取政策的詳細資訊，請參閱 Amazon OpenSearch Serverless 的網路存取。

若要允許 Amazon Bedrock 知識庫存取私有 Amazon OpenSearch Serverless 集合，您必須編輯 Amazon OpenSearch Serverless 集合的網路存取政策，以允許 Amazon Bedrock 做為來源服務。選擇您偏好方法的索引標籤，然後遵循下列步驟：

Console

在 https://console.aws.amazon.com/aos/：// 開啟 Amazon OpenSearch Service 主控台。
從左側導覽窗格中，選取集合。然後選擇您的集合。
在網路區段中，選取關聯政策。
選擇編輯。

對於選取政策定義方法，執行下列其中一項：

將 Select 政策定義方法保留為視覺化編輯器，並在規則 1 區段中設定下列設定：
1. （選用）在規則名稱欄位中，輸入網路存取規則的名稱。
2. 在存取集合來源下，選取私有（建議）。
3. 選取AWS 服務私有存取。在文字方塊中，輸入 bedrock.amazonaws.com。
4. 取消選取啟用 OpenSearch Dashboards 的存取。

選擇 JSON，並在 JSON 編輯器中貼上下列政策。


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

選擇更新。

API

若要編輯 Amazon OpenSearch Serverless 集合的網路存取政策，請執行下列動作：

使用 OpenSearch Serverless 端點傳送 GetSecurityPolicy 請求。指定政策name的，並將指定type為 network。記下回應中的 policyVersion。

使用 OpenSearch Serverless 端點傳送 UpdateSecurityPolicy 請求。至少，請指定下列欄位：

欄位	描述
name	政策的名稱
policyVersion	從`GetSecurityPolicy`回應`policyVersion`傳回給您的。
type	安全政策的類型。指定 `network`。
政策	要使用的政策。指定下列 JSON 物件


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

如需 AWS CLI 範例，請參閱建立資料存取政策 (AWS CLI)。

anchor anchor

在 https://console.aws.amazon.com/aos/：// 開啟 Amazon OpenSearch Service 主控台。
從左側導覽窗格中，選取集合。然後選擇您的集合。
在網路區段中，選取關聯政策。
選擇編輯。

對於選取政策定義方法，執行下列其中一項：

將 Select 政策定義方法保留為視覺化編輯器，並在規則 1 區段中設定下列設定：
1. （選用）在規則名稱欄位中，輸入網路存取規則的名稱。
2. 在存取集合來源下，選取私有（建議）。
3. 選取AWS 服務私有存取。在文字方塊中，輸入 bedrock.amazonaws.com。
4. 取消選取啟用 OpenSearch Dashboards 的存取。

選擇 JSON，並在 JSON 編輯器中貼上下列政策。


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]