So richten Sie Sicherheitskonfigurationen für Ihre Wissensdatenbank ein
Nachdem Sie eine Wissensdatenbank erstellt haben, müssen Sie möglicherweise die folgenden Sicherheitskonfigurationen einrichten:
So richten Sie Zugriffsrichtlinien für Ihre Wissensdatenbank ein
Wenn Sie eine benutzerdefinierte Rolle verwenden, sollten Sie Sicherheitskonfigurationen für Ihre neu erstellte Wissensdatenbank einrichten. Wenn Sie Amazon Bedrock eine Servicerolle für Sie erstellen lassen, können Sie diesen Schritt überspringen. Folgen Sie den Schritten auf der Registerkarte, die der Datenbank entspricht, die Sie eingerichtet haben.
- Amazon OpenSearch Serverless
-
Erstellen Sie eine Datenzugriffsrichtlinie, um den Zugriff auf die Sammlung unter Amazon OpenSearch Serverless auf die Servicerolle der Wissensdatenbank zu beschränken. Sie können dies auf die folgenden Arten tun:
Verwenden Sie die folgende Datenzugriffsrichtlinie, wobei Sie die Sammlung unter Amazon OpenSearch Serverless und Ihre Servicerolle angeben:
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Pinecone, Redis Enterprise Cloud or MongoDB Atlas
-
Um einen Pinecone-, Redis Enterprise Cloud- oder MongoDB-Atlas-Vektorindex zu integrieren, fügen Sie die folgende identitätsbasierte Richtlinie der Servicerolle Ihrer Wissensdatenbank hinzu, damit diese auf das AWS Secrets Manager-Geheimnis für den Vektorindex zugreifen kann.
JSON
- JSON
-
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
}
}
}]
}
So richten Sie Netzwerkzugriffsrichtlinien für Ihre Wissensdatenbank in Amazon OpenSearch Serverless ein
Wenn Sie eine private Sammlung für Amazon OpenSearch Serverless für Ihre Wissensdatenbank verwenden, kann auf diese nur über einen AWS PrivateLink-VPC-Endpunkt zugegriffen werden. Sie können eine private Sammlung für Amazon OpenSearch Serverless erstellen, wenn Sie Ihre Amazon OpenSearch Serverless-Vektorsammlung einrichten, oder Sie können eine vorhandene Sammlung für Amazon OpenSearch Serverless (einschließlich einer Sammlung, die von der Amazon-Bedrock-Konsole für Sie erstellt wurde) privat machen, wenn Sie deren Netzwerkzugriffsrichtlinie konfigurieren.
Die folgenden Ressourcen im Entwicklerhandbuch zu Amazon OpenSearch Servicehelfen Ihnen dabei, die Einrichtung zu verstehen, die für private Sammlungen für Amazon OpenSearch Serverless erforderlich ist:
Um einer Wissensdatenbank in Amazon Bedrock den Zugriff auf eine private Sammlung für Amazon OpenSearch Serverless zu ermöglichen, müssen Sie die Netzwerkzugriffsrichtlinie für die Sammlung für Amazon OpenSearch Serverless bearbeiten, um Amazon Bedrock als Quellservice zuzulassen. Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie die angegebenen Schritte:
- Console
-
-
Öffnen Sie die Konsole für Amazon OpenSearch Service unter https://console.aws.amazon.com/aos/ aus.
-
Wählen Sie im linken Navigationsbereich Sammlungen aus. Wählen Sie dann Ihre Sammlung aus.
-
Wählen Sie im Bereich Netzwerk die zugehörige Richtlinie aus.
-
Wählen Sie Bearbeiten aus.
-
Führen Sie unter Methode zur Richtliniendefinition auswählen einen der folgenden Schritte aus:
-
Belassen Sie die Option Methode zur Richtliniendefinition auswählen auf Visueller Editor und konfigurieren Sie die folgenden Einstellungen im Abschnitt Regel 1:
-
(Optional) Geben Sie im Feld Regelname einen Namen für die Netzwerkzugriffsregel ein.
-
Wählen Sie unter Zugriff auf Sammlungen von die Option Privat (empfohlen) aus.
-
Wählen Sie AWS-Service mit privatem Zugriff aus. Geben Sie bedrock.amazonaws.com in das Textfeld ein.
-
Wählen Sie Zugriff auf OpenSearch Dashboards aktivieren ab.
-
Wählen Sie JSON aus und fügen Sie die folgende Richtlinie in den JSON Editor ein.
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
Wählen Sie Aktualisieren.
- API
-
Gehen Sie wie folgt vor, um die Netzwerkzugriffsrichtlinie für Ihre Sammlung für Amazon OpenSearch Serverless zu bearbeiten:
-
Senden Sie eine GetSecurityPolicy-Anfrage mit einem Endpunkt für OpenSearch Serverless. Geben Sie den name der Richtlinie an und legen Sie den type auf network fest. Beachten Sie die policyVersion in der Antwort.
-
Senden Sie eine UpdateSecurityPolicy-Anfrage mit einem Endpunkt für OpenSearch Serverless. Geben Sie zumindest die folgenden Felder an:
| Feld |
Beschreibung |
| Name |
Der Name der Richtlinie. |
| policyVersion |
Die policyVersion, die aus der GetSecurityPolicy-Antwort an Sie zurückgegeben wird. |
| type |
Der Typ der Sicherheitsrichtlinie. Geben Sie an network. |
| policy |
Die zu verwendende Richtlinie. Geben Sie das folgende JSON-Objekt an |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
Ein AWS CLI-Beispiel finden Sie unter Erstellen von Datenzugriffsrichtlinien (AWS CLI).
-
Verwenden Sie die Konsole für Amazon OpenSearch Service, indem Sie die Schritte unter Netzwerkrichtlinien erstellen (Konsole) befolgen. Anstatt eine Netzwerkrichtlinie zu erstellen, beachten Sie die zugehörige Richtlinie im Netzwerk-Unterabschnitt der Sammlungsdetails.
