Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So richten Sie Sicherheitskonfigurationen für Ihre Wissensdatenbank ein
Nachdem Sie eine Wissensdatenbank erstellt haben, müssen Sie möglicherweise die folgenden Sicherheitskonfigurationen einrichten:
So richten Sie Zugriffsrichtlinien für Ihre Wissensdatenbank ein
Wenn Sie eine benutzerdefinierte Rolle verwenden, sollten Sie Sicherheitskonfigurationen für Ihre neu erstellte Wissensdatenbank einrichten. Wenn Sie Amazon Bedrock eine Servicerolle für Sie erstellen lassen, können Sie diesen Schritt überspringen. Folgen Sie den Schritten auf der Registerkarte, die der Datenbank entspricht, die Sie eingerichtet haben.
- Amazon OpenSearch Serverless
-
Um den Zugriff auf die Amazon OpenSearch Serverless-Sammlung auf die Knowledge-Base-Servicerolle zu beschränken, erstellen Sie eine Datenzugriffsrichtlinie. Sie können dies auf die folgenden Arten tun:
Verwenden Sie die folgende Datenzugriffsrichtlinie, in der Sie die Amazon OpenSearch Serverless-Sammlung und Ihre Servicerolle angeben:
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Tannenzapfen, Redis Enterprise Cloud or MongoDB Atlas
-
Um einenPinecone,Redis Enterprise Cloud, MongoDB Atlas-Vektorindex zu integrieren, fügen Sie Ihrer Wissensdatenbankdienst-Rolle die folgende identitätsbasierte Richtlinie hinzu, damit sie auf das AWS Secrets Manager Geheimnis für den Vektorindex zugreifen kann.
JSON
- JSON
-
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
}
}
}]
}
Richten Sie Netzwerkzugriffsrichtlinien für Ihre Amazon OpenSearch Serverless-Wissensdatenbank ein
Wenn Sie eine private Amazon OpenSearch Serverless-Sammlung für Ihre Wissensdatenbank verwenden, kann nur über einen AWS PrivateLink VPC-Endpunkt darauf zugegriffen werden. Sie können eine private Amazon OpenSearch Serverless-Sammlung erstellen, wenn Sie Ihre Amazon OpenSearch Serverless-Vektorsammlung einrichten, oder Sie können eine bestehende Amazon OpenSearch Serverless-Sammlung (einschließlich einer, die von der Amazon Bedrock-Konsole für Sie erstellt wurde) privat machen, wenn Sie deren Netzwerkzugriffsrichtlinie konfigurieren.
Die folgenden Ressourcen im Amazon OpenSearch Service Developer Guide helfen Ihnen dabei, die Einrichtung zu verstehen, die für private Amazon OpenSearch Serverless-Sammlungen erforderlich ist:
Um einer Amazon Bedrock-Wissensdatenbank den Zugriff auf eine private Amazon OpenSearch Serverless-Sammlung zu ermöglichen, müssen Sie die Netzwerkzugriffsrichtlinie für die Amazon OpenSearch Serverless-Sammlung bearbeiten, um Amazon Bedrock als Quellservice zuzulassen. Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie dann die Schritte:
- Console
-
-
Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/.
-
Wählen Sie im linken Navigationsbereich Sammlungen aus. Wählen Sie dann Ihre Sammlung aus.
-
Wählen Sie im Bereich Netzwerk die zugehörige Richtlinie aus.
-
Wählen Sie Bearbeiten aus.
-
Führen Sie unter Methode zur Richtliniendefinition auswählen einen der folgenden Schritte aus:
-
Belassen Sie die Option Methode zur Richtliniendefinition auswählen auf Visueller Editor und konfigurieren Sie die folgenden Einstellungen im Abschnitt Regel 1:
-
(Optional) Geben Sie im Feld Regelname einen Namen für die Netzwerkzugriffsregel ein.
-
Wählen Sie unter Zugriff auf Sammlungen von die Option Privat (empfohlen) aus.
-
Wählen Sie AWS-Service mit privatem Zugriff aus. Geben Sie bedrock.amazonaws.com in das Textfeld ein.
-
Deaktivieren Sie die Option Zugriff auf OpenSearch Dashboards aktivieren.
-
Wählen Sie JSON aus und fügen Sie die folgende Richtlinie in den JSON Editor ein.
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
Wählen Sie Aktualisieren aus.
- API
-
Gehen Sie wie folgt vor, um die Netzwerkzugriffsrichtlinie für OpenSearch Ihre Amazon Serverless-Sammlung zu bearbeiten:
-
Senden Sie eine GetSecurityPolicyAnfrage mit einem OpenSearch serverlosen Endpunkt. Geben Sie den name der Richtlinie an und legen Sie den type auf network fest. Beachten Sie die policyVersion in der Antwort.
-
Senden Sie eine UpdateSecurityPolicyAnfrage mit einem OpenSearch serverlosen Endpunkt. Geben Sie zumindest die folgenden Felder an:
| Feld |
Description |
| name |
Der Name der Richtlinie. |
| policyVersion |
Die policyVersion, die aus der GetSecurityPolicy-Antwort an Sie zurückgegeben wird. |
| type |
Der Typ der Sicherheitsrichtlinie. Geben Sie an network. |
| policy |
Die zu verwendende Richtlinie. Geben Sie das folgende JSON-Objekt an |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
Ein AWS CLI Beispiel finden Sie unter Datenzugriffsrichtlinien erstellen (AWS CLI).
-
Verwenden Sie die Amazon OpenSearch Service-Konsole, indem Sie den Schritten unter Netzwerkrichtlinien erstellen (Konsole) folgen. Anstatt eine Netzwerkrichtlinie zu erstellen, beachten Sie die zugehörige Richtlinie im Netzwerk-Unterabschnitt der Sammlungsdetails.
