Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# So richten Sie Sicherheitskonfigurationen für Ihre Wissensdatenbank ein
<a name="kb-create-security"></a>

Nachdem Sie eine Wissensdatenbank erstellt haben, müssen Sie möglicherweise die folgenden Sicherheitskonfigurationen einrichten:

**Topics**
+ [So richten Sie Zugriffsrichtlinien für Ihre Wissensdatenbank ein](#kb-create-security-data)
+ [Richten Sie Netzwerkzugriffsrichtlinien für Ihre Amazon OpenSearch Serverless-Wissensdatenbank ein](#kb-create-security-network)

## So richten Sie Zugriffsrichtlinien für Ihre Wissensdatenbank ein
<a name="kb-create-security-data"></a>

Wenn Sie eine [benutzerdefinierte Rolle](kb-permissions.md) verwenden, sollten Sie Sicherheitskonfigurationen für Ihre neu erstellte Wissensdatenbank einrichten. Wenn Sie Amazon Bedrock eine Servicerolle für Sie erstellen lassen, können Sie diesen Schritt überspringen. Folgen Sie den Schritten auf der Registerkarte, die der Datenbank entspricht, die Sie eingerichtet haben.

------
#### [ Amazon OpenSearch Serverless ]

Um den Zugriff auf die Amazon OpenSearch Serverless-Sammlung auf die Knowledge-Base-Servicerolle zu beschränken, erstellen Sie eine Datenzugriffsrichtlinie. Sie können dies auf die folgenden Arten tun:
+ Verwenden Sie die Amazon OpenSearch Service-Konsole, indem Sie die Schritte unter [Erstellen von Datenzugriffsrichtlinien (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console) im Amazon OpenSearch Service Developer Guide befolgen.
+ Verwenden Sie die AWS API, indem Sie eine [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html)Anfrage mit einem [OpenSearch serverlosen Endpunkt](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions) senden. Ein AWS CLI Beispiel finden Sie unter [Datenzugriffsrichtlinien erstellen (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).

Verwenden Sie die folgende Datenzugriffsrichtlinie, in der Sie die Amazon OpenSearch Serverless-Sammlung und Ihre Servicerolle angeben:

```
[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]
```

------
#### [ Tannenzapfen, Redis Enterprise Cloud or MongoDB Atlas ]

Um einenPinecone,Redis Enterprise Cloud, MongoDB Atlas-Vektorindex zu integrieren, fügen Sie Ihrer Wissensdatenbankdienst-Rolle die folgende identitätsbasierte Richtlinie hinzu, damit sie auf das AWS Secrets Manager Geheimnis für den Vektorindex zugreifen kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
            }
        }
    }]
}
```

------

------

## Richten Sie Netzwerkzugriffsrichtlinien für Ihre Amazon OpenSearch Serverless-Wissensdatenbank ein
<a name="kb-create-security-network"></a>

Wenn Sie eine private Amazon OpenSearch Serverless-Sammlung für Ihre Wissensdatenbank verwenden, kann nur über einen AWS PrivateLink VPC-Endpunkt darauf zugegriffen werden. Sie können eine private Amazon OpenSearch Serverless-Sammlung erstellen, wenn Sie [Ihre Amazon OpenSearch Serverless-Vektorsammlung einrichten](knowledge-base-setup.md), oder Sie können eine bestehende Amazon OpenSearch Serverless-Sammlung (einschließlich einer, die von der Amazon Bedrock-Konsole für Sie erstellt wurde) privat machen, wenn Sie deren Netzwerkzugriffsrichtlinie konfigurieren.

Die folgenden Ressourcen im Amazon OpenSearch Service Developer Guide helfen Ihnen dabei, die Einrichtung zu verstehen, die für private Amazon OpenSearch Serverless-Sammlungen erforderlich ist:
+ Weitere Informationen zum Einrichten eines VPC-Endpunkts für eine private Amazon OpenSearch Serverless-Sammlung finden Sie unter [Zugriff auf Amazon OpenSearch Serverless über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html) (). AWS PrivateLink
+ Weitere Informationen zu Netzwerkzugriffsrichtlinien in Amazon OpenSearch Serverless finden Sie unter [Netzwerkzugriff für Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html).

Um einer Amazon Bedrock-Wissensdatenbank den Zugriff auf eine private Amazon OpenSearch Serverless-Sammlung zu ermöglichen, müssen Sie die Netzwerkzugriffsrichtlinie für die Amazon OpenSearch Serverless-Sammlung bearbeiten, um Amazon Bedrock als Quellservice zuzulassen. Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und befolgen Sie dann die Schritte:

------
#### [ Console ]

1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Wählen Sie im linken Navigationsbereich **Sammlungen** aus. Wählen Sie dann Ihre Sammlung aus.

1. Wählen Sie im Bereich **Netzwerk** die **zugehörige Richtlinie** aus.

1. Wählen Sie **Bearbeiten** aus.

1. Führen Sie unter **Methode zur Richtliniendefinition auswählen** einen der folgenden Schritte aus:
   + Belassen Sie die Option **Methode zur Richtliniendefinition auswählen** auf **Visueller Editor** und konfigurieren Sie die folgenden Einstellungen im Abschnitt **Regel 1**:

     1. (Optional) Geben Sie im Feld **Regelname** einen Namen für die Netzwerkzugriffsregel ein.

     1. Wählen Sie unter **Zugriff auf Sammlungen von** die Option **Privat (empfohlen)** aus.

     1. Wählen Sie **AWS-Service mit privatem Zugriff** aus. Geben Sie **bedrock.amazonaws.com** in das Textfeld ein.

     1. Deaktivieren Sie die Option **Zugriff auf OpenSearch Dashboards aktivieren**.
   + Wählen Sie **JSON** aus und fügen Sie die folgende Richtlinie in den **JSON Editor** ein.

     ```
     [
         {                                        
             "AllowFromPublic": false,
             "Description":"${network access policy description}",
             "Rules":[
                 {
                     "ResourceType": "collection",
                     "Resource":[
                         "collection/${collection-id}"
                     ]
                 }
             ],
             "SourceServices":[
                 "bedrock.amazonaws.com"
             ]
         }
     ]
     ```

1. Wählen Sie **Aktualisieren** aus.

------
#### [ API ]

Gehen Sie wie folgt vor, um die Netzwerkzugriffsrichtlinie für OpenSearch Ihre Amazon Serverless-Sammlung zu bearbeiten:

1. Senden Sie eine [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Anfrage mit einem [OpenSearch serverlosen Endpunkt](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Geben Sie den `name` der Richtlinie an und legen Sie den `type` auf `network` fest. Beachten Sie die `policyVersion` in der Antwort.

1. Senden Sie eine [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)Anfrage mit einem [OpenSearch serverlosen Endpunkt](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Geben Sie zumindest die folgenden Felder an:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/bedrock/latest/userguide/kb-create-security.html)

   ```
   [
       {                                        
           "AllowFromPublic": false,
           "Description":"${network access policy description}",
           "Rules":[
               {
                   "ResourceType": "collection",
                   "Resource":[
                       "collection/${collection-id}"
                   ]
               }
           ],
           "SourceServices":[
               "bedrock.amazonaws.com"
           ]
       }
   ]
   ```

Ein AWS CLI Beispiel finden Sie unter [Datenzugriffsrichtlinien erstellen (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).

------
+ Verwenden Sie die Amazon OpenSearch Service-Konsole, indem Sie den Schritten unter [Netzwerkrichtlinien erstellen (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console) folgen. Anstatt eine Netzwerkrichtlinie zu erstellen, beachten Sie die **zugehörige Richtlinie** im **Netzwerk**-Unterabschnitt der Sammlungsdetails.