So konfigurieren Sie OpenSearch-Berechtigungen mit differenzierter Zugriffskontrolle - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So konfigurieren Sie OpenSearch-Berechtigungen mit differenzierter Zugriffskontrolle

Obwohl optional, empfehlen wir Ihnen dringend, die differenzierte Zugriffskontrolle für Ihre OpenSearch-Domain zu aktivieren. Mithilfe einer detaillierten Zugriffskontrolle können Sie eine rollenbasierte Zugriffskontrolle verwenden, mit der Sie eine OpenSearch-Rolle mit bestimmten Berechtigungen erstellen und sie der Knowledge-Base-Servicerolle zuordnen können. Die Zuordnung gewährt Ihrer Wissensdatenbank die erforderlichen Mindestberechtigungen, um auf die OpenSearch-Domain und den OpenSearch-Index zuzugreifen und dort Operationen auszuführen.

So konfigurieren und verwenden Sie die differenzierte Zugriffskontrolle:

  1. Stellen Sie sicher, dass die differenzierte Zugriffskontrolle für die von Ihnen verwendete OpenSearch-Domain aktiviert ist.

  2. Für Ihre Domain mit fein differenzierter Zugriffskontrolle konfigurieren Sie die Berechtigungen mithilfe eingeschränkter Richtlinien in Form einer OpenSearch-Rolle.

  3. Für die Domain, für die Sie eine Rolle erstellen, fügen Sie eine Rollenzuordnung zur Knowledge-Base-Servicerolle hinzu.

Die folgenden Schritte zeigen, wie Sie Ihre OpenSearch-Rolle konfigurieren und die korrekte Zuordnung zwischen der OpenSearch-Rolle und der Knowledge-Base-Servicerolle sicherstellen.

So erstellen Sie eine OpenSearch-Rolle und konfigurieren Berechtigungen

Nachdem Sie die differenzierte Zugriffskontrolle aktiviert und Amazon Bedrock für die Verbindung mit dem OpenSearch-Service konfiguriert haben, können Sie Berechtigungen über den Link OpenSearch Dashboards für einzelne OpenSearch-Domains konfigurieren.

So konfigurieren Sie die Berechtigungen für eine Domain, um Zugriff auf Amazon Bedrock zu gewähren:

  1. Öffnen Sie das OpenSearch Dashboard für die OpenSearch-Domain, mit der Sie arbeiten möchten. Um den Link zu Dashboards zu finden, navigieren Sie zu der Domain, die Sie in der OpenSearch-Service-Konsole erstellt haben. Für Domains, auf denen OpenSearch ausgeführt wird, hat die URL das Format domain-endpoint/_dashboards/. Weitere Informationen finden Sie unter Dashboards im Entwicklerhandbuch zu Amazon OpenSearch Service.

  2. Wählen Sie im OpenSearch-Dashboard Sicherheit und dann Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Geben Sie einen beliebigen Namen für die Rolle ein, z. B. kb_opensearch_role.

  5. Fügen Sie unter Cluster-Berechtigungen die folgenden Berechtigungen hinzu.

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. Geben Sie unter Indexberechtigungen einen Namen für den Vektorindex ein. Wählen Sie Neue Berechtigungsgruppe erstellen und dann Neue Aktionsgruppe erstellen aus. Fügen Sie einer Aktionsgruppe die folgenden Berechtigungen hinzu, z. B. KnowledgeBasesActionGroup. Fügen Sie die folgenden Berechtigungen zu einer Aktionsgruppe hinzu.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    Die Aktionsgruppen, die in OpenSearch Dashboards erstellt werden müssen, um Cluster- und Indexberechtigungen hinzuzufügen.

  7. Klicken Sie auf Erstellen, um die OpenSearch-Rolle zu erstellen.

Nachfolgend sehen Sie ein Beispiel für eine OpenSearch-Rolle mit den hinzugefügten Berechtigungen.

Ein Beispiel für eine OpenSearch-Rolle in OpenSearch Dashboards mit den hinzugefügten Berechtigungen.
So erstellen Sie eine Rollenzuordnung für Ihre Knowledge-Base-Servicerolle

  1. Identifizieren Sie die IAM-Rolle, die zugeordnet werden soll.

    • Wenn Sie Ihre eigene benutzerdefinierte IAM-Rolle erstellt haben, können Sie den Rollen-ARN für diese Rolle aus der IAM-Konsole kopieren.

    • Wenn Sie Knowledge Bases erlauben, die Rolle für Sie zu erstellen, können Sie sich bei der Erstellung Ihrer Wissensdatenbank den Rollen-ARN notieren und dann diesen Rollen-ARN kopieren.

  2. Öffnen Sie das OpenSearch Dashboard für die OpenSearch-Domain, mit der Sie arbeiten möchten. Die URL hat das Format domain-endpoint/_dashboards/.

  3. Wählen Sie im Navigationsbereich Sicherheit aus.

  4. Suchen Sie in der Liste nach der Rolle, die Sie gerade erstellt haben, z. B. kb_opensearch_role und öffnen Sie sie.

  5. Wählen Sie auf der Registerkarte Zugeordnete Benutzer die Option Zuordnung verwalten aus.

  6. Geben Sie im Abschnitt Backend-Rollen den ARN der von AWS verwalteten IAM-Rolle für Knowledge Bases ein. Je nachdem, ob Sie eine eigene benutzerdefinierte Rolle erstellt haben oder ob die Rolle von Knowledge Bases erstellt wurde, kopieren Sie die Rollen-ARN-Informationen aus der IAM-Konsole oder der Amazon-Bedrock-Konsole und tragen diese Informationen dann unter Backend-Rollen in der OpenSearch-Konsole ein. Im Folgenden sehen Sie ein Beispiel.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Wählen Sie Zuordnen aus.

    Die Knowledge-Base-Servicerolle kann jetzt eine Verbindung zur OpenSearch-Rolle herstellen und die erforderlichen Operationen für die Domain und den Index ausführen.