Voraussetzungen und Berechtigungen, die für die Verwendung von OpenSearch Managed Clusters mit Amazon Bedrock Knowledge Bases erforderlich sind - Amazon Bedrock
Wesentliche ÜberlegungenÜberblick über die BerechtigungskonfigurationKonfigurieren von IAM-Richtlinien(Optional) Differenzierte Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen und Berechtigungen, die für die Verwendung von OpenSearch Managed Clusters mit Amazon Bedrock Knowledge Bases erforderlich sind

In diesem Abschnitt erfahren Sie, wie Sie Berechtigungen konfigurieren, wenn Sie Ihre eigene Vektordatenbank mit Amazon OpenSearch Service Managed Clusters erstellen. Diese Konfiguration muss durchgeführt werden, bevor Sie die Wissensdatenbank erstellen. Bei den Schritten wird davon ausgegangen, dass Sie bereits einen Domain- und Vektorindex in Amazon OpenSearch Service erstellt haben. Weitere Informationen finden Sie unter OpenSearch Service-Domains erstellen und verwalten im Amazon OpenSearch Service Developer Guide.

Wesentliche Überlegungen

Im Folgenden finden Sie einige wichtige Überlegungen zur Verwendung von Amazon Bedrock Knowledge Bases mit Amazon OpenSearch Service Managed Clusters.

  • Bevor Sie Domain-Ressourcen in OpenSearch verwalteten Clustern verwenden können, müssen Sie bestimmte IAM-Zugriffsberechtigungen und -richtlinien konfigurieren. Für die Integration von Knowledge Bases mit verwalteten Clustern müssen Sie, bevor Sie die Schritte in diesem Abschnitt ausführen, bei einer restriktiven Zugriffsrichtlinie Ihrer Domain die erforderlichen IAM-Berechtigungen gewähren und die ressourcenbasierten Richtlinien konfigurieren. Wir empfehlen außerdem, eine fein abgestufte Zugriffskontrolle zu konfigurieren, um die Berechtigungen gezielt einzuschränken.

  • Wenn Sie bei der Erfassung der Daten für Ihre Wissensdatenbank auf Fehler stoßen, kann dies darauf hindeuten, dass die OpenSearch Domänenkapazität nicht ausreicht, um die Geschwindigkeit der Datenerfassung zu bewältigen. Zur Behebung dieses Problems erhöhen Sie die Kapazität Ihrer Domain, indem Sie eine höhere IOPS (Input/Output Operations Per Second) bereitstellen und die Durchsatzeinstellungen erhöhen. Warten Sie einige Minuten, bis die neue Kapazität bereitgestellt ist, und wiederholen Sie dann den Aufnahmevorgang. Überwachen Sie die Leistung während des Wiederholungsvorgangs, um zu prüfen, ob das Problem behoben wurde. Wenn die Drosselung weiterhin besteht, müssen Sie die Kapazität möglicherweise weiter anpassen, um die Effizienz zu verbessern. Weitere Informationen finden Sie unter Best Practices für den Betrieb von Amazon OpenSearch Service.

Überblick über die Berechtigungskonfiguration

Für die Integration von Knowledge Bases mit verwalteten Clustern müssen Sie die folgenden IAM-Zugriffsberechtigungen und ressourcenbasierten Richtlinien konfigurieren. Wir empfehlen, differenzierte Zugriffsrichtlinien zu aktivieren, um den Benutzerzugriff und die Granularität, mit der er bis auf die Eigenschaftenebene beschränkt werden muss, weiter zu kontrollieren.

Die folgenden Schritte bieten einen Überblick über die Berechtigungskonfiguration.

  1. So erstellen und verwenden Sie eine Wissensdatenbank-Servicerolle

    Für die Berechtigungen, die Sie konfigurieren möchten, können Sie zwar weiterhin Ihre eigene benutzerdefinierte Rolle angeben, wir empfehlen jedoch, die Option für Wissensdatenbanken für Amazon Bedrock anzugeben, um die Knowledge-Base-Servicerolle für Sie zu erstellen.

  2. So konfigurieren Sie eine ressourcenbasierte Richtlinie

    Die OpenSearch Domain unterstützt ressourcenbasierte Richtlinien, die festlegen, welche Principals auf die Domain zugreifen und darauf reagieren können. Stellen Sie bei der Verwendung mit Knowledge Bases sicher, dass die ressourcenbasierte Richtlinie für Ihre Domain ordnungsgemäß konfiguriert ist.

  3. (Dringend empfohlen) Stellen Sie eine Rollenzuordnung für die differenzierte Zugriffskontrolle bereit

    Eine differenzierte Zugriffskontrolle ist zwar optional, wir empfehlen jedoch, diese zu aktivieren, um die Granularität zu steuern, mit der die Berechtigungen auf Eigenschaftenebene eingeschränkt werden sollen.

Konfigurieren von IAM-Richtlinien

Die Zugriffsrichtlinie Ihrer Domain muss den Rollen in Ihrem Konto die Berechtigungen zur Durchführung der erforderlichen OpenSearch API-Aktionen gewähren.

Wenn für Ihre Domain eine restriktive Zugriffsrichtlinie gilt, muss diese möglicherweise wie folgt aktualisiert werden:

  • Sie sollte Zugriff auf den Amazon-Bedrock-Service gewähren und die erforderlichen HTTP-Aktionen einschließen: GET, POST, PUT und DELETE.

  • Sie muss Amazon Bedrock außerdem Berechtigungen gewähren, um die es:DescribeDomain-Aktion auf Ihrer Indexressource auszuführen. Auf diese Weise kann Wissensdatenbanken für Amazon Bedrock die erforderlichen Validierungen bei der Konfiguration einer Wissensdatenbank durchführen.

(Optional) Differenzierte Zugriffskontrolle

Durch eine differenzierte Zugriffskontrolle kann die Granularität gesteuert werden, mit der die Berechtigungen auf Eigenschaftsebene begrenzt werden sollen. Sie können die detaillierten Zugriffsrichtlinien konfigurieren, um die Lese- und Schreibberechtigungen zu gewähren, die für die von Knowledge Bases erstellte Servicerolle erforderlich sind.

So konfigurieren Sie die differenzierte Zugriffskontrolle und stellen die Rollenzuordnung bereit:

  1. Stellen Sie sicher, dass für die von Ihnen erstellte OpenSearch Domain eine detaillierte Zugriffskontrolle aktiviert ist.

  2. Erstellen Sie eine OpenSearch Benutzeroberfläche (Dashboards), falls Sie dies noch nicht getan haben. Diese wird verwendet, um die Rollenzuweisung zu konfigurieren

  3. Erstellen Sie in Ihren OpenSearch Dashboards eine OpenSearch Rolle und geben Sie den Namen des Vektorindexes sowie die Cluster- und Indexberechtigungen an. Um die Berechtigungen hinzuzufügen, müssen Sie Berechtigungsgruppen erstellen und anschließend die erforderlichen Berechtigungen hinzufügen, die den Zugriff auf eine Reihe von Operationen – Einschließlich delete, search, get und index – für die Rolle gewähren.

  4. Nachdem Sie die erforderlichen Berechtigungen hinzugefügt haben, müssen Sie den ARN Ihrer Knowledge-Base-Servicerolle für die OpenSearch Back-End-Rolle eingeben. Wenn Sie diesen Schritt ausführen, wird die Zuordnung zwischen Ihrer Knowledge Base Service-Rolle und der OpenSearch Rolle abgeschlossen, wodurch Amazon Bedrock Knowledge Bases-Berechtigungen für den Zugriff auf den Vektorindex in der OpenSearch Domain und die Ausführung der erforderlichen Operationen erteilt werden.

In den folgenden Themen wird erläutert, wie Sie die erforderlichen Berechtigungen konfigurieren.