Voraussetzungen und Berechtigungen für die Verwendung von OpenSearch Managed Clusters mit Wissensdatenbanken für Amazon Bedrock - Amazon Bedrock
Wesentliche ÜberlegungenÜberblick über die BerechtigungskonfigurationKonfigurieren von IAM-Richtlinien(Optional) Differenzierte Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen und Berechtigungen für die Verwendung von OpenSearch Managed Clusters mit Wissensdatenbanken für Amazon Bedrock

In diesem Abschnitt erfahren Sie, wie Sie Berechtigungen konfigurieren, wenn Sie Ihre eigene Vektordatenbank mit Amazon OpenSearch Service Managed Clusters erstellen. Diese Konfiguration muss durchgeführt werden, bevor Sie die Wissensdatenbank erstellen. Bei den Schritten wird davon ausgegangen, dass Sie bereits einen Domain- und Vektorindex in Amazon OpenSearch Service erstellt haben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Amazon-OpenSearch-Service-Domains im Entwicklerhandbuch zu Amazon OpenSearch Service.

Wesentliche Überlegungen

Im Folgenden finden Sie einige wichtige Überlegungen zur Verwendung von Wissensdatenbanken für Amazon Bedrock mit Amazon OpenSearch Service Managed Clusters.

  • Bevor Sie Domainressourcen in OpenSearch Managed Cluster verwenden können, müssen Sie bestimmte IAM-Zugriffsberechtigungen und -richtlinien konfigurieren. Für die Integration von Knowledge Bases mit verwalteten Clustern müssen Sie, bevor Sie die Schritte in diesem Abschnitt ausführen, bei einer restriktiven Zugriffsrichtlinie Ihrer Domain die erforderlichen IAM-Berechtigungen gewähren und die ressourcenbasierten Richtlinien konfigurieren. Wir empfehlen außerdem, eine fein abgestufte Zugriffskontrolle zu konfigurieren, um die Berechtigungen gezielt einzuschränken.

  • Wenn Sie bei der Aufnahme der Daten für Ihre Wissensdatenbank auf Fehler stoßen, kann dies darauf hindeuten, dass die OpenSearch-Domainkapazität nicht ausreicht, um die Aufnahmegeschwindigkeit zu bewältigen. Zur Behebung dieses Problems erhöhen Sie die Kapazität Ihrer Domain, indem Sie eine höhere IOPS (Input/Output Operations Per Second) bereitstellen und die Durchsatzeinstellungen erhöhen. Warten Sie einige Minuten, bis die neue Kapazität bereitgestellt ist, und wiederholen Sie dann den Aufnahmevorgang. Überwachen Sie die Leistung während des Wiederholungsvorgangs, um zu prüfen, ob das Problem behoben wurde. Wenn die Drosselung weiterhin besteht, müssen Sie die Kapazität möglicherweise weiter anpassen, um die Effizienz zu verbessern. Weitere Informationen finden Sie unter Bewährte Betriebsmethoden für Amazon OpenSearch Service.

Überblick über die Berechtigungskonfiguration

Für die Integration von Knowledge Bases mit verwalteten Clustern müssen Sie die folgenden IAM-Zugriffsberechtigungen und ressourcenbasierten Richtlinien konfigurieren. Wir empfehlen, differenzierte Zugriffsrichtlinien zu aktivieren, um den Benutzerzugriff und die Granularität, mit der er bis auf die Eigenschaftenebene beschränkt werden muss, weiter zu kontrollieren.

Die folgenden Schritte bieten einen Überblick über die Berechtigungskonfiguration.

  1. So erstellen und verwenden Sie eine Wissensdatenbank-Servicerolle

    Für die Berechtigungen, die Sie konfigurieren möchten, können Sie zwar weiterhin Ihre eigene benutzerdefinierte Rolle angeben, wir empfehlen jedoch, die Option für Wissensdatenbanken für Amazon Bedrock anzugeben, um die Knowledge-Base-Servicerolle für Sie zu erstellen.

  2. So konfigurieren Sie eine ressourcenbasierte Richtlinie

    Die OpenSearch-Domain unterstützt ressourcenbasierte Richtlinien, die festlegen, welche Prinzipale auf die Domain zugreifen und darauf agieren können. Stellen Sie bei der Verwendung mit Knowledge Bases sicher, dass die ressourcenbasierte Richtlinie für Ihre Domain ordnungsgemäß konfiguriert ist.

  3. (Dringend empfohlen) Stellen Sie eine Rollenzuordnung für die differenzierte Zugriffskontrolle bereit

    Eine differenzierte Zugriffskontrolle ist zwar optional, wir empfehlen jedoch, diese zu aktivieren, um die Granularität zu steuern, mit der die Berechtigungen auf Eigenschaftenebene eingeschränkt werden sollen.

Konfigurieren von IAM-Richtlinien

Die Zugriffsrichtlinie Ihrer Domain muss den Rollen in Ihrem Konto die Berechtigungen erteilen, um die erforderlichen OpenSearch-API-Aktionen auszuführen.

Wenn für Ihre Domain eine restriktive Zugriffsrichtlinie gilt, muss diese möglicherweise wie folgt aktualisiert werden:

  • Sie sollte Zugriff auf den Amazon-Bedrock-Service gewähren und die erforderlichen HTTP-Aktionen einschließen: GET, POST, PUT und DELETE.

  • Sie muss Amazon Bedrock außerdem Berechtigungen gewähren, um die es:DescribeDomain-Aktion auf Ihrer Indexressource auszuführen. Auf diese Weise kann Wissensdatenbanken für Amazon Bedrock die erforderlichen Validierungen bei der Konfiguration einer Wissensdatenbank durchführen.

(Optional) Differenzierte Zugriffskontrolle

Durch eine differenzierte Zugriffskontrolle kann die Granularität gesteuert werden, mit der die Berechtigungen auf Eigenschaftsebene begrenzt werden sollen. Sie können die detaillierten Zugriffsrichtlinien konfigurieren, um die Lese- und Schreibberechtigungen zu gewähren, die für die von Knowledge Bases erstellte Servicerolle erforderlich sind.

So konfigurieren Sie die differenzierte Zugriffskontrolle und stellen die Rollenzuordnung bereit:

  1. Stellen Sie sicher, dass die differenzierte Zugriffskontrolle für die von Ihnen erstellte OpenSearch-Domain aktiviert ist.

  2. Erstellen Sie eine OpenSearch-Benutzeroberfläche (Dashboards), wenn das noch nicht geschehen ist. Diese wird verwendet, um die Rollenzuweisung zu konfigurieren

  3. Erstellen Sie in Ihren OpenSearch-Dashboards eine OpenSearch-Rolle und geben Sie den Namen des Vektorindexes sowie die Cluster- und Indexberechtigungen an. Um die Berechtigungen hinzuzufügen, müssen Sie Berechtigungsgruppen erstellen und anschließend die erforderlichen Berechtigungen hinzufügen, die den Zugriff auf eine Reihe von Operationen – Einschließlich delete, search, get und index – für die Rolle gewähren.

  4. Nachdem Sie die erforderlichen Berechtigungen hinzugefügt haben, müssen Sie den ARN Ihrer Knowledge-Base-Servicerolle für die OpenSearch-Backend-Rolle eingeben. Durch das Ausführen dieses Schritts wird die Zuordnung zwischen Ihrer Knowledge-Base-Servicerolle und der OpenSearch-Rolle abgeschlossen. Dadurch erhält Wissensdatenbanken für Amazon Bedrock die Berechtigungen, auf den Vektorindex in der OpenSearch-Domain zuzugreifen und die erforderlichen Operationen auszuführen.

In den folgenden Themen wird erläutert, wie Sie die erforderlichen Berechtigungen konfigurieren.