Konfiguration ressourcenbasierter Richtlinien für verwaltete Cluster OpenSearch - Amazon Bedrock
Beispiele für identitätsbasierte und ressourcenbasierte RichtlinienSo erstellen Sie die Servicerolle für Wissensdatenbanken für Amazon BedrockSo aktualisieren Sie die ressourcenbasierten Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration ressourcenbasierter Richtlinien für verwaltete Cluster OpenSearch

Bei der Erstellung Ihrer Wissensdatenbank können Sie entweder Ihre eigene benutzerdefinierte Rolle erstellen oder Sie lassen eine Rolle von Amazon Bedrock für Sie erstellen. Wie Sie die Berechtigungen konfigurieren, hängt davon ab, ob Sie eine neue Rolle erstellen oder eine vorhandene Rolle verwenden. Wenn Sie bereits über eine IAM-Rolle verfügen, müssen Sie sicherstellen, dass die Zugriffsrichtlinie Ihrer Domain die Rollen in Ihrem Konto nicht daran hindert, die erforderlichen OpenSearch API-Aktionen auszuführen.

Wenn Sie sich dafür entscheiden, Amazon Bedrock Knowledge Bases die IAM-Rolle für Sie erstellen zu lassen, müssen Sie sicherstellen, dass die Zugriffsrichtlinie Ihrer Domain die Berechtigungen zur Ausführung der erforderlichen OpenSearch API-Aktionen durch die Rollen in Ihrem Konto gewährt. Wenn für Ihre Domain eine restriktive Zugriffsrichtlinie gilt, kann diese verhindern, dass Ihre Rolle diese Aktionen ausführt. Hier ein Beispiel für eine restriktive ressourcenbasierte Richtlinie.

In diesem Fall können Sie entweder:

  • Erstellen Sie Ihre Wissensdatenbank mithilfe einer vorhandenen IAM-Rolle, sodass Ihre OpenSearch Domain Zugriff auf diese Rolle gewähren kann, um die erforderlichen Operationen durchzuführen.

  • Alternativ können Sie Amazon Bedrock eine neue Rolle für Sie erstellen lassen. In diesem Fall müssen Sie sicherstellen, dass die Zugriffsrichtlinie der Domain den Rollen in Ihrem Konto die Berechtigungen zur Durchführung der erforderlichen OpenSearch API-Aktionen gewährt.

Die folgenden Abschnitte zeigen ein Beispiel für eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt, und wie Sie die Zugriffsrichtlinie der Domain aktualisieren können, sodass sie Berechtigungen für die Durchführung der erforderlichen OpenSearch API-Operationen gewährt.

Beispiele für identitätsbasierte und ressourcenbasierte Richtlinien

Dieser Abschnitt enthält ein Beispiel für eine Identitätsrichtlinie und eine ressourcenbasierte Richtlinie, die Sie bei der Integration mit Amazon Bedrock Knowledge Bases für Ihre OpenSearch Domain konfigurieren können. Sie müssen Amazon Bedrock die erforderlichen Berechtigungen erteilen, um diese Aktionen für den Index durchzuführen, den Sie Ihrer Wissensdatenbank zur Verfügung stellen.

Action Ressource Description
es:ESHttpPost arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Einfügen von Informationen in den Index
es:ESHttpGet

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Auslese von Informationen aus dem Index. Diese Aktion wird sowohl auf der domain/index- und der domain/index/*-Ebene konfiguriert. Auf der domain/index-Ebene kann sie detaillierte Informationen über den Index abrufen, z. B. den Engine-Typ. Um die im Index gespeicherten Details abzurufen, sind Berechtigungen auf domain/index/*-Ebene erforderlich.
es:ESHttpHead

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Abrufen von Informationen aus dem Index. Diese Aktion wird auf der domain/index- und der domain/index/*-Ebene konfiguriert, falls Informationen auf einer höheren Ebene abgerufen werden müssen, z. B. um festzustellen, ob ein bestimmter Index vorhanden ist.
es:ESHttpDelete arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Zum Löschen von Informationen aus dem Index
es:DescribeDomain arn:<partition>:es:<region>:<accountId>:domain/<domainName> Durchführen von Validierungen für die Domain, z. B. für die verwendete Engine-Version.
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OpenSearchIndexAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPost",
                "es:ESHttpPut",
                "es:ESHttpDelete"
            ],
            "Resource": [
                "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
            ]
        },
        {
            "Sid": "OpenSearchIndexGetAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpHead"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
            ]
        },
        {
            "Sid": "OpenSearchDomainValidation",
            "Effect": "Allow",
            "Action": [
                "es:DescribeDomain"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName"
            ]
        }
    ]
}
Anmerkung

Stellen Sie sicher, dass die Servicerolle erstellt wurde, damit sie in der ressourcenbasierten Richtlinie verwendet werden kann.

So erstellen Sie die Servicerolle für Wissensdatenbanken für Amazon Bedrock

Bei der Erstellung der Wissensdatenbank können Sie die Option wählen, eine neue Servicerolle zu erstellen und zu verwenden. Dieser Abschnitt führt Sie durch die Erstellung der Servicerolle für Wissensdatenbanken für Amazon Bedrock. Durch die Zuordnung der ressourcenbasierten Richtlinien und der detaillierten Zugriffsrichtlinien zu dieser Rolle erhält Amazon Bedrock die Berechtigungen, Anfragen an die Domain zu stellen. OpenSearch

So geben Sie die Servicerolle für Amazon Bedrock Knowledge an:

  1. Navigieren Sie in der Amazon-Bedrock-Konsole zu Knowledge Bases.

  2. Klicken Sie auf Erstellen und anschließend auf Wissensdatenbank mit Vektorspeicher.

  3. Wählen Sie Neue Servicerolle erstellen und verwenden aus. Hier können Sie entweder den Standard verwenden oder einen benutzerdefinierten Rollennamen angeben, und Amazon Bedrock erstellt automatisch die Servicerolle für Knowledge Bases für Sie.

  4. Fahren Sie in der Konsole fort, um Ihre Datenquelle sowie die Strategien für das Parsen und die Aufteilung in Datenblöcke zu konfigurieren.

  5. Wählen Sie ein Embeddings-Modell und dann unter Vorhandenen Vector Store auswählen die Option Amazon OpenSearch Managed Cluster aus.

Wichtig

Bevor Sie mit der Erstellung der Wissensdatenbank fortfahren, führen Sie die folgenden Schritte aus, um die ressourcenbasierten Richtlinien und differenzierten Zugriffsrichtlinien zu konfigurieren. Ausführliche Schritte zur Erstellung der Wissensdatenbank finden Sie unter So erstellen Sie eine Wissensdatenbank, indem Sie in Wissensdatenbanken für Amazon Bedrock eine Verbindung zu einer Datenquelle herstellen.

So aktualisieren Sie die ressourcenbasierten Richtlinien

Wenn für Ihre OpenSearch Domain eine restriktive Zugriffsrichtlinie gilt, können Sie den Anweisungen auf dieser Seite folgen, um die ressourcenbasierte Richtlinie zu aktualisieren. Diese Berechtigungen ermöglichen es Knowledge Bases, den von Ihnen bereitgestellten Index zu verwenden und die OpenSearch Domaindefinition abzurufen, um die erforderliche Validierung für die Domain durchzuführen.

Um die ressourcenbasierten Richtlinien über das zu konfigurieren AWS-Managementkonsole

  1. Gehen Sie zur Amazon OpenSearch Service-Konsole.

  2. Navigieren Sie zu der Domain, die Sie erstellt haben, und wechseln Sie dann zu Sicherheitskonfigurationen, wo die ressourcenbasierte Richtlinie konfiguriert wird.

  3. Bearbeiten Sie die Richtlinie auf der Registerkarte JSON und aktualisieren Sie dann die Richtlinie ähnlich wie Beispiel einer ressourcenbasierten Richtlinie.

  4. Sie können jetzt zur Amazon Bedrock-Konsole zurückkehren und die Details für Ihre OpenSearch Domain und Ihren Index angeben, wie unter Wissensdatenbank-Setup für verwaltete Cluster beschrieben.