Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuraciones de seguridad para la base de conocimientos
Después de crear una base de conocimientos, es posible que tenga que configurar los siguientes ajustes de seguridad:
**Topics**
+ [Configuración de políticas de acceso a datos para la base de conocimientos](#kb-create-security-data)
+ [Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless](#kb-create-security-network)
## Configuración de políticas de acceso a datos para la base de conocimientos
Si utiliza un [rol personalizado](kb-permissions.md), establezca las configuraciones de seguridad para la base de conocimientos recién creada. Si permite que Amazon Bedrock cree un rol de servicio para usted, puede omitir este paso. Siga los pasos de la pestaña correspondiente a la base de datos que configuró.
------
#### [ Amazon OpenSearch Serverless ]
Para restringir el acceso a la colección Amazon OpenSearch Serverless a la función de servicio de la base de conocimientos, cree una política de acceso a los datos. Puede hacerlo de las siguientes maneras:
+ Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en [Creación de políticas de acceso a datos (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console) en la Guía para desarrolladores de Amazon OpenSearch Service.
+ Usa la AWS API enviando una [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html)solicitud con un [punto final OpenSearch sin servidor](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Para ver un AWS CLI ejemplo, consulte [Creación de políticas de acceso a datos (AWS CLI).](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli)
Utilice la siguiente política de acceso a datos, especificando la recopilación de Amazon OpenSearch Serverless y su función de servicio:
```
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
```
------
#### [ Piña, Redis Enterprise Cloud or MongoDB Atlas ]
Para integrar un Pinecone índice vectorial de MongoDB Atlas, adjunte la siguiente política basada en la identidad a su rol de servicio de la base de conocimientos para permitirle acceder al secreto AWS Secrets Manager del índice vectorial. Redis Enterprise Cloud
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
}
}
}]
}
```
------
------
## Configure políticas de acceso a la red para su base de conocimiento de Amazon OpenSearch Serverless
Si utiliza una colección privada de Amazon OpenSearch Serverless para su base de conocimientos, solo podrá acceder a ella a través de un punto de enlace de AWS PrivateLink VPC. Puede crear una colección privada de Amazon OpenSearch Serverless al [configurar su colección vectorial de Amazon OpenSearch Serverless o puede hacer que una colección](knowledge-base-setup.md) Amazon OpenSearch Serverless existente (incluida una que la consola de Amazon Bedrock haya creado para usted) sea privada al configurar su política de acceso a la red.
Los siguientes recursos de la Guía para desarrolladores de Amazon OpenSearch Service le ayudarán a comprender la configuración necesaria para las colecciones privadas de Amazon OpenSearch Serverless:
+ Para obtener más información sobre cómo configurar un punto de enlace de VPC para una colección privada de Amazon OpenSearch Serverless, consulte Acceder a [Amazon OpenSearch Serverless mediante un punto de enlace de interfaz](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html) (). AWS PrivateLink
+ Para obtener más información sobre las políticas de acceso a la red en Amazon OpenSearch Serverless, consulte [Acceso a la red para Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html).
Para permitir que una base de conocimiento de Amazon Bedrock acceda a una colección privada de Amazon OpenSearch Serverless, debe editar la política de acceso a la red de la colección Amazon OpenSearch Serverless para permitir que Amazon Bedrock sea un servicio de origen. Elija la pestaña del método que prefiera y siga estos pasos:
------
#### [ Console ]
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. En el panel de navegación de la izquierda, seleccione **Colecciones**. A continuación, elija su colección.
1. En la sección **Red**, seleccione **Política asociada**.
1. Elija **Edit (Edición de)**.
1. Para **Seleccionar método de definición de política**, realice una de las siguientes acciones:
+ Deje **Seleccionar método de definición de política** como **Editor visual** y configure los siguientes ajustes en la sección **Regla 1**:
1. (Opcional) En el campo **Nombre de la regla**, introduzca un nombre para la regla de acceso a la red.
1. En **Obtener acceso a las colecciones desde**, seleccione **Privado (recomendado)**.
1. Seleccione **Acceso privado a los servicios de AWS**. Escriba **bedrock.amazonaws.com** en el cuadro de texto.
1. Anule la selección de **Habilitar el acceso a los OpenSearch paneles de control**.
+ Elija **JSON** y pegue la siguiente política en el **Editor JSON**.
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
1. Elija **Actualizar**.
------
#### [ API ]
Para editar la política de acceso a la red de su colección de Amazon OpenSearch Serverless, haga lo siguiente:
1. Envíe una [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)solicitud con un punto final [OpenSearch sin servidor](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Especifique el `name` de la política y el `type` como `network`. Tenga en cuenta los `policyVersion` en la respuesta.
1. Envíe una [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)solicitud con un punto final [OpenSearch sin servidor](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Debe especificar al menos los siguientes campos:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/bedrock/latest/userguide/kb-create-security.html)
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
Para ver un AWS CLI ejemplo, consulte [Creación de políticas de acceso a datos (AWS CLI).](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli)
------
+ Usa la consola de Amazon OpenSearch Service siguiendo los pasos que se indican en [Creación de políticas de red (consola)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console). En lugar de crear una política de red, tome nota de la **política asociada** de la subsección **Red** en los detalles de la colección.