Configuración de permisos de OpenSearch con control de acceso detallado - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de permisos de OpenSearch con control de acceso detallado

Aunque es opcional, le recomendamos encarecidamente que habilite el control de acceso detallado para su dominio de OpenSearch. Al utilizar un control de acceso detallado, puede utilizar un control de acceso basado en roles, que le permite crear un rol de OpenSearch con permisos específicos y asignarlo al rol de servicio de la base de conocimiento. La asignación otorga a su base de conocimiento los permisos mínimos necesarios que le permiten acceder al dominio y el índice de OpenSearch y realizar operaciones en ellos.

Cómo configurar y usar el control de acceso detallado:

  1. Asegúrese de que el dominio de OpenSearch que ha creado tenga habilitado el control de acceso detallado.

  2. Para el dominio con control de acceso detallado, configure permisos con políticas de alcance limitado en forma de rol de OpenSearch.

  3. Para el dominio para el que cree un rol, agregue una asignación de roles al rol de servicio de la base de conocimiento.

Los siguientes pasos muestran cómo configurar el rol de OpenSearch y garantizar la asignación correcta entre el rol de OpenSearch y el rol de servicio de la base de conocimiento.

Cómo crear un rol de OpenSearch y configurar los permisos

Una vez que haya habilitado el control de acceso detallado y haya configurado Amazon Bedrock para que se conecte al servicio de OpenSearch, puede configurar los permisos mediante el enlace de OpenSearch Dashboards para cada dominio de OpenSearch.

Cómo configurar permisos de un dominio para permitir el acceso a Amazon Bedrock:

  1. Abra OpenSearch Dashboards para el dominio de OpenSearch con el que desee trabajar. Para encontrar el enlace a Dashboards, vaya al dominio que ha creado en la consola de OpenSearch Service. Para los dominios que ejecutan OpenSearch, la URL tiene el formato domain-endpoint/_dashboards/. Para obtener más información, consulte Dashboards en la Guía para desarrolladores de Amazon OpenSearch Service.

  2. En OpenSearch Dashboards, vaya a Seguridad y elija Roles.

  3. Seleccione Crear rol.

  4. Proporcione cualquier nombre para el rol, por ejemplo, kb_opensearch_role.

  5. En Permisos del clúster, añada los siguientes permisos:

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. En Permisos de índice, proporcione un nombre para el índice vectorial. Elija Crear nuevo grupo de permisos y, a continuación, elija Crear nuevo grupo de acciones. Añada los siguientes permisos a un grupo de acciones, como KnowledgeBasesActionGroup. Añada los siguientes permisos a un grupo de acciones.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    Los grupos de acciones que se crean en OpenSearch Dashboards para añadir permisos de clúster e índice.

  7. Para crear un rol de OpenSearch, elija Crear.

A continuación, se muestra un ejemplo de rol de OpenSearch con los permisos añadidos.

Un ejemplo de rol de OpenSearch en OpenSearch Dashboards con los permisos añadidos.
Cómo crear una asignación de roles a su rol de servicio de la base de conocimiento

  1. Identifique el rol de IAM que será necesario asignar.

    • Si ha creado su propio rol de IAM personalizado, puede copiar el ARN de este rol desde la consola de IAM.

    • Si permite que Bases de conocimiento cree el rol por usted, puede anotar el ARN del rol al crear su base de conocimiento y, a continuación, copiar el ARN de este rol.

  2. Abra OpenSearch Dashboards para el dominio de OpenSearch con el que desee trabajar. El formato de la URL es domain-endpoint/_dashboards/.

  3. En el panel de navegación, elija Seguridad.

  4. Busque el rol que acaba de crear en la lista (por ejemplo, kb_opensearch_role) y ábralo.

  5. En la pestaña Usuarios asignados, elija Administrar asignación.

  6. En la sección Roles de backend, introduzca el ARN del rol de IAM administrado por AWS para Bases de conocimiento. En función de si ha creado su propio rol personalizado o ha dejado que Bases de conocimiento lo cree por usted, copie la información del ARN del rol de la consola de IAM o de la consola de Amazon Bedrock y, a continuación, introduzca esa información para los roles de backend en la consola de OpenSearch. A continuación se muestra un ejemplo.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Elija Asignar.

    El rol de servicio de la base de conocimiento ahora puede conectarse al rol de OpenSearch y realizar las operaciones necesarias en el dominio y el índice.