Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos y permisos necesarios para usar clústeres OpenSearch gestionados con las bases de conocimiento de Amazon Bedrock
En esta sección, se muestra cómo configurar los permisos si va a crear su propia base de datos vectorial con Amazon OpenSearch Service Managed Clusters. Esta configuración debe realizarse antes de crear la base de conocimiento. En los pasos se presupone que ya has creado un dominio y un índice vectorial en Amazon OpenSearch Service. Para obtener más información, consulta Crear y gestionar dominios OpenSearch de servicio en la guía para desarrolladores OpenSearch de Amazon Service.
Consideraciones clave
Las siguientes son algunas consideraciones clave para usar las bases de conocimiento de Amazon Bedrock con los clústeres gestionados por Amazon OpenSearch Service.
-
Antes de utilizar cualquier recurso de dominio en los clústeres OpenSearch gestionados, debe configurar determinados permisos y políticas de acceso de IAM. Para la integración de las bases de conocimiento con los clústeres administrados, antes de realizar los pasos de esta sección, si su dominio tiene una política de acceso restrictiva, debe conceder el acceso de IAM necesario y configurar las políticas basadas en los recursos. También le recomendamos que configure un control de acceso detallado para limitar los permisos.
-
Al ingerir los datos para su base de conocimientos, si encuentra errores, esto podría indicar que la capacidad del OpenSearch dominio es insuficiente para gestionar la velocidad de ingesta. Para resolver este problema, aumente la capacidad de su dominio aprovisionando IOPS (operaciones de entrada/salida por segundo) mayores y aumentando la configuración de rendimiento. Espere varios minutos hasta que se aprovisione la nueva capacidad y, a continuación, vuelva a intentar el proceso de ingesta. Para comprobar que el problema se ha resuelto, puede supervisar el rendimiento durante el proceso de reintento. Si la limitación persiste, es posible que tenga que ajustar aún más la capacidad para mejorar la eficiencia. Para obtener más información, consulta Mejores prácticas operativas para Amazon OpenSearch Service.
Descripción general de la configuración de permisos
Para la integración de las bases de conocimiento con los clústeres administrados, debe configurar los siguientes permisos de acceso de IAM y políticas basadas en recursos. Le recomendamos que habilite políticas de acceso detalladas para controlar aún más el acceso de los usuarios y la granularidad con la que se debe reducir su alcance hasta el nivel de propiedad.
Los siguientes pasos proporcionan información general sobre cómo configurar los permisos.
-
Creación y uso del rol de servicio de la base de conocimiento
Para los permisos que desee configurar, aunque puede proporcionar su propio rol personalizado, le recomendamos que especifique la opción para que Bases de conocimiento de Amazon Bedrock cree el rol de servicio de la base de conocimiento por usted.
-
Configuración de una política basada en recursos
El OpenSearch dominio admite políticas basadas en recursos, que determinan qué directores pueden acceder al dominio y actuar en él. Para usarlo con las bases de conocimiento, asegúrese de configurar correctamente la política basada en recursos para su dominio.
-
(Absolutamente recomendable) Proporcione una asignación de roles para el control de acceso detallado
Aunque el control de acceso detallado es opcional, le recomendamos que lo habilite para controlar la granularidad con la que se deben limitar los permisos en el nivel de propiedad.
Configuración de políticas de IAM
La política de acceso de tu dominio debe conceder los permisos necesarios para que los roles de tu cuenta realicen las acciones de OpenSearch API requeridas.
Si su dominio tiene una política de acceso restrictiva, es posible que tenga que actualizarla de la siguiente manera:
-
Debe conceder acceso al servicio de Amazon Bedrock e incluir las acciones HTTP requeridas:
GET,POST,PUTyDELETE. -
También debe conceder permisos a Amazon Bedrock para realizar la acción
es:DescribeDomainen el recurso indexado. Esto permite a Bases de conocimiento de Amazon Bedrock realizar las validaciones necesarias al configurar una base de conocimiento.
(Opcional) Control de acceso detallado
Un control de acceso detallado puede controlar la granularidad con la que se deben establecer los permisos en el nivel de propiedad. Puede configurar las políticas de acceso detalladas para conceder los permisos de lectura y escritura necesarios para el rol de servicio creado por Bases de conocimiento.
Para configurar el control de acceso detallado y proporcionar la asignación de roles:
-
Asegúrate de que el OpenSearch dominio que has creado tenga habilitado el control de acceso detallado.
-
Cree una OpenSearch interfaz de usuario (paneles), si aún no lo ha hecho. Se usará para configurar la asignación de roles
-
En sus OpenSearch paneles, cree un OpenSearch rol y especifique el nombre del índice vectorial y los permisos del clúster y el índice. Para añadir los permisos, debe crear grupos de permisos y, a continuación, añadir los permisos necesarios que permitan el acceso para realizar un conjunto de operaciones, como
delete,search,geteindexpara el rol. -
Una vez que haya agregado los permisos necesarios, debe introducir el ARN de su función de servicio de Knowledge base para la función de OpenSearch back-end. Al realizar este paso, se completará la asignación entre su función de servicio de base de conocimientos y la OpenSearch función, que luego concederá a Amazon Bedrock Knowledge Bases permisos para acceder al índice vectorial del OpenSearch dominio y realizar las operaciones necesarias.
En los siguientes temas se muestra cómo configurar los permisos necesarios.
