Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos y permisos necesarios para usar los clústeres administrados de OpenSearch con Bases de conocimiento de Amazon Bedrock
En esta sección, se muestra cómo configurar los permisos si va a crear su propia base de datos vectorial con clústeres administrados de Amazon OpenSearch Service. Esta configuración debe realizarse antes de crear la base de conocimiento. En los pasos se presupone que ya ha creado un índice de dominios y vectores en Amazon OpenSearch Service. Para obtener más información, consulte Creación y administración de dominios de OpenSearch Service en la Guía para desarrolladores de Amazon OpenSearch Service.
Consideraciones clave
A continuación, se incluyen algunas consideraciones clave para utilizar Bases de conocimiento de Amazon Bedrock con los clústeres administrados de Amazon OpenSearch Service.
-
Antes de utilizar cualquier recurso de dominio en los clústeres administrados de OpenSearch, debe configurar determinados permisos y políticas de acceso de IAM. Para la integración de las bases de conocimiento con los clústeres administrados, antes de realizar los pasos de esta sección, si su dominio tiene una política de acceso restrictiva, debe conceder el acceso de IAM necesario y configurar las políticas basadas en los recursos. También le recomendamos que configure un control de acceso detallado para limitar los permisos.
-
Al ingerir los datos para su base de conocimiento, si encuentra errores, esto podría indicar que la capacidad del dominio de OpenSearch es insuficiente para gestionar la velocidad de ingesta. Para resolver este problema, aumente la capacidad de su dominio aprovisionando IOPS (operaciones de entrada/salida por segundo) mayores y aumentando la configuración de rendimiento. Espere varios minutos hasta que se aprovisione la nueva capacidad y, a continuación, vuelva a intentar el proceso de ingesta. Para comprobar que el problema se ha resuelto, puede supervisar el rendimiento durante el proceso de reintento. Si la limitación persiste, es posible que tenga que ajustar aún más la capacidad para mejorar la eficiencia. Para obtener más información, consulte Prácticas recomendadas operativas de Amazon OpenSearch Service.
Descripción general de la configuración de permisos
Para la integración de las bases de conocimiento con los clústeres administrados, debe configurar los siguientes permisos de acceso de IAM y políticas basadas en recursos. Le recomendamos que habilite políticas de acceso detalladas para controlar aún más el acceso de los usuarios y la granularidad con la que se debe reducir su alcance hasta el nivel de propiedad.
Los siguientes pasos proporcionan información general sobre cómo configurar los permisos.
-
Creación y uso del rol de servicio de la base de conocimiento
Para los permisos que desee configurar, aunque puede proporcionar su propio rol personalizado, le recomendamos que especifique la opción para que Bases de conocimiento de Amazon Bedrock cree el rol de servicio de la base de conocimiento por usted.
-
Configuración de una política basada en recursos
El dominio de OpenSearch admite políticas basadas en recursos, que determinan qué entidades principales pueden acceder al dominio y actuar en él. Para usarlo con las bases de conocimiento, asegúrese de configurar correctamente la política basada en recursos para su dominio.
-
(Absolutamente recomendable) Proporcione una asignación de roles para el control de acceso detallado
Aunque el control de acceso detallado es opcional, le recomendamos que lo habilite para controlar la granularidad con la que se deben limitar los permisos en el nivel de propiedad.
Configuración de políticas de IAM
La política de acceso de su dominio debe conceder los permisos necesarios para que los roles de su cuenta realicen las acciones de la API de OpenSearch necesarias.
Si su dominio tiene una política de acceso restrictiva, es posible que tenga que actualizarla de la siguiente manera:
-
Debe conceder acceso al servicio de Amazon Bedrock e incluir las acciones HTTP requeridas:
GET,POST,PUTyDELETE. -
También debe conceder permisos a Amazon Bedrock para realizar la acción
es:DescribeDomainen el recurso indexado. Esto permite a Bases de conocimiento de Amazon Bedrock realizar las validaciones necesarias al configurar una base de conocimiento.
(Opcional) Control de acceso detallado
Un control de acceso detallado puede controlar la granularidad con la que se deben establecer los permisos en el nivel de propiedad. Puede configurar las políticas de acceso detalladas para conceder los permisos de lectura y escritura necesarios para el rol de servicio creado por Bases de conocimiento.
Para configurar el control de acceso detallado y proporcionar la asignación de roles:
-
Asegúrese de que el dominio de OpenSearch que ha creado tenga habilitado el control de acceso detallado.
-
Si aún no lo ha hecho, cree una interfaz de usuario de OpenSearch (Dashboards). Se usará para configurar la asignación de roles
-
En su OpenSearch Dashboards, cree un rol de OpenSearch y especifique el nombre del índice vectorial y los permisos de clúster e índice. Para añadir los permisos, debe crear grupos de permisos y, a continuación, añadir los permisos necesarios que permitan el acceso para realizar un conjunto de operaciones, como
delete,search,geteindexpara el rol. -
Una vez que haya agregado los permisos necesarios, debe introducir el ARN de su rol de servicio de base de conocimiento para el rol de back-end de OpenSearch. Al realizar este paso, se completará la asignación entre su rol de servicio de base de conocimientos y el rol de OpenSearch, que luego concederá a Bases de conocimiento de Amazon Bedrock permisos para acceder al índice vectorial en el dominio de OpenSearch y realizar las operaciones necesarias.
En los siguientes temas se muestra cómo configurar los permisos necesarios.
