Configuración de políticas basadas en recursos para OpenSearch clústeres gestionados - Amazon Bedrock
Políticas basadas en identidad y basadas en recursos de ejemploCreación de un rol de servicio para Bases de conocimiento de Amazon BedrockActualización de las políticas basadas en recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de políticas basadas en recursos para OpenSearch clústeres gestionados

Al crear su base de conocimiento, puede crear su propio rol personalizado o dejar que Amazon Bedrock cree uno por usted. La forma de configurar los permisos depende de si va a crear un rol nuevo o si está utilizando uno existente. Si ya tienes una función de IAM, debes asegurarte de que la política de acceso de tu dominio no impida que las funciones de tu cuenta realicen las acciones de API necesarias OpenSearch .

Si decide dejar que Amazon Bedrock Knowledge Bases cree el rol de IAM por usted, debe asegurarse de que la política de acceso de su dominio conceda los permisos para que los roles de su cuenta realicen las acciones de OpenSearch API requeridas. Si su dominio tiene una política de acceso restrictiva, puede impedir que su rol lleve a cabo estas acciones. El siguiente ejemplo muestra una política restrictiva basada en recursos.

En este caso, puede:

  • Cree su base de conocimientos utilizando un rol de IAM existente al que su OpenSearch dominio pueda conceder acceso a este rol para realizar las operaciones necesarias.

  • También puede dejar que Amazon Bedrock cree un nuevo rol por usted. En este caso, debes asegurarte de que la política de acceso del dominio otorgue los permisos necesarios para que los roles de tu cuenta realicen las acciones de OpenSearch API necesarias.

En las siguientes secciones se muestra un ejemplo de política de IAM que concede los permisos necesarios y cómo se puede actualizar la política de acceso del dominio para que conceda permisos para realizar las operaciones de OpenSearch API necesarias.

Políticas basadas en identidad y basadas en recursos de ejemplo

Esta sección proporciona un ejemplo de política de identidad y una política basada en recursos que puede configurar para su OpenSearch dominio al integrarlo con las bases de conocimiento de Amazon Bedrock. Debe conceder permisos a Amazon Bedrock para realizar estas acciones en el índice que proporciona a su base de conocimiento.

Action Recurso Description (Descripción)
es:ESHttpPost arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Para insertar información en el índice
es:ESHttpGet

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Para buscar información en el índice. Esta acción se configura tanto en el nivel de domain/index como en el nivel de domain/index/*. En el nivel de domain/index, puede obtener detalles generales sobre el índice, como el tipo de motor. Para recuperar los detalles almacenados en el índice, se requieren permisos en el nivel de domain/index/*.
es:ESHttpHead

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Para obtener información del índice. Esta acción se configura tanto en el nivel de domain/index como en el nivel de domain/index/*, en caso de que sea necesario obtener información en un nivel superior, por ejemplo, si existe un índice en particular.
es:ESHttpDelete arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Para eliminar información del índice
es:DescribeDomain arn:<partition>:es:<region>:<accountId>:domain/<domainName> Para realizar validaciones en el dominio, como la versión del motor utilizada.
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OpenSearchIndexAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPost",
                "es:ESHttpPut",
                "es:ESHttpDelete"
            ],
            "Resource": [
                "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
            ]
        },
        {
            "Sid": "OpenSearchIndexGetAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpHead"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
            ]
        },
        {
            "Sid": "OpenSearchDomainValidation",
            "Effect": "Allow",
            "Action": [
                "es:DescribeDomain"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName"
            ]
        }
    ]
}
nota

Asegúrese de que el rol de servicio se haya creado para usarlo en la política basada en recursos.

Creación de un rol de servicio para Bases de conocimiento de Amazon Bedrock

Al crear la base de conocimiento, puede elegir la opción de crear y utilizar un nuevo rol de servicio. En esta sección, se explica cómo crear el rol de servicio de Bases de conocimiento de Amazon Bedrock. Al asignar las políticas basadas en recursos y las políticas de acceso detalladas a esta función, otorgará a Amazon Bedrock los permisos para realizar solicitudes al dominio. OpenSearch

Cómo especificar el rol de servicio de Bases de conocimiento de Amazon Bedrock

  1. En la consola de Amazon Bedrock, vaya a Bases de conocimiento.

  2. Elija Crear y, a continuación, elija Base de conocimientos con almacén vectorial.

  3. Elija Crear y utilizar un nuevo rol de servicio. Puede usar el nombre predeterminado o proporcionar un nombre de rol personalizado. Amazon Bedrock creará automáticamente el rol de servicio de la base de conocimiento para usted.

  4. Siga navegando por la consola para configurar el origen de datos y las estrategias de análisis y fragmentación.

  5. Elige un modelo de Embeddings y, a continuación, en Elige un almacén vectorial existente, selecciona Amazon OpenSearch Managed Cluster.

importante

Antes de continuar con la creación de la base de conocimiento, realice los siguientes pasos para configurar las políticas basadas en recursos y las políticas de acceso detalladas. Para ver los pasos detallados de creación de la base de conocimiento, consulte Creación de una base de conocimiento conectándola a un origen de datos de Bases de conocimiento de Amazon Bedrock.

Actualización de las políticas basadas en recursos

Si tu OpenSearch dominio tiene una política de acceso restrictiva, puedes seguir las instrucciones de esta página para actualizar la política basada en los recursos. Estos permisos permiten a Knowledge Bases utilizar el índice que usted proporciona y recuperar la definición del OpenSearch dominio para realizar la validación necesaria en el dominio.

Para configurar las políticas basadas en recursos desde el Consola de administración de AWS

  1. Ve a la consola OpenSearch de Amazon Service.

  2. Vaya al dominio que creó y, a continuación, vaya a Configuraciones de seguridad, donde está configurada la política basada en recursos.

  3. Edite la política en la pestaña JSON y, a continuación, actualice la política de forma similar a la Política basada en recursos de ejemplo.

  4. Ahora puede volver a la consola de Amazon Bedrock y proporcionar los detalles de su OpenSearch dominio e índice tal y como se describe en Configuración de la base de conocimientos para clústeres gestionados.