Configuración del motor de consultas y los permisos para crear una base de conocimiento con un almacén de datos estructurados - Amazon Bedrock
Creación del motor de consultas de Amazon RedshiftConfiguración de los permisos del motor de consultas de Amazon RedshiftAutorización para que el rol de servicio de la base de conocimiento acceda a su almacén de datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del motor de consultas y los permisos para crear una base de conocimiento con un almacén de datos estructurados

En este tema se describen los permisos que necesita para conectar su base de conocimiento a un almacén de datos estructurados. Si planea conectar una base de conocimiento de Amazon Bedrock a un almacén de datos estructurados, debe cumplir los requisitos previos. Para conocer los requisitos generales de permisos que deben cumplirse, consulte Configuración de los permisos de un usuario o rol para crear y administrar bases de conocimiento.

importante

La ejecución de consultas SQL arbitrarias puede suponer un riesgo de seguridad para cualquier Text-to-SQL aplicación. Le recomendamos que tome las precauciones necesarias, como utilizar roles restringidos, bases de datos de solo lectura y entornos de pruebas.

Bases de conocimiento de Amazon Bedrock utiliza Amazon Redshift como el motor de consultas para consultar el almacén de datos. Un motor de consultas accede a los metadatos de un almacén de datos estructurados y los utiliza para ayudar a generar consultas SQL. Amazon Redshift es un servicio de almacén de datos que usa SQL para analizar datos estructurados en almacenes de datos, bases de datos y lagos de datos.

Creación del motor de consultas de Amazon Redshift

Puede usar Amazon Redshift sin servidor o Amazon Redshift aprovisionado, según su caso de uso y conectarse a grupos de trabajo o clústeres para el almacén de datos. Los datos subyacentes que el motor Amazon Redshift puede consultar pueden ser datos almacenados de forma nativa en clústeres de Amazon Redshift o datos ubicados de forma predeterminada AWS Glue Data Catalog (como en Amazon S3, entre otros).

Puede omitir este requisito previo si ya ha creado un motor de consultas. De lo contrario, realice los siguientes pasos para configurar su motor de consultas de Amazon Redshift aprovisionado o Amazon Redshift sin servidor:

Cómo configurar un motor de consultas en Amazon Redshift aprovisionado

  1. Siga el procedimiento de Paso 1: creación de un clúster de Amazon Redshift de ejemplo de la Guía de introducción a Amazon Redshift.

  2. Anote el ID del clúster.

  3. (Opcional) Para obtener más información acerca de los clústeres aprovisionados de Amazon Redshift, consulte Clústeres aprovisionados de Amazon Redshift en la Guía de administración de Amazon Redshift.

Cómo configurar un motor de consultas en Amazon Redshift sin servidor

  1. Siga únicamente el procedimiento de configuración que se describe en Creación de un almacén de datos con Amazon Redshift sin servidor de la Guía de introducción a Amazon Redshift y configúrelo con los ajustes predeterminados.

  2. Anote el ARN del grupo de trabajo.

  3. (Opcional) Para obtener más información sobre los grupos de trabajo de Amazon Redshift sin servidor, consulte Grupos de trabajo y espacios de nombres en la Guía de administración de Amazon Redshift.

Configuración de los permisos del motor de consultas de Amazon Redshift

En función del motor de consultas de Amazon Redshift que elija, puede configurar determinados permisos. Los permisos que configure dependen del método de autenticación. En la siguiente tabla se muestran los métodos de autenticación que se pueden usar para los distintos motores de consultas:

Método de autenticación Amazon Redshift aprovisionado Amazon Redshift sin servidor
IAM Green circular icon with a white checkmark symbol inside. Green circular icon with a white checkmark symbol inside.
Nombre de usuario de la base de datos Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial. No
AWS Secrets Manager Green circular icon with a white checkmark symbol inside. Green circular icon with a white checkmark symbol inside.

Bases de conocimiento de Amazon Bedrock utiliza un rol de servicio para conectar las bases de conocimiento con los almacenes de datos estructurados, recuperar datos de estos almacenes de datos y generar consultas SQL basadas en las consultas de los usuarios y la estructura de los almacenes de datos.

nota

Si piensa utilizar el Consola de administración de AWS para crear una base de conocimientos, puede omitir este requisito previo. La consola creará un rol de servicio de Bases de conocimiento de Amazon Bedrock con los permisos adecuados.

Para crear un rol de servicio de IAM personalizado con los permisos adecuados, siga los pasos que se indican en Creación de un rol para delegar permisos a un Servicio de AWS y asocie la relación de confianza definida en Relación de confianza.

A continuación, añada permisos para que su base de conocimiento pueda acceder al motor de consultas y a las bases de datos de Amazon Redshift. Amplíe la sección que se corresponda con su caso de uso:

Asocie la siguiente política a su rol de servicio personalizado para que pueda acceder a sus datos y generar consultas con ellos:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RedshiftDataAPIStatementPermissions",
            "Effect": "Allow",
            "Action": [
                "redshift-data:GetStatementResult",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "redshift-data:statement-owner-iam-userid": "${aws:userid}"
                }
            }
        },
        {
            "Sid": "RedshiftDataAPIExecutePermissions",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement"
            ],
            "Resource": [
                "arn:aws:redshift:us-east-1:123456789012:cluster:${Cluster}"
            ]
        },
        {
            "Sid": "SqlWorkbenchAccess",
            "Effect": "Allow",
            "Action": [
                "sqlworkbench:GetSqlRecommendations",
                "sqlworkbench:PutSqlGenerationContext",
                "sqlworkbench:GetSqlGenerationContext",
                "sqlworkbench:DeleteSqlGenerationContext"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GenerateQueryAccess",
            "Effect": "Allow",
            "Action": [
                "bedrock:GenerateQuery"
            ],
            "Resource": "*"
        }
    ]
}

También debe añadir permisos para permitir que su rol de servicio se autentique en el motor de consultas. Amplíe una sección para ver los permisos de ese método.

IAM

Para que su rol de servicio pueda autenticarse en su motor de consultas aprovisionado por Amazon Redshift con IAM, asocie la siguiente política a su rol de servicio personalizado:

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetCredentialsWithFederatedIAMCredentials",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentialsWithIAM",
            "Resource": [
                "arn:aws:redshift:us-east-1:123456789012:dbname:Cluster/database"
            ]
        }
    ]
}
Database user

Para autenticarse como usuario de la base de datos de Amazon Redshift, asocie la siguiente política al rol de servicio:

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetCredentialsWithClusterCredentials",
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:us-east-1:123456789012:dbuser:${cluster}/${dbuser}",
                "arn:aws:redshift:us-east-1:123456789012:dbname:${cluster}/${database}"
            ]
        }
    ]
}
AWS Secrets Manager

Para permitir que su rol de servicio se autentique en el motor de consultas aprovisionado por Amazon Redshift con AWS Secrets Manager un secreto, haga lo siguiente:

  • Asocie la política siguiente al rol:

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetSecretPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:${region}:${account}:secret:${secretName}"
            ]
        }
    ]
}

Los permisos que se pueden asociar dependen del método de autenticación. Amplíe una sección para ver los permisos de ese método.

IAM

Para que su rol de servicio pueda autenticarse en su motor de consultas de Amazon Redshift sin servidor con IAM, asocie la siguiente política a su rol de servicio personalizado:

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RedshiftServerlessGetCredentials",
            "Effect": "Allow",
            "Action": "redshift-serverless:GetCredentials",
            "Resource": [
                "arn:aws:redshift-serverless:us-east-1:123456789012:workgroup/WorkgroupId"
            ]
        }
    ]
}
AWS Secrets Manager

Para permitir que su rol de servicio se autentique en el motor de consultas aprovisionado por Amazon Redshift con AWS Secrets Manager un secreto, haga lo siguiente:

  • Asocie la política siguiente al rol:

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetSecretPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:${region}:${account}:secret:${secretName}"
            ]
        }
    ]
}

Autorización para que el rol de servicio de la base de conocimiento acceda a su almacén de datos

Asegúrese de que sus datos estén almacenados en uno de los siguientes almacenes de datos estructurados compatibles:

  • Amazon Redshift

  • AWS Glue Data Catalog(AWS Lake Formation)

En la siguiente tabla se resumen los métodos de autenticación disponibles para el motor de consultas, en función del almacén de datos:

Método de autenticación Amazon Redshift AWS Glue Data Catalog(AWS Lake Formation)
IAM Green circular icon with a white checkmark symbol inside. Green circular icon with a white checkmark symbol inside.
Nombre de usuario de la base de datos Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial. No
AWS Secrets Manager Green circular icon with a white checkmark symbol inside. Red circular icon with an X symbol, indicating cancellation or denial. No

Para obtener información sobre cómo configurar los permisos para que su rol de servicio de Bases de conocimiento de Amazon Bedrock acceda al almacén de datos y genere consultas basadas en dicho almacén, amplíe la sección correspondiente al servicio en el que se encuentra su almacén de datos:

Para conceder a su rol de servicio de Bases de conocimiento de Amazon Bedrock acceso a su base de datos de Amazon Redshift, utilice el editor de consultas v2 de Amazon Redshift y ejecute los siguientes comandos SQL:

  1. (Si se autentica con IAM y aún no se ha creado un usuario para la base de datos) Ejecute el siguiente comando, que utiliza CREATE USER para crear un usuario de base de datos y permitir que se autentique a través de IAM, sustituyéndolo ${service-role} por el nombre del rol de servicio personalizado de Amazon Bedrock Knowledge Bases que creó:

    CREATE USER "IAMR:${service-role}" WITH PASSWORD DISABLE;
    importante

    Si utiliza el rol de servicio de Bases de conocimiento de Amazon Bedrock creado para usted en la consola y, a continuación, sincroniza el almacén de datos antes de realizar este paso, se creará el usuario automáticamente, pero la sincronización fallará porque no se le han concedido permisos para acceder a su almacén de datos. Debe realizar el siguiente paso antes de la sincronización.

  2. Otorgue permisos de identidad para recuperar información de su base de datos ejecutando el comando GRANT.

    IAM
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "IAMR:${serviceRole}";
    Database user
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "${dbUser}";
    AWS Secrets Managerusername
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "${secretsUsername}";
    importante

    No conceda acceso CREATE, UPDATE ni DELETE. La concesión de estas acciones puede provocar una modificación no intencionada de sus datos.

    Para tener un control más preciso de las tablas a las que se puede acceder, puede sustituir los nombres ALL TABLES específicos de las tablas por la siguiente notación:. ${schemaName} ${tableName} Para obtener más información sobre esta notación, consulte la sección Objetos de consulta en Consultas entre bases de datos.

    IAM
    GRANT SELECT ON ${schemaName}.${tableName} TO "IAMR:${serviceRole}";
    Database user
    GRANT SELECT ON ${schemaName}.${tableName} TO "${dbUser}";
    AWS Secrets Managerusername
    GRANT SELECT ON ${schemaName}.${tableName} TO "${secretsUsername}";

  3. Si ha creado un esquema nuevo en la base de datos de Redshift, ejecute el siguiente comando para conceder permisos de identidad para el nuevo esquema.

    GRANT USAGE ON SCHEMA ${schemaName} TO "IAMR:${serviceRole}";

Para conceder a su función de servicio de Amazon Bedrock Knowledge Bases acceso a su almacén de AWS Glue Data Catalog datos, utilice el editor de consultas Amazon Redshift v2 y ejecute los siguientes comandos SQL:

  1. Ejecute el siguiente comando, que usa CREATE USER para crear un usuario de base de datos y permitir que se autentique a través de IAM, sustituyéndolo ${service-role} por el nombre del rol de servicio personalizado de Amazon Bedrock Knowledge Bases que creó:

    CREATE USER "IAMR:${service-role}" WITH PASSWORD DISABLE;
    importante

    Si utiliza el rol de servicio de Bases de conocimiento de Amazon Bedrock creado para usted en la consola y, a continuación, sincroniza el almacén de datos antes de realizar este paso, se creará el usuario automáticamente, pero la sincronización fallará porque no se le han concedido permisos para acceder a su almacén de datos. Debe realizar el siguiente paso antes de la sincronización.

  2. Otorgue permisos de rol de servicio para recuperar información de su base de datos ejecutando el comando GRANT:

    GRANT USAGE ON DATABASE awsdatacatalog TO "IAMR:${serviceRole}";
    importante

    No conceda acceso CREATE, UPDATE ni DELETE. La concesión de estas acciones puede provocar una modificación no intencionada de sus datos.

  3. Para permitir el acceso a sus AWS Glue Data Catalog bases de datos, asocie los siguientes permisos a la función de servicio:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetDatabase",
                "glue:GetTables",
                "glue:GetTable",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:SearchTables"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:123456789012:table/${DatabaseName}/${TableName}",
                "arn:aws:glue:us-east-1:123456789012:database/${DatabaseName}",
                "arn:aws:glue:us-east-1:123456789012:catalog"
            ]
        }
    ]
}

  4. Otorgue permisos a su función de servicio de la siguiente manera AWS Lake Formation (para obtener más información sobre Lake Formation y su relación con Amazon Redshift, consulte Fuentes de datos de Redshift):

    1. Inicie sesión en y abra la Consola de administración de AWS consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

    2. En el panel de navegación izquierdo, seleccione Permisos de datos.

    3. Conceda permisos al rol de servicio que está utilizando para Bases de conocimiento de Amazon Bedrock.

    4. Conceda los permisos Describe y Select para sus bases de datos y tablas.

  5. En función de la fuente de datos que utiliceAWS Glue Data Catalog, es posible que necesite añadir permisos para acceder a esa fuente de datos (para obtener más información, consulte la sección sobre la AWS Glue dependencia de otras fuentesServicios de AWS). Por ejemplo, si su origen de datos se encuentra en una ubicación de Amazon S3, tendrá que añadir la siguiente instrucción a la política anterior.

    {
    "Sid": "Statement1",
    "Effect": "Allow",
    "Action": [
        "s3:ListBucket",
        "s3:GetObject"
    ],
    "Resource": [
        "arn:aws:s3:::${BucketName}",
        "arn:aws:s3:::${BucketName}/*"
    ]
}

  6. (Opcional) Si lo utiliza AWS KMS para cifrar los datos en Amazon S3 oAWS Glue Data Catalog, entonces necesita añadir permisos al rol para descifrar los datos de la clave de KMS.

    {
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:${Region}:${Account}:key/{KmsId}",
        "arn:aws:kms:${Region}:${Account}:key/{KmsId}"
    ],
    "Effect": "Allow"
}