Configuration de stratégies d’accès aux données pour votre base de connaissances Configurez des politiques d'accès réseau pour votre base de connaissances Amazon OpenSearch Serverless

Définition des configurations de sécurité pour votre base de connaissances

Après avoir créé une base de connaissances, vous devrez peut-être définir les configurations de sécurité suivantes :

Rubriques

Configuration de stratégies d’accès aux données pour votre base de connaissances
Configurez des politiques d'accès réseau pour votre base de connaissances Amazon OpenSearch Serverless

Configuration de stratégies d’accès aux données pour votre base de connaissances

Si vous utilisez un rôle personnalisé, définissez des configurations de sécurité pour la base de connaissances que vous venez de créer. Si vous laissez Amazon Bedrock créer un rôle de service pour vous, vous pouvez ignorer cette étape. Suivez les étapes indiquées dans l’onglet correspondant à la base de données que vous avez configurée.

Amazon OpenSearch Serverless

Pour restreindre l'accès à la collection Amazon OpenSearch Serverless au rôle de service de base de connaissances, créez une politique d'accès aux données. Vous pouvez procéder de différentes manières :

Utilisez la console Amazon OpenSearch Service en suivant les étapes décrites dans la section Création de politiques d'accès aux données (console) dans le manuel Amazon OpenSearch Service Developer Guide.
Utilisez l'AWSAPI en envoyant une CreateAccessPolicydemande avec un point de terminaison OpenSearch sans serveur. Pour un AWS CLI exemple, voir Création de politiques d'accès aux données (AWS CLI).

Appliquez la politique d'accès aux données suivante, en spécifiant la collection Amazon OpenSearch Serverless et votre rôle de service :


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pinecone, Redis Enterprise Cloud or MongoDB Atlas

Pour intégrer un index vectoriel MongoDB Atlas PineconeRedis Enterprise Cloud, associez la politique d'identité suivante à votre rôle de service de base de connaissances afin de lui permettre d'accéder au AWS Secrets Manager secret de l'index vectoriel.

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
            }
        }
    }]
}

Configurez des politiques d'accès réseau pour votre base de connaissances Amazon OpenSearch Serverless

Si vous utilisez une collection Amazon OpenSearch Serverless privée pour votre base de connaissances, elle n'est accessible que via un point de terminaison AWS PrivateLink VPC. Vous pouvez créer une collection Amazon OpenSearch Serverless privée lorsque vous configurez votre collection vectorielle Amazon OpenSearch Serverless ou vous pouvez rendre privée une collection Amazon OpenSearch Serverless existante (y compris une collection créée pour vous par la console Amazon Bedrock) lorsque vous configurez sa politique d'accès au réseau.

Les ressources suivantes du manuel Amazon OpenSearch Service Developer Guide vous aideront à comprendre la configuration requise pour une collection Amazon OpenSearch Serverless privée :

Pour plus d'informations sur la configuration d'un point de terminaison VPC pour une collection privée Amazon Serverless, consultez Accéder à Amazon OpenSearch Serverless à l'aide d'un point de terminaison d'interface (). OpenSearch AWS PrivateLink
Pour plus d'informations sur les politiques d'accès au réseau dans Amazon OpenSearch Serverless, consultez la section Accès réseau pour Amazon OpenSearch Serverless.

Pour autoriser une base de connaissances Amazon Bedrock à accéder à une collection privée Amazon OpenSearch Serverless, vous devez modifier la politique d'accès réseau de la collection Amazon OpenSearch Serverless afin d'autoriser Amazon Bedrock en tant que service source. Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :

Console

Ouvrez la console Amazon OpenSearch Service à l'adresse https://console.aws.amazon.com/aos/.
Dans le volet de navigation de gauche, sélectionnez Collections. Choisissez ensuite votre collection.
Dans la section Réseau, sélectionnez la stratégie associée.
Choisissez Modifier.
Pour Sélectionner une méthode de définition de stratégie, effectuez l’une des opérations suivantes :
- Laissez Sélectionner une méthode de définition de stratégie comme éditeur visuel et configurez les paramètres suivants dans la section Règle 1 :
  1. (Facultatif) Dans le champ Nom de la règle, saisissez un nom pour la règle d’accès réseau.
  2. Sous Accéder aux collections à partir de, sélectionnez Privé (recommandé).
  3. Sélectionnez Accès privé au service AWS. Saisissez bedrock.amazonaws.com dans la zone de texte.
  4. Désélectionnez Activer l'accès aux OpenSearch tableaux de bord.
- Choisissez JSON, puis collez la stratégie suivante dans l’éditeur JSON.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Choisissez Mettre à jour.

API

Pour modifier la politique d'accès au réseau de votre collection Amazon OpenSearch Serverless, procédez comme suit :

Envoyez une GetSecurityPolicydemande avec un point de terminaison OpenSearch sans serveur. Renseignez name pour la stratégie, puis network comme type. Notez le policyVersion dans la réponse.

Envoyez une UpdateSecurityPolicydemande avec un point de terminaison OpenSearch sans serveur. Spécifiez les champs suivants de façon minimale :

Champ	Description
name	Nom de la politique.
policyVersion	`policyVersion` renvoyée par l’agent à partir de la réponse `GetSecurityPolicy`.
type	Type de stratégie de sécurité. Spécifiez `network`.
policy	Stratégie à utiliser. Spécifiez l’objet JSON suivant.


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Pour un AWS CLI exemple, voir Création de politiques d'accès aux données (AWS CLI).

Utilisez la console Amazon OpenSearch Service en suivant les étapes de la section Création de politiques réseau (console). Au lieu de créer une stratégie réseau, notez la stratégie associée dans la sous-section Réseau des détails de la collection.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Personnalisation de l’ingestion pour une source de données

Synchronisation d’une source de données