Configuration des autorisations OpenSearch avec contrôle précis des accès - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations OpenSearch avec contrôle précis des accès

Bien qu’il soit facultatif, nous vous recommandons vivement d’activer le contrôle précis des accès pour votre domaine OpenSearch. À l’aide d’un contrôle précis des accès, vous pouvez utiliser un contrôle d’accès basé sur les rôles, qui vous permet de créer un rôle OpenSearch avec des autorisations spécifiques et de le mapper au rôle de service de la base de connaissances. Le mappage octroie à votre base de connaissances les autorisations minimales requises qui lui permettent d’accéder au domaine et à l’index OpenSearch et d’y effectuer des opérations.

Pour configurer et utiliser le contrôle précis des accès :

  1. Assurez-vous que le contrôle précis des accès est activé sur le domaine OpenSearch que vous utilisez.

  2. Pour votre domaine qui utilise un contrôle précis des accès, configurez des autorisations avec des politiques délimitées sous la forme d’un rôle OpenSearch.

  3. Pour le domaine pour lequel vous créez un rôle, ajoutez un mappage de rôle au rôle de service de la base de connaissances.

Les étapes suivantes montrent comment configurer votre rôle OpenSearch et garantir un mappage correct entre le rôle OpenSearch et le rôle de service de la base de connaissances.

Pour créer un rôle OpenSearch et configurer les autorisations

Après avoir activé le contrôle précis des accès et configuré Amazon Bedrock pour une connexion à OpenSearch Service, vous pouvez configurer les autorisations à l’aide du lien Tableaux de bords OpenSearch pour chaque domaine OpenSearch.

Pour configurer des autorisations relatives à un domaine pour autoriser l’accès à Amazon Bedrock :

  1. Ouvrez le tableau de bord OpenSearch du domaine OpenSearch que vous voulez utiliser. Pour trouver le lien vers les tableaux de bord, accédez au domaine que vous avez créé dans la console OpenSearch Service. Pour les domaines exécutant OpenSearch, l’URL est au format domain-endpoint/_dashboards/. Pour plus d’informations, consultez Tableaux de bord dans le Guide du développeur Amazon OpenSearch Service.

  2. Dans le tableau de bord OpenSearch, choisissez Sécurité, puis Rôles.

  3. Sélectionnez Créer un rôle.

  4. Entrez un nom pour le rôle, par exemple kb_opensearch_role.

  5. Sous Autorisations du cluster, ajoutez les autorisations suivantes.

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. Sous Autorisations de l’index, indiquez le nom de l’index vectoriel. Choisissez Créer un nouveau groupe d’autorisations, puis Créer un nouveau groupe d’actions. Ajoutez les autorisations suivantes à un groupe d’actions, par exemple KnowledgeBasesActionGroup. Ajoutez les autorisations suivantes à un groupe d’actions.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    Groupes d’actions à créer dans les tableaux de bord OpenSearch pour ajouter des autorisations de cluster et d’index.

  7. Choisissez Créer pour créer le rôle OpenSearch.

Ce qui suit montre un exemple de rôle OpenSearch avec les autorisations ajoutées.

Exemple de rôle OpenSearch dans les tableaux de bord OpenSearch avec les autorisations ajoutées.
Pour créer un mappage vers le rôle de service de votre base de connaissances

  1. Identifiez le rôle IAM à mapper.

    • Si vous avez créé votre propre rôle IAM personnalisé, vous pouvez copier son ARN depuis la console IAM.

    • Si vous autorisez les bases de connaissances à créer le rôle pour vous, vous pouvez noter l’ARN du rôle lors de la création de votre base de connaissances, puis le copier.

  2. Ouvrez le tableau de bord OpenSearch du domaine OpenSearch que vous voulez utiliser. L’URL est au format domain-endpoint/_dashboards/.

  3. Dans le volet de navigation, choisissez Sécurité.

  4. Recherchez le rôle que vous venez de créer dans la liste, par exemple kb_opensearch_role, puis ouvrez-le.

  5. Dans l’onglet Utilisateurs mappés, sélectionnez Gestion du mappage.

  6. Dans la section Rôles principaux, saisissez l’ARN du rôle IAM AWS géré pour les bases de connaissances. Selon que vous avez créé votre propre rôle personnalisé ou que vous avez laissé les bases de connaissances le créer pour vous, copiez les informations de l’ARN du rôle depuis la console IAM ou Amazon Bedrock, puis entrez ces informations pour les rôles principaux dans console OpenSearch. Voici un exemple.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Choisissez Mappage.

    Le rôle de service de la base de connaissances peut désormais se connecter au rôle OpenSearch et effectuer les opérations requises sur le domaine et l’index.