Conditions préalables et autorisations nécessaires pour utiliser les clusters gérés OpenSearch avec les bases de connaissances Amazon Bedrock - Amazon Bedrock
Considérations clésVue d’ensemble de la configuration des autorisationsConfiguration des politiques IAM(Facultatif) Contrôle précis des accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables et autorisations nécessaires pour utiliser les clusters gérés OpenSearch avec les bases de connaissances Amazon Bedrock

Cette section explique comment configurer les autorisations si vous créez votre propre base de données vectorielles avec les clusters gérés Amazon OpenSearch Service. Cette configuration doit être effectuée avant de créer la base de connaissances. Les étapes supposent que vous avez déjà créé un domaine et un index vectoriel dans Amazon OpenSearch Service. Pour plus d’informations, consultez Création et gestion des domaines OpenSearch Service dans le Guide du développeur Amazon OpenSearch Service.

Considérations clés

Voici quelques points essentiels à prendre en compte lors de l’utilisation des bases de connaissances Amazon Bedrock avec les clusters gérés Amazon OpenSearch Service.

  • Avant d’utiliser des ressources de domaine dans les clusters gérés OpenSearch, vous devez configurer certaines autorisations et stratégies d’accès IAM. Pour intégrer les bases de connaissances aux clusters gérés, avant d’exécuter les étapes décrites dans cette section, si votre domaine possède une stratégie d’accès restrictive, vous devez accorder l’accès IAM requis et configurer les stratégies basées sur les ressources. Nous vous recommandons également de configurer un contrôle d’accès précis afin de limiter les autorisations.

  • Si vous subissez des échecs lors de l’ingestion de données pour votre base de connaissances, cela peut indiquer que la capacité du domaine OpenSearch est insuffisante pour gérer la vitesse d’ingestion. Pour résoudre ce problème, augmentez la capacité de votre domaine en provisionnant des IOPS (opérations d’entrées/de sorties par seconde) plus élevées et en augmentant les paramètres de débit. Attendez quelques minutes que la nouvelle capacité soit provisionnée, puis réessayez le processus d’ingestion. Pour vérifier que le problème a été résolu, vous pouvez surveiller les performances pendant le processus de la nouvelle tentative. Si la limitation persiste, vous devrez peut-être ajuster davantage la capacité pour améliorer l’efficacité. Pour plus d’informations, consultez Bonnes pratiques opérationnelles relatives à Amazon OpenSearch Service.

Vue d’ensemble de la configuration des autorisations

Pour intégrer les bases de connaissances aux clusters gérés, vous devez configurer les autorisations d’accès IAM et les stratégies basées sur les ressources suivantes. Nous vous recommandons d’activer des stratégies d’accès précises afin de mieux contrôler l’accès des utilisateurs et la granularité avec laquelle il doit être limité au niveau de la propriété.

Les étapes suivantes présentent une vue d’ensemble générale de la configuration des autorisations.

  1. Créer et utiliser un rôle de service de base de connaissances

    Pour les autorisations que vous souhaitez configurer, bien que vous puissiez toujours fournir votre propre rôle personnalisé, nous vous recommandons de spécifier l’option permettant aux bases de connaissances Amazon Bedrock de créer le rôle de service de base de connaissances pour vous.

  2. Configurer une stratégie basée sur les ressources

    Le domaine OpenSearch prend en charge les stratégies basées sur les ressources, qui déterminent quels principaux peuvent accéder au domaine et agir sur celui-ci. Pour l’utiliser avec les bases de connaissances, assurez-vous que la stratégie basée sur les ressources est correctement configurée pour votre domaine.

  3. (Fortement recommandé) Fournir un mappage des rôles pour un contrôle précis des accès

    Bien qu’il soit facultatif, nous vous recommandons d’activer le contrôle précis des accès pour contrôler la granularité selon laquelle les autorisations doivent être limitées au niveau de la propriété.

Configuration des politiques IAM

La stratégie d’accès de votre domaine doit octroyer les autorisations nécessaires pour effectuer les actions d’API OpenSearch requises par les rôles de votre compte.

Si votre domaine dispose d’une stratégie d’accès restrictive, il peut être nécessaire de la mettre à jour comme suit :

  • Elle doit octroyer l’accès au service Amazon Bedrock et inclure les actions HTTP requises : GET, POST, PUT et DELETE.

  • Elle doit également octroyer à Amazon Bedrock l’autorisation d’effectuer l’action es:DescribeDomain sur votre ressource d’index. Cela permet aux bases de connaissances Amazon Bedrock d’effectuer les validations requises lors de la configuration d’une base de connaissances.

(Facultatif) Contrôle précis des accès

Le contrôle précis des accès peut contrôler la granularité à laquelle les autorisations doivent être limitées au niveau de la propriété. Vous pouvez configurer des stratégies d’accès précises afin d’octroyer les autorisations de lecture-écriture requises au rôle de service créé par les bases de connaissances.

Pour configurer un contrôle précis des accès et fournir le mappage des rôles :

  1. Assurez-vous que le contrôle précis des accès est activé sur le domaine OpenSearch que vous avez créé.

  2. Créez une interface utilisateur OpenSearch (tableaux de bords), si ce n’est pas déjà fait. Cela permettra de configurer le mappage des rôles.

  3. Dans vos tableaux de bord OpenSearch, créez un rôle OpenSearch et spécifiez le nom de l’index vectoriel, ainsi que les autorisations du cluster et de l’index. Pour ajouter les autorisations, vous devez créer des groupes d’autorisations, puis ajouter les autorisations requises qui octroient l’accès afin d’effectuer un ensemble d’opérations, notamment delete, search, get et index, pour le rôle.

  4. Après avoir ajouté les autorisations requises, vous devez saisir l’ARN du rôle de service de votre base de connaissances pour le rôle principal OpenSearch. Cette étape terminera le mappage entre le rôle de service de votre base de connaissances et le rôle OpenSearch, qui octroiera ensuite aux bases de connaissances Amazon Bedrock les autorisations d’accéder à l’index vectoriel dans le domaine OpenSearch et d’effectuer les opérations requises.

Les rubriques suivantes montrent comment configurer les autorisations nécessaires.