Configurare policy di accesso ai dati per una knowledge base Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Definire le configurazioni di sicurezza per una knowledge base

Dopo aver creato una knowledge base, potrebbe essere necessario definire le seguenti configurazioni di sicurezza:

Argomenti

Configurare policy di accesso ai dati per una knowledge base
Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Configurare policy di accesso ai dati per una knowledge base

Se utilizzi un ruolo personalizzato, definisci le configurazioni di sicurezza per la tua nuova knowledge base creata. Se consenti ad Amazon Bedrock di creare un ruolo di servizio per te, puoi ignorare questa fase. Segui i passaggi nella scheda corrispondente al database che hai configurato.

Amazon OpenSearch Serverless

Per limitare l'accesso alla raccolta Amazon OpenSearch Serverless al ruolo di servizio della knowledge base, crea una policy di accesso ai dati. Questa operazione può essere eseguita nei modi seguenti:

Utilizza la console di Amazon OpenSearch Service seguendo i passaggi descritti in Creazione di politiche di accesso ai dati (console) nella Amazon OpenSearch Service Developer Guide.
Usa l'AWSAPI inviando una CreateAccessPolicyrichiesta con un endpoint OpenSearch Serverless. Per un AWS CLI esempio, consulta Creazione di politiche di accesso ai dati () AWS CLI.

Utilizza la seguente politica di accesso ai dati, specificando la raccolta Amazon OpenSearch Serverless e il tuo ruolo di servizio:


[
    {
        "Description": "${data access policy description}",
        "Rules": [
          {
            "Resource": [
              "index/${collection_name}/*"
            ],
            "Permission": [
                "aoss:DescribeIndex",
                "aoss:ReadDocument",
                "aoss:WriteDocument"
            ],
            "ResourceType": "index"
          }
        ],
        "Principal": [
            "arn:aws:iam::${account-id}:role/${kb-service-role}"
        ]
    }
]

Pigna, Redis Enterprise Cloud or MongoDB Atlas

Per integrare un indice vettoriale MongoDB Atlas PineconeRedis Enterprise Cloud, allega la seguente politica basata sull'identità al ruolo del servizio della Knowledge Base per consentirgli di accedere al segreto per l'indice vettoriale. Gestione dei segreti AWS

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "bedrock:AssociateThirdPartyKnowledgeBase"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
            }
        }
    }]
}

Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless

Se utilizzi una raccolta privata Amazon OpenSearch Serverless per la tua knowledge base, è possibile accedervi solo tramite un endpoint AWS PrivateLink VPC. Puoi creare una raccolta Amazon OpenSearch Serverless privata quando configuri la tua raccolta vettoriale Amazon OpenSearch Serverless oppure puoi rendere privata una raccolta Amazon Serverless esistente (inclusa una raccolta Amazon OpenSearch Serverless creata per te dalla console Amazon Bedrock) quando configuri la politica di accesso alla rete.

Le seguenti risorse nell'Amazon OpenSearch Service Developer Guide ti aiuteranno a comprendere la configurazione richiesta per una raccolta Amazon OpenSearch Serverless privata:

Per ulteriori informazioni sulla configurazione di un endpoint VPC per una raccolta Amazon Serverless privata, consulta Accedere ad Amazon OpenSearch OpenSearch Serverless usando un endpoint di interfaccia (). AWS PrivateLink
Per ulteriori informazioni sulle politiche di accesso alla rete in Amazon OpenSearch Serverless, consulta Accesso alla rete per Amazon OpenSearch Serverless.

Per consentire a una knowledge base Amazon Bedrock di accedere a una raccolta Amazon OpenSearch Serverless privata, devi modificare la politica di accesso alla rete per la raccolta Amazon OpenSearch Serverless per consentire Amazon Bedrock come servizio di origine. Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:

Console

Apri la console Amazon OpenSearch Service all'indirizzo https://console.aws.amazon.com/aos/.
Seleziona Raccolte nel riquadro di navigazione a sinistra. Scegli la tua raccolta.
Nella sezione Rete seleziona la policy associata.
Scegli Modifica.
Per Seleziona il metodo di definizione della policy, esegui una delle seguenti operazioni:
- Mantieni l’opzione Seleziona il metodo di definizione della policy impostata su Editor visivo e configura le seguenti impostazioni nella sezione Regola 1:
  1. (Facoltativo) Nel campo Nome regola immetti un nome per la regola di accesso alla rete.
  2. In Accesso alle raccolte da, seleziona Privato (consigliato).
  3. Seleziona Accesso privato al servizio AWS. Immetti bedrock.amazonaws.com nella casella di testo.
  4. Deseleziona Abilita l'accesso ai OpenSearch pannelli di controllo.
- Scegli JSON e incolla la seguente policy nell’editor JSON.
```
[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]
```
Scegliere Aggiorna.

API

Per modificare la politica di accesso alla rete per la tua raccolta Amazon OpenSearch Serverless, procedi come segue:

Invia una GetSecurityPolicyrichiesta con un endpoint OpenSearch Serverless. Specifica l’elemento name della policy e type come network. Prendere nota dell'ID policyVersion nella risposta.

Invia una UpdateSecurityPolicyrichiesta con un endpoint OpenSearch serverless. Specifica almeno i seguenti campi:

Campo	Description
nome	Il nome della policy
policyVersion	Elemento `policyVersion` restituito dalla risposta di `GetSecurityPolicy`.
tipo	Il tipo di policy di sicurezza. Specifica `network`.
policy	La policy da utilizzare. Specifica il seguente oggetto JSON.


[
    {                                        
        "AllowFromPublic": false,
        "Description":"${network access policy description}",
        "Rules":[
            {
                "ResourceType": "collection",
                "Resource":[
                    "collection/${collection-id}"
                ]
            }
        ],
        "SourceServices":[
            "bedrock.amazonaws.com"
        ]
    }
]

Per un AWS CLI esempio, vedi Creazione di politiche di accesso ai dati () AWS CLI.

Utilizza la console OpenSearch di Amazon Service seguendo la procedura descritta in Creazione di politiche di rete (console). Invece di creare una policy di rete, prendi nota della policy associata nella sottosezione Rete dei dettagli della raccolta.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Personalizzare l’importazione per un’origine dati

Sincronizzare un’origine dati