Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Definire le configurazioni di sicurezza per una knowledge base
Dopo aver creato una knowledge base, potrebbe essere necessario definire le seguenti configurazioni di sicurezza:
**Topics**
+ [Configurare policy di accesso ai dati per una knowledge base](#kb-create-security-data)
+ [Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless](#kb-create-security-network)
## Configurare policy di accesso ai dati per una knowledge base
Se utilizzi un [ruolo personalizzato](kb-permissions.md), definisci le configurazioni di sicurezza per la tua nuova knowledge base creata. Se consenti ad Amazon Bedrock di creare un ruolo di servizio per te, puoi ignorare questa fase. Segui i passaggi nella scheda corrispondente al database che hai configurato.
------
#### [ Amazon OpenSearch Serverless ]
Per limitare l'accesso alla raccolta Amazon OpenSearch Serverless al ruolo di servizio della knowledge base, crea una policy di accesso ai dati. Questa operazione può essere eseguita nei modi seguenti:
+ Utilizza la console di Amazon OpenSearch Service seguendo i passaggi descritti in [Creazione di politiche di accesso ai dati (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console) nella Amazon OpenSearch Service Developer Guide.
+ Usa l'AWSAPI inviando una [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html)richiesta con un [endpoint OpenSearch Serverless](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Per un AWS CLI esempio, consulta [Creazione di politiche di accesso ai dati () AWS CLI](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).
Utilizza la seguente politica di accesso ai dati, specificando la raccolta Amazon OpenSearch Serverless e il tuo ruolo di servizio:
```
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
```
------
#### [ Pigna, Redis Enterprise Cloud or MongoDB Atlas ]
Per integrare un indice vettoriale MongoDB Atlas PineconeRedis Enterprise Cloud, allega la seguente politica basata sull'identità al ruolo del servizio della Knowledge Base per consentirgli di accedere al segreto per l'indice vettoriale. Gestione dei segreti AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
}
}
}]
}
```
------
------
## Configura le policy di accesso alla rete per la tua knowledge base Amazon OpenSearch Serverless
Se utilizzi una raccolta privata Amazon OpenSearch Serverless per la tua knowledge base, è possibile accedervi solo tramite un endpoint AWS PrivateLink VPC. Puoi creare una raccolta Amazon OpenSearch Serverless privata quando [configuri la tua raccolta vettoriale Amazon OpenSearch Serverless oppure puoi rendere privata una raccolta](knowledge-base-setup.md) Amazon Serverless esistente (inclusa una raccolta Amazon OpenSearch Serverless creata per te dalla console Amazon Bedrock) quando configuri la politica di accesso alla rete.
Le seguenti risorse nell'Amazon OpenSearch Service Developer Guide ti aiuteranno a comprendere la configurazione richiesta per una raccolta Amazon OpenSearch Serverless privata:
+ Per ulteriori informazioni sulla configurazione di un endpoint VPC per una raccolta Amazon Serverless privata, consulta Accedere ad [Amazon OpenSearch OpenSearch Serverless usando un](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html) endpoint di interfaccia (). AWS PrivateLink
+ Per ulteriori informazioni sulle politiche di accesso alla rete in Amazon OpenSearch Serverless, consulta [Accesso alla rete per Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html).
Per consentire a una knowledge base Amazon Bedrock di accedere a una raccolta Amazon OpenSearch Serverless privata, devi modificare la politica di accesso alla rete per la raccolta Amazon OpenSearch Serverless per consentire Amazon Bedrock come servizio di origine. Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:
------
#### [ Console ]
1. Apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Seleziona **Raccolte** nel riquadro di navigazione a sinistra. Scegli la tua raccolta.
1. Nella sezione **Rete** seleziona la **policy associata**.
1. Scegli **Modifica**.
1. Per **Seleziona il metodo di definizione della policy**, esegui una delle seguenti operazioni:
+ Mantieni l’opzione **Seleziona il metodo di definizione della policy** impostata su **Editor visivo** e configura le seguenti impostazioni nella sezione **Regola 1**:
1. (Facoltativo) Nel campo **Nome regola** immetti un nome per la regola di accesso alla rete.
1. In **Accesso alle raccolte da**, seleziona **Privato (consigliato)**.
1. Seleziona **Accesso privato al servizio AWS**. Immetti **bedrock.amazonaws.com** nella casella di testo.
1. Deseleziona **Abilita l'accesso ai OpenSearch pannelli di controllo**.
+ Scegli **JSON** e incolla la seguente policy nell’**editor JSON**.
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
1. Scegliere **Aggiorna**.
------
#### [ API ]
Per modificare la politica di accesso alla rete per la tua raccolta Amazon OpenSearch Serverless, procedi come segue:
1. Invia una [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)richiesta con un endpoint [OpenSearch Serverless](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Specifica l’elemento `name` della policy e `type` come `network`. Prendere nota dell'ID `policyVersion` nella risposta.
1. Invia una [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)richiesta con un endpoint [OpenSearch serverless](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Specifica almeno i seguenti campi:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/kb-create-security.html)
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
Per un AWS CLI esempio, vedi [Creazione di politiche di accesso ai dati () AWS CLI](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).
------
+ Utilizza la console OpenSearch di Amazon Service seguendo la procedura descritta in [Creazione di politiche di rete (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console). Invece di creare una policy di rete, prendi nota della **policy associata** nella sottosezione **Rete** dei dettagli della raccolta.