Configurazione delle autorizzazioni OpenSearch con controllo granulare degli accessi - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni OpenSearch con controllo granulare degli accessi

Sebbene sia facoltativo, si consiglia fortemente di abilitare il controllo granulare degli accessi per il dominio OpenSearch. Con un controllo granulare degli accessi, è possibile utilizzare il controllo degli accessi basato sui ruoli, che consente di creare un ruolo OpenSearch con autorizzazioni specifiche e di mapparlo al ruolo di servizio per Knowledge Base. La mappatura concede alla knowledge base le autorizzazioni minime richieste per accedere al dominio e all’indice OpenSearch e per eseguirvi operazioni.

Per configurare e utilizzare il controllo granulare degli accessi:

  1. Verifica che il controllo granulare degli accessi sia abilitato per il dominio OpenSearch in uso.

  2. Per il dominio che usa un controllo granulare degli accessi, configura le autorizzazioni con policy limitate in forma di ruolo OpenSearch.

  3. Per il dominio per cui crei un ruolo, aggiungi una mappatura dei ruoli al ruolo di servizio per Knowledge Base.

I passaggi seguenti mostrano come configurare il ruolo OpenSearch e garantire la corretta mappatura tra il ruolo OpenSearch e il ruolo di servizio per Knowledge Base.

Come creare un ruolo OpenSearch e configurare le autorizzazioni

Dopo aver abilitato il controllo granulare degli accessi e configurato Amazon Bedrock per la connessione al Servizio OpenSearch, è possibile configurare le autorizzazioni utilizzando il link OpenSearch Dashboards per ogni dominio OpenSearch.

Per configurare le autorizzazioni per un dominio per consentire l’accesso ad Amazon Bedrock:

  1. Apri la dashboard OpenSearch per il dominio OpenSearch da utilizzare. Per trovare il link alle dashboard, vai al dominio creato nella console del Servizio OpenSearch. Per i domini che eseguono OpenSearch, il formato dell’URL è domain-endpoint/_dashboards/. Per ulteriori informazioni, consulta Dashboard nella Guida per gli sviluppatori del Servizio OpenSearch di Amazon.

  2. Nella dashboard OpenSearch, scegli Sicurezza, quindi Ruoli.

  3. Scegli Crea ruolo.

  4. Assegna un nome al ruolo, ad esempio kb_opensearch_role.

  5. In Autorizzazioni cluster, aggiungi le seguenti autorizzazioni:

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. In Autorizzazioni indice, specifica un nome per l’indice vettoriale. Scegli Crea nuovo gruppo di autorizzazioni, quindi scegli Crea nuovo gruppo di azioni. Aggiungi le seguenti autorizzazioni a un gruppo di azioni, ad esempio KnowledgeBasesActionGroup. Aggiungi le seguenti autorizzazioni a un gruppo di azioni.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    Gruppi di azioni da creare in OpenSearch Dashboards per aggiungere le autorizzazioni per cluster e indice.

  7. Per creare il ruolo OpenSearch, scegli Crea.

Di seguito è riportato un ruolo OpenSearch di esempio con le autorizzazioni aggiunte.

Esempio di ruolo OpenSearch in OpenSearch Dashboards con le autorizzazioni aggiunte.
Come creare una mappatura dei ruoli in base al ruolo di servizio per Knowledge Base

  1. Identifica il ruolo IAM da mappare.

    • Se hai creato un ruolo IAM personalizzato, puoi copiarne l’ARN dalla console IAM.

    • Se consenti a Knowledge Base di creare automaticamente il ruolo, prendi nota del ruolo ARN quando crei la knowledge base, quindi copialo.

  2. Apri la dashboard OpenSearch per il dominio OpenSearch da utilizzare. Il formato dell’URL è domain-endpoint/_dashboards/.

  3. Nel riquadro di navigazione scegli Sicurezza.

  4. Cerca il ruolo che hai creato nell’elenco, ad esempio kb_opensearch_role, e aprilo.

  5. Nella scheda Utenti mappati, scegli Gestisci mappatura.

  6. Nella sezione Ruoli di backend, inserisci l’ARN del ruolo IAM AWS gestito per Knowledge Base. A seconda che tu abbia creato un ruolo personalizzato o consentito a Knowledge Base di creare automaticamente il ruolo, copia le informazioni ARN del ruolo dalla console IAM o dalla console Amazon Bedrock, quindi inserisci tali informazioni nel campo Ruoli di backend nella console OpenSearch. Di seguito è riportato un esempio.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Scegli Mappa.

    Il ruolo di servizio per Knowledge Base può ora connettersi al ruolo OpenSearch ed eseguire le operazioni richieste sul dominio e sull’indice.