Prerequisiti e autorizzazioni richiesti per l’utilizzo di cluster gestiti OpenSearch con Knowledge Base per Amazon Bedrock
Questa sezione mostra come configurare le autorizzazioni necessarie per creare il database vettoriale con i cluster gestiti del Servizio OpenSearch di Amazon. La configurazione deve essere eseguita prima di creare la knowledge base. I passaggi presuppongono che siano già stati creati un dominio e un indice vettoriale nel Servizio OpenSearch di Amazon. Per ulteriori informazioni, consulta Creazione e gestione dei domini del Servizio OpenSearch nella Guida per gli sviluppatori del Servizio OpenSearch di Amazon.
Considerazioni chiave
Di seguito sono riportate alcune considerazioni chiave per l’utilizzo di Knowledge Base per Amazon Bedrock con i cluster gestiti del Servizio OpenSearch di Amazon.
-
Prima di utilizzare qualsiasi risorsa di dominio nei cluster gestiti OpenSearch, è necessario configurare determinate autorizzazioni e policy di accesso IAM. Per l’integrazione di Knowledge Base con i cluster gestiti e prima di eseguire i passaggi descritti in questa sezione, se per il dominio è definita una policy di accesso restrittiva è necessario concedere l’accesso IAM richiesto e configurare le policy basate sulle risorse. Si consiglia inoltre di configurare un controllo granulare degli accessi per limitare l’ambito delle autorizzazioni.
-
Quando si importano i dati per la knowledge base, la presenza di eventuali errori potrebbe indicare che la capacità del dominio OpenSearch è insufficiente a gestire la velocità di importazione. Per risolvere questo problema, incrementare la capacità del dominio allocando valori di IOPS (operazioni di input/out al secondo) più elevati e aumentando le impostazioni di throughput. Attendere alcuni minuti per il provisioning della nuova capacità, quindi riprovare il processo di importazione. Per verificare che il problema sia stato risolto, è possibile monitorare le prestazioni durante l’esecuzione del nuovo tentativo. Se la limitazione (della larghezza di banda della rete) persiste, potrebbe essere necessario regolare ulteriormente la capacità per aumentare l’efficienza. Per ulteriori informazioni, consulta Best practice operative per il Servizio OpenSearch di Amazon.
Panoramica della configurazione delle autorizzazioni
Per l’integrazione di Knowledge Base con i cluster gestiti, è necessario configurare le autorizzazioni di accesso IAM e le policy basate sulle risorse seguenti. Si consiglia di abilitare policy di accesso granulari per controllare ulteriormente l’accesso degli utenti e la granularità con cui deve essere definito fino al livello di proprietà.
I passaggi seguenti offrono una panoramica generale sul modo in cui configurare le autorizzazioni.
-
Creare e utilizzare il ruolo di servizio della knowledge base
Per le autorizzazioni da configurare, anche se è comunque possibile fornire un ruolo personalizzato, si consiglia di specificare l’opzione in modo che Knowledge Base per Amazon Bedrock crei automaticamente il ruolo di servizio per la knowledge base.
-
Configurare policy basate sulle risorse
Il dominio OpenSearch supporta policy basate sulle risorse, che determinano i principali che possono accedere al dominio ed eseguirvi operazioni. Per l’uso con Knowledge Base, verificare che la configurazione delle policy basate sulle risorse per il dominio sia corretta.
-
(Fortemente consigliato) Fornire la mappatura dei ruoli per il controllo granulare degli accessi
Sebbene il controllo granulare degli accessi sia facoltativo, si consiglia di attivarlo per controllare la granularità con cui le autorizzazioni devono essere definite a livello di proprietà.
Configurazione delle policy IAM
La policy di accesso del dominio deve concedere le autorizzazioni per eseguire le azioni dell’API OpenSearch necessarie in base ai ruoli dell’account.
Se la policy di accesso del dominio è restrittiva, potrebbe essere necessario aggiornarla nel modo seguente:
-
Deve concedere l’accesso al servizio Amazon Bedrock e includere le azioni HTTP richieste:
GET,POST,PUTeDELETE. -
Deve inoltre concedere ad Amazon Bedrock le autorizzazioni per eseguire l’azione
es:DescribeDomainsulla risorsa dell’indice. Ciò consente a Knowledge Base per Amazon Bedrock di eseguire le convalide richieste durante la configurazione di una knowledge base.
(Facoltativo) Controllo granulare degli accessi
Un controllo granulare degli accessi può controllare la granularità con cui le autorizzazioni devono essere definite a livello di proprietà. È possibile configurare policy di accesso granulari per concedere le autorizzazioni di lettura/scrittura necessarie al ruolo di servizio creato da Knowledge Base.
Per configurare il controllo granulare degli accessi e fornire la mappatura dei ruoli:
-
Verifica che il controllo granulare degli accessi sia abilitato per il dominio OpenSearch creato.
-
Se non lo hai ancora fatto, crea un’interfaccia utente OpenSearch (dashboard). L’interfaccia verrà utilizzata per configurare la mappatura dei ruoli.
-
Nelle dashboard di OpenSearch, crea un ruolo OpenSearch e specifica il nome dell’indice vettoriale e le autorizzazioni per il cluster e l’indice. Per aggiungere le autorizzazioni, è necessario creare gruppi di autorizzazioni e quindi aggiungere le autorizzazioni necessarie che concedano l’accesso per eseguire una serie di operazioni tra cui
delete,search,geteindexper il ruolo. -
Dopo aver aggiunto le autorizzazioni richieste, devi inserire l’ARN del tuo ruolo di servizio della knowledge base per il ruolo di backend OpenSearch. Con questo passaggio, viene completata la mappatura tra il tuo ruolo di servizio per Knowledge Base e il ruolo OpenSearch, che quindi concede a Knowledge Base per Amazon Bedrock le autorizzazioni per accedere all’indice vettoriale nel dominio OpenSearch ed eseguire le operazioni richieste.
Nei seguenti argomenti viene descritto come configurare le autorizzazioni necessarie.
