Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prerequisiti e autorizzazioni necessari per l'utilizzo di OpenSearch Managed Clusters con Amazon Bedrock Knowledge Bases
<a name="kb-osm-permissions-prereq"></a>

Questa sezione mostra come configurare le autorizzazioni se stai creando il tuo database vettoriale con Amazon OpenSearch Service Managed Clusters. La configurazione deve essere eseguita prima di creare la knowledge base. I passaggi presuppongono che tu abbia già creato un dominio e un indice vettoriale in Amazon OpenSearch Service. Per ulteriori informazioni, consulta [Creazione e gestione OpenSearch di domini di servizio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) nella *guida per sviluppatori OpenSearch di Amazon Service*.

## Considerazioni chiave
<a name="kb-osm-permissions-prereq-considerations"></a>

Di seguito sono riportate alcune considerazioni chiave per l'utilizzo di Amazon Bedrock Knowledge Bases con Amazon OpenSearch Service Managed Clusters.
+ Prima di utilizzare qualsiasi risorsa di dominio nei cluster OpenSearch gestiti, devi configurare determinate autorizzazioni e politiche di accesso IAM. Per l’integrazione di Knowledge Base con i cluster gestiti e prima di eseguire i passaggi descritti in questa sezione, se per il dominio è definita una policy di accesso restrittiva è necessario concedere l’accesso IAM richiesto e configurare le policy basate sulle risorse. Si consiglia inoltre di configurare un controllo granulare degli accessi per limitare l’ambito delle autorizzazioni.
+ Quando si importano i dati per la knowledge base, se si verificano errori, ciò potrebbe indicare una capacità del OpenSearch dominio insufficiente a gestire la velocità di inserimento. Per risolvere questo problema, incrementare la capacità del dominio allocando valori di IOPS (operazioni di input/out al secondo) più elevati e aumentando le impostazioni di throughput. Attendere alcuni minuti per il provisioning della nuova capacità, quindi riprovare il processo di importazione. Per verificare che il problema sia stato risolto, è possibile monitorare le prestazioni durante l’esecuzione del nuovo tentativo. Se la limitazione (della larghezza di banda della rete) persiste, potrebbe essere necessario regolare ulteriormente la capacità per aumentare l’efficienza. Per ulteriori informazioni, consulta [Best practice operative per Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html).

## Panoramica della configurazione delle autorizzazioni
<a name="kb-osm-permissions-prereq-overview"></a>

Per l’integrazione di Knowledge Base con i cluster gestiti, è necessario configurare le autorizzazioni di accesso IAM e le policy basate sulle risorse seguenti. Si consiglia di abilitare policy di accesso granulari per controllare ulteriormente l’accesso degli utenti e la granularità con cui deve essere definito fino al livello di proprietà.

I passaggi seguenti offrono una panoramica generale sul modo in cui configurare le autorizzazioni.

1. 

**Creare e utilizzare il ruolo di servizio della knowledge base**

   Per le autorizzazioni da configurare, anche se è comunque possibile fornire un ruolo personalizzato, si consiglia di specificare l’opzione in modo che Knowledge Base per Amazon Bedrock crei automaticamente il ruolo di servizio per la knowledge base.

1. 

**Configurare policy basate sulle risorse**

   Il OpenSearch dominio supporta politiche basate sulle risorse, che determinano quali responsabili possono accedere al dominio e agire su di esso. Per l’uso con Knowledge Base, verificare che la configurazione delle policy basate sulle risorse per il dominio sia corretta.

1. 

***(Fortemente consigliato)* Fornire la mappatura dei ruoli per il controllo granulare degli accessi**

   Sebbene il controllo granulare degli accessi sia facoltativo, si consiglia di attivarlo per controllare la granularità con cui le autorizzazioni devono essere definite a livello di proprietà.

## Configurazione delle policy IAM
<a name="kb-osm-permissions-iam"></a>

La politica di accesso del tuo dominio deve concedere le autorizzazioni per eseguire le azioni OpenSearch API richieste dai ruoli del tuo account.

Se la policy di accesso del dominio è restrittiva, potrebbe essere necessario aggiornarla nel modo seguente:
+ Deve concedere l’accesso al servizio Amazon Bedrock e includere le azioni HTTP richieste: `GET`, `POST`, `PUT` e `DELETE`.
+ Deve inoltre concedere ad Amazon Bedrock le autorizzazioni per eseguire l’azione `es:DescribeDomain` sulla risorsa dell’indice. Ciò consente a Knowledge Base per Amazon Bedrock di eseguire le convalide richieste durante la configurazione di una knowledge base.

## (Facoltativo) Controllo granulare degli accessi
<a name="kb-osm-permissions-console-fgap"></a>

Un controllo granulare degli accessi può controllare la granularità con cui le autorizzazioni devono essere definite a livello di proprietà. È possibile configurare policy di accesso granulari per concedere le autorizzazioni di lettura/scrittura necessarie al ruolo di servizio creato da Knowledge Base.

Per configurare il controllo granulare degli accessi e fornire la mappatura dei ruoli:

1. Assicurati che il OpenSearch dominio che hai creato abbia abilitato il controllo granulare degli accessi.

1. Crea un' OpenSearch interfaccia utente (dashboard), se non l'hai già fatto. L’interfaccia verrà utilizzata per configurare la mappatura dei ruoli.

1. Nelle OpenSearch dashboard, crea un OpenSearch ruolo e specifica il nome dell'indice vettoriale e le autorizzazioni del cluster e dell'indice. Per aggiungere le autorizzazioni, è necessario creare gruppi di autorizzazioni e quindi aggiungere le autorizzazioni necessarie che concedano l’accesso per eseguire una serie di operazioni tra cui `delete`, `search`, `get` e `index` per il ruolo.

1. Dopo aver aggiunto le autorizzazioni richieste, devi inserire l'ARN del tuo ruolo di servizio di Knowledge base per OpenSearch il ruolo di back-end. L'esecuzione di questo passaggio completerà la mappatura tra il tuo ruolo di Knowledge Base Service e il OpenSearch ruolo, che quindi concede ad Amazon Bedrock Knowledge Bases le autorizzazioni per accedere all'indice vettoriale nel OpenSearch dominio ed eseguire le operazioni richieste.

**Topics**
+ [Considerazioni chiave](#kb-osm-permissions-prereq-considerations)
+ [Panoramica della configurazione delle autorizzazioni](#kb-osm-permissions-prereq-overview)
+ [Configurazione delle policy IAM](#kb-osm-permissions-iam)
+ [(Facoltativo) Controllo granulare degli accessi](#kb-osm-permissions-console-fgap)
+ [Configurazione di policy basate sulle risorse per i cluster gestiti OpenSearch](kb-osm-permissions-slr-rbp.md)
+ [Configurazione delle autorizzazioni OpenSearch con un controllo granulare degli accessi](kb-osm-permissions-console-fgap.md)

# Configurazione di policy basate sulle risorse per i cluster gestiti OpenSearch
<a name="kb-osm-permissions-slr-rbp"></a>

Durante la creazione della knowledge base, è possibile creare un ruolo personalizzato o consentire ad Amazon Bedrock di crearne uno. Il modo in cui vengono configurate le autorizzazioni dipende se si sta creando un nuovo ruolo o utilizzando un ruolo esistente. Se disponi già di un ruolo IAM, devi assicurarti che la politica di accesso del tuo dominio non impedisca ai ruoli del tuo account di eseguire le azioni API necessarie. OpenSearch 

Se scegli di lasciare che Amazon Bedrock Knowledge Bases crei il ruolo IAM per te, devi assicurarti che la politica di accesso del tuo dominio conceda le autorizzazioni per eseguire le azioni OpenSearch API richieste dai ruoli del tuo account. Se il dominio ha una policy di accesso restrittiva, può impedire al ruolo di eseguire queste azioni. Di seguito è riportato un esempio di policy restrittiva basata sulle risorse.

In questo caso, è possibile:
+ Crea la tua knowledge base utilizzando un ruolo IAM esistente a cui il tuo OpenSearch dominio può concedere l'accesso a questo ruolo per eseguire le operazioni necessarie.
+ In alternativa, è possibile consentire ad Amazon Bedrock di creare un nuovo ruolo. In questo caso, devi assicurarti che la politica di accesso del dominio conceda le autorizzazioni per eseguire le azioni OpenSearch API necessarie in base ai ruoli del tuo account.

Le sezioni seguenti mostrano un esempio di policy IAM che concede le autorizzazioni necessarie e come aggiornare la politica di accesso del dominio in modo che conceda le autorizzazioni per eseguire le operazioni API necessarie. OpenSearch 

**Topics**
+ [Esempi di policy basate sull’identità IAM e sulle risorse](#kb-osm-permissions-iam)
+ [Creazione del ruolo di servizio per Knowledge Base per Amazon Bedrock](#kb-osm-permissions-slr)
+ [Aggiornamento delle policy basate sulle risorse](#kb-osm-permissions-console-rbp)

## Esempi di policy basate sull’identità IAM e sulle risorse
<a name="kb-osm-permissions-iam"></a>

Questa sezione fornisce un esempio di policy di identità e una policy basata sulle risorse che puoi configurare per il tuo OpenSearch dominio durante l'integrazione con Amazon Bedrock Knowledge Bases. È necessario concedere ad Amazon Bedrock le autorizzazioni per eseguire queste azioni sull’indice fornito alla knowledge base.


****  

| Azione | Risorsa | Description | 
| --- | --- | --- | 
| es:ESHttpPost | arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> | Per inserire informazioni nell’indice | 
| es:ESHttpGet |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html)  | Per cercare informazioni dall’indice. Questa azione è configurata sia a livello di domain/index che a livello di domain/index/\$1. A livello di domain/index è possibile ottenere dettagli di alto livello sull’indice, come il tipo di motore. Per recuperare i dettagli archiviati nell’indice, sono necessarie le autorizzazioni a livello di domain/index/\$1. | 
| es:ESHttpHead |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html)  | Per ottenere informazioni dall’indice. Questa azione è configurata sia a livello di domain/index che a livello di domain/index/\$1, nel caso in cui sia necessario ottenere informazioni a un livello superiore, ad esempio se esiste un particolare indice. | 
| es:ESHttpDelete | arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> | Per eliminare informazioni dall’indice | 
| es:DescribeDomain | arn:<partition>:es:<region>:<accountId>:domain/<domainName> | Per eseguire convalide sul dominio, ad esempio la versione del motore utilizzata. | 

### Esempio di policy basata sull’identità
<a name="kb-osm-permissions-idpolicy"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OpenSearchIndexAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPost",
                "es:ESHttpPut",
                "es:ESHttpDelete"
            ],
            "Resource": [
                "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
            ]
        },
        {
            "Sid": "OpenSearchIndexGetAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpHead"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
            ]
        },
        {
            "Sid": "OpenSearchDomainValidation",
            "Effect": "Allow",
            "Action": [
                "es:DescribeDomain"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName"
            ]
        }
    ]
}
```

------

### Esempio di policy basata sulle risorse
<a name="kb-osm-permissions-rbp"></a>

**Nota**  
Assicurarsi che il ruolo di servizio sia stato creato per essere utilizzato nella policy basata sulle risorse.

## Creazione del ruolo di servizio per Knowledge Base per Amazon Bedrock
<a name="kb-osm-permissions-slr"></a>

Durante la creazione della knowledge base, è possibile scegliere l’opzione per creare e utilizzare un nuovo ruolo di servizio. Questa sezione illustra come creare il ruolo di servizio per Knowledge Base per Amazon Bedrock. Mappando le politiche basate sulle risorse e le politiche di accesso granulari a questo ruolo, concederà ad Amazon Bedrock le autorizzazioni per effettuare richieste al dominio. OpenSearch 

**Per specificare il ruolo di servizio per Knowledge Base per Amazon Bedrock:**

1. Nella console Amazon Bedrock, accedere a [Knowledge Bases](https://console.aws.amazon.com/bedrock/home#/knowledge-bases).

1. Scegliere **Crea** e poi **Knowledge base con archivio vettoriale**.

1. Scegliere **Crea e utilizza un nuovo ruolo di servizio**. È possibile utilizzare il ruolo predefinito o assegnare un nome al ruolo personalizzato. Amazon Bedrock crea automaticamente il ruolo di servizio per Knowledge Base.

1. Continuare a utilizzare la console per configurare l’origine dati e le strategie di analisi e chunking.

1. Scegli un modello Embeddings e poi, in **Scegli un negozio vettoriale esistente**, scegli **Amazon OpenSearch Managed** Cluster.

**Importante**  
Prima di procedere con la creazione della knowledge base, completare la seguente procedura per configurare le policy basate sulle risorse e le policy di accesso granulari. Per le fasi dettagliate sulla creazione della knowledge base, vedere [Creazione di una knowledge base mediante connessione a un’origine dati in Knowledge Base per Amazon Bedrock](knowledge-base-create.md).

## Aggiornamento delle policy basate sulle risorse
<a name="kb-osm-permissions-console-rbp"></a>

Se il tuo OpenSearch dominio ha una politica di accesso restrittiva, puoi seguire le istruzioni in questa pagina per aggiornare la politica basata sulle risorse. Queste autorizzazioni consentono alle Knowledge Base di utilizzare l'indice fornito dall'utente e di recuperare la definizione del OpenSearch dominio per eseguire la convalida richiesta sul dominio.

**Per configurare le politiche basate sulle risorse da Console di gestione AWS**

1. Vai alla [console di Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home?region=us-east-1#opensearch/dashboard).

1. Vai al dominio che hai creato, poi accedi a **Configurazioni di sicurezza** in cui è configurata la policy basata sulle risorse.

1. Modifica la policy nella scheda **JSON**, poi aggiorna la policy in modo simile all’[Esempio di policy basata sulle risorse](#kb-osm-permissions-rbp).

1. Ora puoi tornare alla console Amazon Bedrock e fornire i dettagli per il tuo OpenSearch dominio e indice come descritto in [Configurazione della Knowledge base per i cluster gestiti](knowledge-base-setup.md#knowledge-base-setup-osm).

# Configurazione delle autorizzazioni OpenSearch con un controllo granulare degli accessi
<a name="kb-osm-permissions-console-fgap"></a>

Sebbene facoltativo, ti consigliamo vivamente di abilitare il controllo granulare degli accessi per il tuo dominio. OpenSearch Utilizzando il controllo granulare degli accessi, è possibile utilizzare il controllo degli accessi basato sui ruoli, che consente di creare un OpenSearch ruolo con autorizzazioni specifiche e mapparlo al ruolo del servizio Knowledge Base. La mappatura concede alla Knowledge Base le autorizzazioni minime richieste che le consentono di accedere al dominio e all'indice ed eseguire operazioni sul dominio e sull'indice. OpenSearch 

Per configurare e utilizzare il controllo granulare degli accessi:

1. Assicurati che il OpenSearch dominio che stai utilizzando abbia abilitato il controllo granulare degli accessi.

1. Per il tuo dominio che utilizza un controllo granulare degli accessi, configura le autorizzazioni con politiche mirate sotto forma di ruolo. OpenSearch

1. Per il dominio per cui crei un ruolo, aggiungi una mappatura dei ruoli al ruolo di servizio per Knowledge Base.

I passaggi seguenti mostrano come configurare il OpenSearch ruolo e garantire la corretta mappatura tra il ruolo e il ruolo del servizio Knowledge Base. OpenSearch 

**Per creare un OpenSearch ruolo e configurare le autorizzazioni**  
Dopo aver abilitato il controllo granulare degli accessi e configurato Amazon Bedrock per la connessione al OpenSearch Servizio, puoi configurare le autorizzazioni utilizzando il link OpenSearch Dashboards per ogni dominio. OpenSearch 

**Per configurare le autorizzazioni per un dominio per consentire l’accesso ad Amazon Bedrock:**

1. Apri la OpenSearch dashboard per il OpenSearch dominio con cui vuoi lavorare. Per trovare il link alle dashboard, vai al dominio che hai creato nella console di OpenSearch servizio. Per i domini in esecuzione OpenSearch, l'URL ha il formato,. `domain-endpoint/_dashboards/` Per ulteriori informazioni, consulta [Dashboards](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/dashboards.html) nella *guida per sviluppatori OpenSearch di Amazon Service*.

1. Nella OpenSearch Dashboard, scegli **Sicurezza**, quindi scegli **Ruoli**.

1. Scegli **Crea ruolo**.

1. Assegna un nome al ruolo, ad esempio **kb\$1opensearch\$1role**.

1. In **Autorizzazioni cluster**, aggiungi le seguenti autorizzazioni:
   + `indices:data/read/msearch`
   + `indices:data/write/bulk*`
   + `indices:data/read/mget*`

1. In **Autorizzazioni indice**, specifica un nome per l’indice vettoriale. Scegli **Crea nuovo gruppo di autorizzazioni**, quindi scegli **Crea nuovo gruppo di azioni**. Aggiungi le seguenti autorizzazioni a un gruppo di azioni, ad esempio `KnowledgeBasesActionGroup`. Aggiungi le seguenti autorizzazioni a un gruppo di azioni.
   + `indices:admin/get`
   + `indices:data/read/msearch`
   + `indices:data/read/search`
   + `indices:data/write/index`
   + `indices:data/write/update`
   + `indices:data/write/delete`
   + `indices:data/write/delete/byquery`
   + `indices:data/write/bulk*`
   + `indices:admin/mapping/put`
   + `indices:data/read/mget*`  
![\[I gruppi di azioni da creare nelle OpenSearch dashboard per aggiungere le autorizzazioni di cluster e indice.\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/images/kb/kb-test-os-action-groups.png)

1. Scegli **Crea** per creare il ruolo. OpenSearch 

Di seguito viene illustrato un OpenSearch ruolo di esempio con le autorizzazioni aggiunte.

![\[Un OpenSearch ruolo di esempio nelle OpenSearch dashboard con le autorizzazioni aggiunte.\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/images/kb/kb-test-os-dashboards-permissions.png)


**Come creare una mappatura dei ruoli in base al ruolo di servizio per Knowledge Base**

1. Identifica il ruolo IAM da mappare.
   + Se hai creato un ruolo IAM personalizzato, puoi copiarne l’ARN dalla console IAM.
   + Se consenti a Knowledge Base di creare automaticamente il ruolo, prendi nota del ruolo ARN quando crei la knowledge base, quindi copialo.

1. Apri la OpenSearch dashboard per il OpenSearch dominio con cui vuoi lavorare. Il formato dell’URL è `domain-endpoint/_dashboards/`.

1. Nel riquadro di navigazione scegli **Sicurezza**.

1. Cerca il ruolo che hai creato nell’elenco, ad esempio **kb\$1opensearch\$1role**, e aprilo.

1. Nella scheda **Utenti mappati**, scegli **Gestisci mappatura**.

1. Nella sezione **Ruoli di backend**, inserisci l'ARN del ruolo IAM gestito per AWS le Knowledge Bases. A seconda che tu abbia creato il tuo ruolo personalizzato o lasciato che Knowledge Base creasse il ruolo per te, copia le informazioni ARN del ruolo dalla console IAM o dalla console Amazon Bedrock, quindi inserisci tali informazioni per i **ruoli di backend** nella console. OpenSearch Di seguito è riportato un esempio.

   ```
   arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>
   ```

1. Scegli **Mappa**.

   Il ruolo del servizio Knowledge Base può ora connettersi al OpenSearch ruolo ed eseguire le operazioni richieste sul dominio e sull'indice.