Configurazione di policy basate sulle risorse per i cluster gestiti OpenSearch - Amazon Bedrock
Esempi di policy basate sull’identità IAM e sulle risorseCreazione del ruolo di servizio per Knowledge Base per Amazon BedrockAggiornamento delle policy basate sulle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di policy basate sulle risorse per i cluster gestiti OpenSearch

Durante la creazione della knowledge base, è possibile creare un ruolo personalizzato o consentire ad Amazon Bedrock di crearne uno. Il modo in cui vengono configurate le autorizzazioni dipende se si sta creando un nuovo ruolo o utilizzando un ruolo esistente. Se disponi già di un ruolo IAM, devi assicurarti che la politica di accesso del tuo dominio non impedisca ai ruoli del tuo account di eseguire le azioni API necessarie. OpenSearch

Se scegli di lasciare che Amazon Bedrock Knowledge Bases crei il ruolo IAM per te, devi assicurarti che la politica di accesso del tuo dominio conceda le autorizzazioni per eseguire le azioni OpenSearch API richieste dai ruoli del tuo account. Se il dominio ha una policy di accesso restrittiva, può impedire al ruolo di eseguire queste azioni. Di seguito è riportato un esempio di policy restrittiva basata sulle risorse.

In questo caso, è possibile:

  • Crea la tua knowledge base utilizzando un ruolo IAM esistente a cui il tuo OpenSearch dominio può concedere l'accesso a questo ruolo per eseguire le operazioni necessarie.

  • In alternativa, è possibile consentire ad Amazon Bedrock di creare un nuovo ruolo. In questo caso, devi assicurarti che la politica di accesso del dominio conceda le autorizzazioni per eseguire le azioni OpenSearch API necessarie in base ai ruoli del tuo account.

Le sezioni seguenti mostrano un esempio di policy IAM che concede le autorizzazioni necessarie e come aggiornare la politica di accesso del dominio in modo che conceda le autorizzazioni per eseguire le operazioni API necessarie. OpenSearch

Esempi di policy basate sull’identità IAM e sulle risorse

Questa sezione fornisce un esempio di policy di identità e una policy basata sulle risorse che puoi configurare per il tuo OpenSearch dominio durante l'integrazione con Amazon Bedrock Knowledge Bases. È necessario concedere ad Amazon Bedrock le autorizzazioni per eseguire queste azioni sull’indice fornito alla knowledge base.

Azione Risorsa Description
es:ESHttpPost arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Per inserire informazioni nell’indice
es:ESHttpGet

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Per cercare informazioni dall’indice. Questa azione è configurata sia a livello di domain/index che a livello di domain/index/*. A livello di domain/index è possibile ottenere dettagli di alto livello sull’indice, come il tipo di motore. Per recuperare i dettagli archiviati nell’indice, sono necessarie le autorizzazioni a livello di domain/index/*.
es:ESHttpHead

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Per ottenere informazioni dall’indice. Questa azione è configurata sia a livello di domain/index che a livello di domain/index/*, nel caso in cui sia necessario ottenere informazioni a un livello superiore, ad esempio se esiste un particolare indice.
es:ESHttpDelete arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Per eliminare informazioni dall’indice
es:DescribeDomain arn:<partition>:es:<region>:<accountId>:domain/<domainName> Per eseguire convalide sul dominio, ad esempio la versione del motore utilizzata.
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OpenSearchIndexAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPost",
                "es:ESHttpPut",
                "es:ESHttpDelete"
            ],
            "Resource": [
                "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
            ]
        },
        {
            "Sid": "OpenSearchIndexGetAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpHead"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
            ]
        },
        {
            "Sid": "OpenSearchDomainValidation",
            "Effect": "Allow",
            "Action": [
                "es:DescribeDomain"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName"
            ]
        }
    ]
}
Nota

Assicurarsi che il ruolo di servizio sia stato creato per essere utilizzato nella policy basata sulle risorse.

Creazione del ruolo di servizio per Knowledge Base per Amazon Bedrock

Durante la creazione della knowledge base, è possibile scegliere l’opzione per creare e utilizzare un nuovo ruolo di servizio. Questa sezione illustra come creare il ruolo di servizio per Knowledge Base per Amazon Bedrock. Mappando le politiche basate sulle risorse e le politiche di accesso granulari a questo ruolo, concederà ad Amazon Bedrock le autorizzazioni per effettuare richieste al dominio. OpenSearch

Per specificare il ruolo di servizio per Knowledge Base per Amazon Bedrock:

  1. Nella console Amazon Bedrock, accedere a Knowledge Bases.

  2. Scegliere Crea e poi Knowledge base con archivio vettoriale.

  3. Scegliere Crea e utilizza un nuovo ruolo di servizio. È possibile utilizzare il ruolo predefinito o assegnare un nome al ruolo personalizzato. Amazon Bedrock crea automaticamente il ruolo di servizio per Knowledge Base.

  4. Continuare a utilizzare la console per configurare l’origine dati e le strategie di analisi e chunking.

  5. Scegli un modello Embeddings e poi, in Scegli un negozio vettoriale esistente, scegli Amazon OpenSearch Managed Cluster.

Importante

Prima di procedere con la creazione della knowledge base, completare la seguente procedura per configurare le policy basate sulle risorse e le policy di accesso granulari. Per le fasi dettagliate sulla creazione della knowledge base, vedere Creazione di una knowledge base mediante connessione a un’origine dati in Knowledge Base per Amazon Bedrock.

Aggiornamento delle policy basate sulle risorse

Se il tuo OpenSearch dominio ha una politica di accesso restrittiva, puoi seguire le istruzioni in questa pagina per aggiornare la politica basata sulle risorse. Queste autorizzazioni consentono alle Knowledge Base di utilizzare l'indice fornito dall'utente e di recuperare la definizione del OpenSearch dominio per eseguire la convalida richiesta sul dominio.

Per configurare le politiche basate sulle risorse da Console di gestione AWS

  1. Vai alla console di Amazon OpenSearch Service.

  2. Vai al dominio che hai creato, poi accedi a Configurazioni di sicurezza in cui è configurata la policy basata sulle risorse.

  3. Modifica la policy nella scheda JSON, poi aggiorna la policy in modo simile all’Esempio di policy basata sulle risorse.

  4. Ora puoi tornare alla console Amazon Bedrock e fornire i dettagli per il tuo OpenSearch dominio e indice come descritto in Configurazione della Knowledge base per i cluster gestiti.