翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ナレッジベースのセキュリティ設定を行います。
ナレッジベースを作成したら、次のセキュリティ設定をセットアップする必要がある場合があります。
ナレッジベースのデータアクセスポリシーを設定する
カスタムロールを使用している場合は、新しく作成したナレッジベースのセキュリティを設定します。Amazon Bedrock にサービスロールを作成させる場合は、このステップをスキップできます。設定するデータベースに対応するタブの手順に従います。
- Amazon OpenSearch Serverless
-
Amazon OpenSearch Serverless コレクションへのアクセスをナレッジベースサービスロールに制限するには、データアクセスポリシーを作成します。これは以下の方法で実行できます。
次のデータアクセスポリシーを使用して、Amazon OpenSearch Serverless コレクションとサービスロールを指定します。
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
- Pinecone, Redis Enterprise Cloud or MongoDB Atlas
-
Pinecone、Redis Enterprise Cloud、MongoDB Atlas ベクトルインデックスを統合するには、ナレッジベースサービスロールに次のアイデンティティベースのポリシーをアタッチして、ベクトルインデックスの AWS Secrets Manager シークレットにアクセスできるようにします。
JSON
- JSON
-
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:iam::${region}:${account-id}:secret:${secret-id}"
}
}
}]
}
Amazon OpenSearch Serverless ナレッジベースのネットワークアクセスポリシーを設定する
ナレッジベースにプライベート Amazon OpenSearch Serverless コレクションを使用する場合は、 AWS PrivateLink VPC エンドポイントを介してのみアクセスできます。Amazon OpenSearch Serverless ベクトルコレクションを設定するときにプライベート Amazon OpenSearch Serverless コレクションを作成することも、ネットワークアクセスポリシーを設定するときに既存の Amazon OpenSearch Serverless コレクション (Amazon Bedrock コンソールが作成したコレクションを含む) をプライベートにすることもできます。
Amazon OpenSearch Service デベロッパーガイドの以下のリソースは、プライベート Amazon OpenSearch Serverless コレクションに必要な設定を理解するのに役立ちます。
Amazon Bedrock ナレッジベースがプライベート Amazon OpenSearch Serverless コレクションにアクセスできるようにするには、Amazon OpenSearch Serverless コレクションのネットワークアクセスポリシーを編集して、Amazon Bedrock をソースサービスとして許可する必要があります。任意の方法のタブを選択し、ステップに従います。
- Console
-
-
https://console.aws.amazon.com/aos/ で Amazon OpenSearch Service コンソールを開きます。
-
左側のナビゲーションペインで [コレクション] を選択します。次に、コレクションを選択します。
-
[ネットワーク] セクションで、[関連ポリシー] を選択します。
-
[編集] を選択します。
-
[ポリシーの定義方法を選択] で、次のいずれかを実行します。
-
[ポリシーの定義方法を選択] を [ビジュアルエディタ] のままにして、[ルール 1] セクションで以下の設定を行います。
-
(オプション) [ルール名] フィールドに、ネットワークアクセスルールの名前を入力します。
-
[次からコレクションにアクセス:] で、[プライベート (推奨)] を選択します。
-
[AWS サービスプライベートアクセス] を選択します。テキストボックスに「bedrock.amazonaws.com」と入力します。
-
[OpenSearch Dashboards へのアクセスを有効にする] の選択を解除します。
-
[JSON] を選択して、以下のポリシーを [JSON エディタ]に貼り付けます。
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
-
[更新] を選択します。
- API
-
Amazon OpenSearch Serverless コレクションのネットワークアクセスポリシーを編集するには、次の手順を実行します。
-
OpenSearch Serverless エンドポイント を使用して GetSecurityPolicy リクエストを送信します。ポリシーの name を指定し、type を network として指定します。レスポンス内の policyVersion を書き留めます。
-
OpenSearch Serverless エンドポイント を使用して UpdateSecurityPolicy リクエストを送信します。少なくとも、以下のフィールドを指定します。
| フィールド |
説明 |
| 名前 |
ポリシーの名前 |
| policyVersion |
GetSecurityPolicy レスポンスから返された policyVersion。 |
| type |
セキュリティポリシーのタイプ。network を指定します。 |
| ポリシー |
使用するポリシー。次の JSON オブジェクトを指定します。 |
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
AWS CLI 例については、「データアクセスポリシーの作成 (AWS CLI)」を参照してください。
