翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ナレッジベースのセキュリティ設定を行います。
ナレッジベースを作成したら、次のセキュリティ設定をセットアップする必要がある場合があります。
**Topics**
+ [ナレッジベースのデータアクセスポリシーを設定する](#kb-create-security-data)
+ [Amazon OpenSearch Serverless ナレッジベースのネットワークアクセスポリシーを設定する](#kb-create-security-network)
## ナレッジベースのデータアクセスポリシーを設定する
[カスタムロール](kb-permissions.md)を使用している場合は、新しく作成したナレッジベースのセキュリティを設定します。Amazon Bedrock にサービスロールを作成させる場合は、このステップをスキップできます。設定するデータベースに対応するタブの手順に従います。
------
#### [ Amazon OpenSearch Serverless ]
Amazon OpenSearch Serverless コレクションへのアクセスをナレッジベースサービスロールに制限するには、データアクセスポリシーを作成します。これは以下の方法で実行できます。
+ Amazon OpenSearch Service デベロッパーガイドの「[Creating data access policies (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console)」の手順に従って、Amazon OpenSearch Service コンソールを使用します。
+ [OpenSearch Serverless エンドポイント](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions)で [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html) リクエストを送信して AWSAPI を使用します。AWS CLI例については、[「データアクセスポリシーの作成 (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli)」を参照してください。
次のデータアクセスポリシーを使用して、Amazon OpenSearch Serverless コレクションとサービスロールを指定します。
```
[
{
"Description": "${data access policy description}",
"Rules": [
{
"Resource": [
"index/${collection_name}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::${account-id}:role/${kb-service-role}"
]
}
]
```
------
#### [ Pinecone, Redis エンタープライズクラウド or MongoDB Atlas ]
Pinecone、Redis Enterprise Cloud、MongoDB Atlas ベクトルインデックスを統合するには、ナレッジベースサービスロールに次のアイデンティティベースのポリシーをアタッチして、ベクトルインデックスのAWS Secrets Managerシークレットにアクセスできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:us-east-1:123456789012:secret:${secret-id}"
}
}
}]
}
```
------
------
## Amazon OpenSearch Serverless ナレッジベースのネットワークアクセスポリシーを設定する
ナレッジベースにプライベート Amazon OpenSearch Serverless コレクションを使用する場合は、AWS PrivateLinkVPC エンドポイントを介してのみアクセスできます。[Amazon OpenSearch Serverless ベクトルコレクションを設定する](knowledge-base-setup.md)ときにプライベート Amazon OpenSearch Serverless コレクションを作成することも、ネットワークアクセスポリシーを設定するときに既存の Amazon OpenSearch Serverless コレクション (Amazon Bedrock コンソールが作成したコレクションを含む) をプライベートにすることもできます。
Amazon OpenSearch Service デベロッパーガイドの以下のリソースは、プライベート Amazon OpenSearch Serverless コレクションに必要な設定を理解するのに役立ちます。
+ プライベート Amazon OpenSearch Serverless コレクションの VPC エンドポイントの設定の詳細については、「[Access Amazon OpenSearch Serverless using an interface endpoint (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)」を参照してください。
+ Amazon OpenSearch Serverless のネットワークアクセスポリシーの詳細については、「[Network access for Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html)」を参照してください。
Amazon Bedrock ナレッジベースがプライベート Amazon OpenSearch Serverless コレクションにアクセスできるようにするには、Amazon OpenSearch Serverless コレクションのネットワークアクセスポリシーを編集して、Amazon Bedrock をソースサービスとして許可する必要があります。任意の方法のタブを選択し、その手順に従います。
------
#### [ Console ]
1. [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) で Amazon OpenSearch Service コンソールを開きます。
1. 左側のナビゲーションペインで **[コレクション]** を選択します。次に、コレクションを選択します。
1. **[ネットワーク]** セクションで、**[関連ポリシー]** を選択します。
1. **[編集]** を選択します。
1. **[ポリシーの定義方法を選択]** で、次のいずれかを実行します。
+ **[ポリシーの定義方法を選択]** を **[ビジュアルエディタ]** のままにして、**[ルール 1]** セクションで以下の設定を行います。
1. (オプション) **[ルール名]** フィールドに、ネットワークアクセスルールの名前を入力します。
1. **[次からコレクションにアクセス:]** で、**[プライベート (推奨)]** を選択します。
1. **[AWS サービスプライベートアクセス]** を選択します。テキストボックスに「**bedrock.amazonaws.com**」と入力します。
1. **[OpenSearch Dashboards へのアクセスを有効にする]** の選択を解除します。
+ **[JSON]** を選択して、以下のポリシーを **[JSON エディタ]**に貼り付けます。
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
1. **[更新]** を選択します。
------
#### [ API ]
Amazon OpenSearch Serverless コレクションのネットワークアクセスポリシーを編集するには、次の手順を実行します。
1. [OpenSearch Serverless エンドポイント](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions) を使用して [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html) リクエストを送信します。ポリシーの `name` を指定し、`type` を `network` として指定します。レスポンス内の `policyVersion` を書き留めます。
1. [OpenSearch Serverless エンドポイント](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions) を使用して [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) リクエストを送信します。少なくとも、以下のフィールドを指定します。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/bedrock/latest/userguide/kb-create-security.html)
```
[
{
"AllowFromPublic": false,
"Description":"${network access policy description}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/${collection-id}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
AWS CLI例については、[「データアクセスポリシーの作成 (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli)」を参照してください。
------
+ 「[Creating network policies (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console)」の手順に従って、Amazon OpenSearch Service コンソールを使用します。ネットワークポリシーを作成する代わりに、コレクションの詳細の **[ネットワーク]** サブセクションの **[関連付けポリシー]** に注意してください。