きめ細かなアクセスコントロールによる OpenSearch アクセス許可の設定 - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

きめ細かなアクセスコントロールによる OpenSearch アクセス許可の設定

オプションですが、OpenSearch ドメインのきめ細かなアクセスコントロールを有効にすることを強くお勧めします。きめ細かなアクセスコントロールを使用すると、ロールベースのアクセスコントロールを使用できます。これにより、特定のアクセス許可を持つ OpenSearch ロールを作成し、ナレッジベースサービスロールにマッピングできます。マッピングは、ナレッジベースに、OpenSearch ドメインとインデックスへのアクセスとオペレーションの実行を許可する最低限必要なアクセス許可を付与します。

ファインアクセスコントロールを設定して使用するには:

  1. 使用している OpenSearch ドメインで、きめ細かなアクセスコントロールが有効になっていることを確認します。

  2. きめ細かなアクセスコントロールを使用するドメインの場合は、OpenSearch ロールの形式でスコープダウンポリシーを使用してアクセス許可を設定します。

  3. ロールを作成するドメインの場合は、ナレッジベースサービスロールにロールマッピングを追加します。

次の手順は、OpenSearch ロールを設定し、OpenSearch ロールとナレッジベースサービスロール間の正しいマッピングを確認する方法を示しています。

OpenSearch ロールを作成し、アクセス許可を設定するには

きめ細かなアクセスコントロールを有効にし、Amazon Bedrock が OpenSearch Service に接続するように設定したら、各 OpenSearch ドメインの OpenSearch Dashboards リンクを使用してアクセス許可を設定できます。

Amazon Bedrock へのアクセスを許可するドメインのアクセス許可を設定するには:
  1. 操作する OpenSearch ドメインの OpenSearch Dashboard を開きます。ダッシュボードへのリンクを確認するには、OpenSearch Service コンソールで作成したドメインに移動します。OpenSearch を実行しているドメインの場合、URL は の形式ですdomain-endpoint/_dashboards/。詳細については、Amazon OpenSearch Service デベロッパーガイド「ダッシュボード」を参照してください。

  2. OpenSearch Dashboard で、セキュリティを選択し、ロールを選択します。

  3. [ロールの作成] を選択してください。

  4. kb_opensearch_role など、ロールの名前を指定します。

  5. クラスターのアクセス許可で、次のアクセス許可を追加します。

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. インデックスのアクセス許可で、ベクトルインデックスの名前を指定します。Create new permission group を選択し、Create new action group を選択します。などのアクショングループに次のアクセス許可を追加しますKnowledgeBasesActionGroup。アクショングループに次のアクセス許可を追加します。

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    クラスターとインデックスのアクセス許可を追加するために OpenSearch Dashboards で作成するアクショングループ。
  7. 作成 を選択して OpenSearch ロールを作成します。

アクセス許可が追加された OpenSearch ロールの例を次に示します。

アクセス許可が追加された OpenSearch Dashboards のサンプル OpenSearch ロール。
ナレッジベースサービスロールへのロールマッピングを作成するには
  1. マッピングする必要がある IAM ロールを特定します。

    • 独自のカスタム IAM ロールを作成した場合は、IAM コンソールからこのロールのロール ARN をコピーできます。

    • ナレッジベースにロールの作成を許可する場合は、ナレッジベースの作成時にロール ARN を書き留めて、このロール ARN をコピーできます。

  2. 操作する OpenSearch ドメインの OpenSearch Dashboard を開きます。URL は の形式ですdomain-endpoint/_dashboards/

  3. ナビゲーションペインで、[セキュリティ] をクリックします。

  4. kb_opensearch_role など、先ほど作成したロールをリストから検索し、開きます。

  5. マッピングされたユーザータブで、マッピングの管理を選択します。

  6. バックエンドロールセクションで、ナレッジベースの AWS マネージド IAM ロールの ARN を入力します。独自のカスタムロールを作成したか、ナレッジベースにロールを作成させたかに応じて、IAM コンソールまたは Amazon Bedrock コンソールからロール ARN 情報をコピーし、OpenSearch コンソールにバックエンドロールの情報を入力します。次に例を示します。

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>
  7. [マップ] をクリックします。

    Knowledge Base Service ロールが OpenSearch ロールに接続し、ドメインとインデックスで必要なオペレーションを実行できるようになりました。