翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Bedrock ナレッジベースで OpenSearch マネージドクラスターを使用するために必要な前提条件とアクセス許可
<a name="kb-osm-permissions-prereq"></a>

このセクションでは、Amazon OpenSearch Service マネージドクラスターで独自のベクトルデータベースを作成する場合にアクセス許可を設定する方法について説明します。この設定は、ナレッジベースを作成する前に実行する必要があります。この手順では、Amazon OpenSearch Service でドメインインデックスとベクトルインデックスを既に作成していることを前提としています。詳細については、「*Amazon OpenSearch Service デベロッパーガイド*」の「[Amazon OpenSearch Service ドメインの作成と管理](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)」を参照してください。

## 主な考慮事項
<a name="kb-osm-permissions-prereq-considerations"></a>

Amazon OpenSearch Service マネージドクラスターで Amazon Bedrock ナレッジベースを使用する際の主な考慮事項を以下に示します。
+ OpenSearch マネージドクラスターでドメインリソースを使用する前に、特定の IAM アクセス許可とポリシーを設定する必要があります。ナレッジベースとマネージドクラスターの統合の場合、このセクションのステップを実行する前に、ドメインに制限付きアクセスポリシーがある場合は、必要な IAM アクセス許可を付与し、リソースベースのポリシーを設定する必要があります。また、アクセス許可の範囲を絞り込むようにきめ細かなアクセスコントロールを設定することをお勧めします。
+ ナレッジベースのデータを取り込むときに障害が発生した場合は、取り込み速度を処理するための OpenSearch ドメイン容量が不十分である可能性があります。この問題を解決するには、より高い IOPS (1 秒あたりの入出力オペレーション数) をプロビジョニングし、スループット設定を増やして、ドメインの容量を増やします。新しい容量がプロビジョニングされるまで数分待ってから、取り込みプロセスを再試行します。問題が解決されたことを確認するには、再試行の処理時にパフォーマンスをモニタリングできます。スロットリングがまだ続く場合は、効率を向上させるために容量をさらに調整する必要があるかもしれません。詳細については、[「Amazon OpenSearch Service の運用上のベストプラクティス](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html)」を参照してください。

## アクセス許可設定の概要
<a name="kb-osm-permissions-prereq-overview"></a>

ナレッジベースとマネージドクラスターを統合するには、次の IAM アクセス許可とリソースベースのポリシーを設定する必要があります。きめ細かなアクセスポリシーを有効にして、ユーザーアクセスとプロパティレベルまで範囲を絞り込む必要がある詳細度をさらに制御することをお勧めします。

次の手順では、アクセス許可の設定方法の概要を説明します。

1. 

**ナレッジベースサービスロールを作成して使用する**

   設定するアクセス許可については、独自のカスタムロールを指定することもできますが、Amazon Bedrock ナレッジベースがナレッジベースサービスロールを作成するオプションを指定することをお勧めします。

1. 

**リソースベースのポリシーを設定する**

   OpenSearch ドメインは、ドメインにアクセスして操作できるプリンシパルを決定するリソースベースのポリシーをサポートします。ナレッジベースを使用するには、ドメインのリソースベースのポリシーを適切に設定するようにしてください。

1. 

***(強く推奨)* きめ細かなアクセスコントロールのためのロールマッピングを提供する**

   きめ細かなアクセスコントロールはオプションですが、プロパティレベルでアクセス許可の範囲を絞り込む必要がある詳細度を制御するために有効にすることをお勧めします。

## IAM ポリシーの設定
<a name="kb-osm-permissions-iam"></a>

ドメインのアクセスポリシーは、アカウントのロールで必須の OpenSearch API アクションを実行するためのアクセス許可を付与する必要があります。

ドメインに制限付きアクセスポリシーがあるときは、次のように更新する必要がある場合があります。
+ Amazon Bedrock サービスへのアクセス許可を付与し、必須の HTTP アクションの `GET`、`POST`、`PUT`、`DELETE` を含める必要があります。
+ また、インデックスリソースで `es:DescribeDomain` アクションを実行するための Amazon Bedrock アクセス許可を付与する必要があります。これにより、Amazon Bedrock ナレッジベースはナレッジベースを設定するときに必要な検証を実行できます。

## (オプション) きめ細かなアクセスコントロール
<a name="kb-osm-permissions-console-fgap"></a>

きめ細かなアクセスコントロールは、アクセス許可の範囲をプロパティレベルで絞り込む必要がある詳細度を制御できます。きめ細かなアクセスポリシーを設定して、ナレッジベースによって作成されたサービスロールに必要な読み取り/書き込みアクセス許可を付与できます。

きめ細かなアクセスコントロールを設定し、ロールマッピングを指定するには

1. 作成した OpenSearch ドメインで、きめ細かなアクセスコントロールが有効になっていることを確認します。

1. OpenSearch UI (ダッシュボード) をまだ作成していない場合は、作成します。これはロールマッピングの設定に使用します。

1. OpenSearch ダッシュボードで、OpenSearch ロールを作成し、ベクトルインデックス名と、クラスターとインデックスのアクセス許可を指定します。アクセス許可を追加するには、アクセス許可グループを作成し、ロールの `delete`、`search`、`get`、`index` などの一連のオペレーションを実行するためのアクセスを認めるのに必要なアクセス許可を追加する必要があります。

1. 必要なアクセス許可を追加したら、OpenSearch バックエンドロールのナレッジベースサービスロールの ARN を入力する必要があります。このステップを実行すると、ナレッジベースサービスロールと OpenSearch ロール間のマッピングが完了し、OpenSearch ドメインのベクトルインデックスにアクセスして必要なオペレーションを実行するためのアクセス許可が Amazon Bedrock ナレッジベースに付与されます。

**Topics**
+ [主な考慮事項](#kb-osm-permissions-prereq-considerations)
+ [アクセス許可設定の概要](#kb-osm-permissions-prereq-overview)
+ [IAM ポリシーの設定](#kb-osm-permissions-iam)
+ [(オプション) きめ細かなアクセスコントロール](#kb-osm-permissions-console-fgap)
+ [OpenSearch マネージドクラスターのリソースベースポリシーの設定](kb-osm-permissions-slr-rbp.md)
+ [きめ細かなアクセスコントロールによる OpenSearch アクセス許可の設定](kb-osm-permissions-console-fgap.md)