Configurar permissões do OpenSearch com controle de acesso refinado - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar permissões do OpenSearch com controle de acesso refinado

Embora opcional, recomendamos que você habilite o controle de acesso refinado para seu domínio do OpenSearch. Usando o controle de acesso refinado, você pode usar o controle de acesso baseado em perfil, que permite criar um perfil do OpenSearch com permissões específicas e associá-lo ao perfil de serviço da base de conhecimento. O mapeamento concede à base de conhecimento as permissões mínimas necessárias que possibilitam acessar e realizar operações no domínio e no índice do OpenSearch.

Para configurar e usar o controle de acesso refinado:

  1. O domínio do OpenSearch que você está usando deve ter o controle de acesso refinado habilitado.

  2. Para domínios que usam controle de acesso refinado, configure permissões com permissões de escopo reduzido em forma de um perfil do OpenSearch.

  3. Para o domínio para o qual você cria um perfil, adicione um mapeamento de perfis ao perfil de serviço da base de conhecimento.

As etapas a seguir mostram como configurar seu perfil do OpenSearch e garantir o mapeamento correto entre o perfil do OpenSearch e o perfil de serviço da base de conhecimento.

Como criar um perfil do OpenSearch e configurar permissões

Depois de habilitar o controle de acesso refinado e configurar o Amazon Bedrock para se conectar ao OpenSearch Service, você pode configurar as permissões usando o link “OpenSearch Dashboards” para cada domínio do OpenSearch.

Para configurar permissões para um domínio permitir acesso ao Amazon Bedrock:

  1. Abra o painel do OpenSearch para o domínio do OpenSearch com o qual deseja trabalhar. Para encontrar o link para os painéis, acesse o domínio que você criou no console do OpenSearch Service. Para domínios que executam o OpenSearch, o formado do URL é domain-endpoint/_dashboards/. Para ter mais informações, Painéis no Guia do desenvolvedor do Amazon OpenSearch Service.

  2. No painel do OpenSearch, escolha Segurança e selecione Perfis.

  3. Selecione Criar perfil.

  4. Forneça qualquer nome para o perfil; por exemplo, kb_opensearch_role.

  5. Em Permissões de cluster, adicione as seguintes permissões:

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. Em Permissões de índice, forneça um nome para o índice de vetores. Escolha Criar grupo de permissões e selecione Criar grupo de ação. Adicione as seguintes permissões a um grupo de ação, como KnowledgeBasesActionGroup. Adicione as seguintes permissões a um grupo de ação.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    Os grupos de ação a serem criados no OpenSearch Dashboards para adicionar permissões de cluster e índice.

  7. Escolha Criar para criar o perfil do OpenSearch.

A seguir é mostrado um exemplo de perfil do OpenSearch com as permissões adicionadas.

Um exemplo de perfil do OpenSearch no OpenSearch Dashboards com as permissões adicionadas.
Noções básicas sobre mapeamento de perfis para o perfil de serviço da base de conhecimento

  1. Identifique um perfil do IAM que precisará ser mapeado.

    • Se você tiver criado seu perfil do IAM personalizado, poderá copiar o ARN do perfil para esse perfil do console do IAM.

    • Se estiver permitindo que as bases de conhecimento criem o perfil para você, você pode anotar o ARN do perfil ao criar a base de conhecimento e, em seguida, copiar o respectivo ARN.

  2. Abra o painel do OpenSearch para o domínio do OpenSearch com o qual deseja trabalhar. O formato do URL é domain-endpoint/_dashboards/.

  3. No painel de navegação, escolha Segurança.

  4. Pesquise o perfil que você acabou de criar na lista (por exemplo, kb_opensearch_role) e abra-o.

  5. Na guia Usuários mapeados, selecione Gerenciar mapeamento.

  6. Na seção Perfis de backend, insira o ARN do perfil do IAM gerenciado pela AWS para as bases de conhecimento. Dependendo se você criou seu perfil personalizado ou permitiu que as bases de conhecimento o criassem para você, copie as informações do ARN do perfil do console do IAM ou no console do Amazon Bedrock e, em seguida, insira essas informações para Perfis de backend no console do OpenSearch. Veja um exemplo a seguir.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Escolha Mapear.

    O perfil de serviço da base de conhecimento agora pode se conectar ao perfil do OpenSearch e realizar as operações necessárias no domínio e no índice.