As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos e permissões necessários para usar clusters gerenciados do OpenSearch com as Bases de Conhecimento do Amazon Bedrock
Esta seção mostra como configurar permissões se você estiver criando seu próprio banco de dados de vetores com clusters gerenciados pelo Amazon OpenSearch Service. Essa configuração deve ser executada antes de você criar a base de conhecimento. As etapas pressupõem que você já tenha criado um domínio e um índice de vetores no Amazon OpenSearch Service. Para ter mais informações, consulte Criar e gerenciar domínios do Amazon OpenSearch Service no Guia do desenvolvedor do Amazon OpenSearch Service.
Considerações importantes
A seguir estão algumas considerações importantes sobre o uso das Bases de Conhecimento do Amazon Bedrock com clusters gerenciados pelo Amazon OpenSearch Service.
-
Antes de usar qualquer recurso de domínio nos clusters gerenciados do OpenSearch, é necessário configurar determinadas permissões e políticas de acesso do IAM. Para a integração das bases de conhecimento com clusters gerenciados, antes de executar as etapas desta seção, se seu domínio tiver uma política de acesso restritiva, você deverá conceder o acesso necessário ao IAM e configurar as políticas baseadas em recursos. Também recomendamos que você configure um controle de acesso refinado para reduzir o escopo das permissões.
-
Ao ingerir os dados da base de conhecimento, se você encontrar falhas, isso pode indicar capacidade insuficiente do domínio OpenSearch para lidar com a velocidade da ingestão. Para resolver esse problema, aumente a capacidade do seu domínio provisionando IOPS (operações de entrada/saída por segundo) mais altas e aumentando as configurações de throughput. Aguarde alguns minutos até que a nova capacidade seja provisionada e, em seguida, repita o processo de ingestão. Para verificar se o problema foi resolvido, você pode monitorar o desempenho durante o processo de nova tentativa. Se o controle de utilização ainda persistir, talvez seja necessário ajustar ainda mais a capacidade para melhorar a eficiência. Para ter mais informações, consulte Práticas operacionais recomendadas para o Amazon OpenSearch Service.
Visão geral da configuração de permissões
Para a integração da base de conhecimento com clusters gerenciados, você precisa configurar as permissões de acesso do IAM e políticas baseadas em recursos a seguir. Recomendamos que você habilite políticas de acesso refinadas para controlar ainda mais o acesso do usuário e a granularidade de acordo com a qual o escopo do acesso deve ser reduzido em nível de propriedade.
As etapas a seguir apresentam uma visão geral abrangente sobre como configurar permissões.
-
Criar e usar um perfil de serviço da base de conhecimento
Para as permissões que você deseja configurar, embora ainda possa fornecer um perfil personalizado, recomendamos que você especifique a opção para que as Bases de Conhecimento do Amazon Bedrock criem o perfil de serviço da base de conhecimento para você.
-
Configurar uma política baseada em recursos
O domínio do OpenSearch permite políticas baseadas em recursos, que determinam quais entidades principais podem acessar e atuar no domínio. Para uso com as bases de conhecimento, garanta a configuração adequada da política baseada em recursos para seu domínio.
-
(Altamente recomendado) Fornecer mapeamento de perfis para controle de acesso refinado
Embora o controle de acesso refinado seja opcional, recomendamos que você o habilite para controlar a granularidade de acordo com a qual o escopo das permissões deve ser reduzido em nível de propriedade.
Configurar políticas do IAM
A política de acesso do domínio deve conceder as permissões para realizar as ações necessárias da API do OpenSearch de acordo com os perfis em sua conta.
Se o domínio tiver uma política de acesso restritivo, talvez seja necessário atualizá-lo da seguinte forma:
-
Ele deve conceder acesso ao serviço Amazon Bedrock e incluir as ações HTTP necessárias:
GET,POST,PUTeDELETE. -
Ele também deve conceder permissões ao Amazon Bedrock para realizar a ação
es:DescribeDomainem seu recurso de índice. Isso permite que as Bases de Conhecimento do Amazon Bedrock realizem as validações necessárias ao configurar uma base de conhecimento.
(Opcional) Controle de acesso refinado
O controle de acesso refinado pode controlar a granularidade de acordo com a qual o escopo das permissões deve ser reduzido em nível de propriedade. Você pode configurar as políticas de acesso refinadas para conceder as permissões de leitura e gravação necessárias ao perfil de serviço criado pelas bases de conhecimento.
Para configurar o controle de acesso refinado e fornecer o mapeamento de perfis:
-
O domínio do OpenSearch que você criou deve ter o controle de acesso refinado habilitado.
-
Crie uma interface de usuário do OpenSearch (painéis), caso ainda não tenha criado. Ela será usada para configurar o mapeamento de perfis.
-
Em seus painéis do OpenSearch, crie um perfil do OpenSearch e especifique o nome do índice de vetores e as permissões do cluster e do índice. Para adicionar as permissões, você deve criar grupos de permissões e, em seguida, adicionar as permissões necessárias que concedem acesso ao perfil para realizar um conjunto de operações, como
delete,search,geteindex. -
Depois de adicionar as permissões necessárias, você deve inserir o ARN do perfil de serviço da base de conhecimento para o perfil de backend do OpenSearch. A execução dessa etapa concluirá o mapeamento entre o perfil de serviço da base de conhecimento e o perfil do OpenSearch, que então concede às Bases de Conhecimento do Amazon Bedrock permissões para acessar o índice de vetores no domínio do OpenSearch e realizar as operações necessárias.
Os tópicos a seguir mostram como configurar as permissões necessárias.
