Configurando políticas baseadas em recursos para clusters gerenciados OpenSearch - Amazon Bedrock
Exemplo de políticas do IAM baseadas em identidade e em recursosCriar um perfil de serviço para as Bases de Conhecimento do Amazon BedrockAtualizar as políticas baseadas em recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando políticas baseadas em recursos para clusters gerenciados OpenSearch

Ao criar sua base de conhecimento, você pode criar um perfil personalizado ou deixar o Amazon Bedrock criar um para você. A forma como você configura as permissões depende de você estar criando um perfil ou usando um perfil existente. Se você já tem uma função do IAM, deve garantir que a política de acesso do seu domínio não impeça que as funções em sua conta executem as ações de OpenSearch API necessárias.

Se você optar por permitir que o Amazon Bedrock Knowledge Bases crie a função do IAM para você, você deve garantir que a política de acesso do seu domínio conceda as permissões para realizar as ações de OpenSearch API necessárias pelas funções em sua conta. Se seu domínio tiver uma política de acesso restritiva, isso poderá impedir que seu perfil execute essas ações. A seguir é apresentado um exemplo de política baseada em recursos restritiva.

Nesse caso, você pode:

  • Crie sua base de conhecimento usando uma função do IAM existente para que seu OpenSearch domínio possa conceder acesso a essa função para realizar as operações necessárias.

  • Ou você pode deixar o Amazon Bedrock criar um perfil para você. Nesse caso, você deve garantir que a política de acesso do domínio conceda as permissões para realizar as ações de OpenSearch API necessárias pelas funções em sua conta.

As seções a seguir mostram um exemplo de política do IAM que concede as permissões necessárias e como você pode atualizar a política de acesso do domínio para que ela conceda permissões para realizar as operações de OpenSearch API necessárias.

Exemplo de políticas do IAM baseadas em identidade e em recursos

Esta seção fornece um exemplo de política de identidade e uma política baseada em recursos que você pode configurar para seu OpenSearch domínio ao fazer a integração com as Bases de Conhecimento Amazon Bedrock. Você deve conceder permissões ao Amazon Bedrock para realizar essas ações no índice que você fornece à sua base de conhecimento.

Ação Recurso Description
es:ESHttpPost arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Como inserir informações no índice
es:ESHttpGet

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Para pesquisar informações do índice. Essa ação é configurada tanto no nível domain/index quanto no nível domain/index/*. No nível domain/index, é possível obter detalhes abrangentes sobre o índice, como o tipo de mecanismo. Para recuperar detalhes armazenados no índice, são necessárias permissões no nível domain/index/*.
es:ESHttpHead

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Para obter informações do índice. Essa ação é configurada tanto no nível domain/index quanto no nível domain/index/*, caso as informações precisem ser obtidas em um nível superior; por exemplo, saber se um índice específico existe.
es:ESHttpDelete arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Para excluir informações do índice.
es:DescribeDomain arn:<partition>:es:<region>:<accountId>:domain/<domainName> Para realizar validações no domínio, como a versão do mecanismo usada.
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OpenSearchIndexAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPost",
                "es:ESHttpPut",
                "es:ESHttpDelete"
            ],
            "Resource": [
                "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
            ]
        },
        {
            "Sid": "OpenSearchIndexGetAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpHead"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
            ]
        },
        {
            "Sid": "OpenSearchDomainValidation",
            "Effect": "Allow",
            "Action": [
                "es:DescribeDomain"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName"
            ]
        }
    ]
}
nota

O perfil de serviço deve ter sido criado para ser usado na política baseada em recursos.

Criar um perfil de serviço para as Bases de Conhecimento do Amazon Bedrock

Ao criar a base de conhecimento, é possível escolher a opção de criar e usar outro perfil de serviço. Esta seção explica como criar um perfil de serviço das Bases de Conhecimento do Amazon Bedrock. Ao mapear as políticas baseadas em recursos e as políticas de acesso refinadas a essa função, ele concederá ao Amazon Bedrock as permissões para fazer solicitações ao domínio. OpenSearch

Para especificar o perfil de serviço das Bases de Conhecimento do Amazon Bedrock:

  1. No console do Amazon Bedrock, acesse Bases de conhecimento.

  2. Escolha Criar e selecione Base de conhecimento com armazenamento vetorial.

  3. Escolha Criar e usar um novo perfil de serviço. Quer você use o padrão ou forneça um nome de perfil personalizado, o Amazon Bedrock criará automaticamente o perfil de serviço da base de conhecimento para você.

  4. Continue acessando o console para configurar a fonte de dados e estratégias de análise e fragmentação.

  5. Escolha um modelo de incorporação e, em Escolha um armazenamento vetorial existente, escolha Amazon OpenSearch Managed Cluster.

Importante

Para continuar a criar a base de conhecimento, primeiro conclua as etapas a seguir para configurar as políticas baseadas em recursos e as políticas de acesso refinadas. Para ver as etapas detalhadas sobre como criar a base de conhecimento, consulte Crie uma base de conhecimento conectando-se a uma fonte de dados nas Bases de Conhecimento do Amazon Bedrock.

Atualizar as políticas baseadas em recursos

Se seu OpenSearch domínio tiver uma política de acesso restritiva, você poderá seguir as instruções nesta página para atualizar a política baseada em recursos. Essas permissões permitem que as Bases de Conhecimento usem o índice que você fornece e recuperem a definição do OpenSearch domínio para realizar a validação necessária no domínio.

Para configurar as políticas baseadas em recursos do Console de gerenciamento da AWS

  1. Acesse o console do Amazon OpenSearch Service.

  2. Vá para o domínio que você criou e acesse Configurações de segurança, onde a política baseada em recursos está configurada.

  3. Edite a política na guia JSON e atualize a política tal como em Exemplo de política baseada em recursos.

  4. Agora você pode voltar ao console do Amazon Bedrock e fornecer os detalhes do seu OpenSearch domínio e índice, conforme descrito na configuração da base de conhecimento para clusters gerenciados.