本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配 Amazon Bedrock 知識庫使用 OpenSearch 受管叢集所需的先決條件和許可
<a name="kb-osm-permissions-prereq"></a>

本節說明如何在使用 Amazon OpenSearch Service 受管叢集建立自己的向量資料庫時設定許可。必須先執行此組態，才能建立知識庫。這些步驟假設您已在 Amazon OpenSearch Service 中建立網域和向量索引。如需詳細資訊，請參閱《Amazon OpenSearch Service 開發人員指南》**中的[建立和管理 OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)。

## 關鍵考量
<a name="kb-osm-permissions-prereq-considerations"></a>

以下是搭配 Amazon OpenSearch Service 受管叢集使用 Amazon Bedrock 知識庫的一些重要考量事項。
+ 在 OpenSearch 受管叢集中使用任何網域資源之前，您需要設定特定 IAM 存取許可和政策。對於知識庫與受管叢集的整合，執行本節中的步驟之前，如果您的網域具有限制存取政策，您必須授予必要的 IAM 存取並設定資源型政策。我們也建議您設定精細的存取控制，以縮小許可的範圍。
+ 擷取知識庫的資料時，如果遇到失敗，可能表示 OpenSearch 網域容量不足以處理擷取速度。若要解決此問題，請透過佈建較高的 IOPS (每秒輸入/輸出操作數) 和增加輸送量設定來增加網域的容量。等待幾分鐘以佈建新容量，然後重試擷取程序。若要確認問題已解決，您可以在重試程序期間監控效能。如果限流仍然存在，您可能需要進一步調整容量以提高效率。如需詳細資訊，請參閱 [Amazon OpenSearch Service 的操作最佳實務](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html)。

## 許可組態概觀
<a name="kb-osm-permissions-prereq-overview"></a>

若要將知識庫與受管叢集整合，您需要設定下列 IAM 存取許可和資源型政策。我們建議您啟用精細的存取政策，以進一步控制使用者存取及其必須縮小至屬性層級的精細程度。

下列步驟提供如何設定許可的高階概觀。

1. 

**建立和使用知識庫服務角色**

   對於您要設定的許可，雖然您仍然可以提供自己的自訂角色，我們建議您指定選項，讓 Amazon Bedrock 知識庫為您建立知識庫服務角色。

1. 

**設定資源型政策**

   OpenSearch 網域支援資源型政策，以決定哪些主體可以存取網域並對其採取行動。若要搭配使用知識庫，請確保網域的資源型政策組態正確。

1. 

***(強烈建議)* 為精細的存取控制提供角色對應**

   雖然精細的存取控制是選用的，但建議您啟用它來控制精細程度，在屬性層級必須縮小許可範圍。

## 設定 IAM 政策
<a name="kb-osm-permissions-iam"></a>

您網域的存取政策必須授予許可，讓您帳戶中角色執行所需的 OpenSearch API 動作。

如果您的網域具有限制性存取政策，則可能需要更新，如下所示：
+ 它應該授予 Amazon Bedrock 服務的存取權，並包含必要的 HTTP 動作：`GET`、`POST`、`PUT` 和 `DELETE`。
+ 它也必須授予 Amazon Bedrock 在您的索引資源上執行 `es:DescribeDomain` 動作的許可。這可讓 Amazon Bedrock 知識庫在設定知識庫時執行必要的驗證。

## (選用) 精細的存取控制
<a name="kb-osm-permissions-console-fgap"></a>

精細的存取控制可以控制在屬性層級必須縮小許可範圍精細程度。您可以設定精細的存取政策，將所需的讀寫許可授予知識庫建立的服務角色。

若要設定精細的存取控制並提供角色對應：

1. 請確定您建立的 OpenSearch 網域已啟用精細的存取控制。

1. 如果您尚未建立 OpenSearch UI (Dashboards)，請予以建立。這將用於設定角色對應

1. 在您的 OpenSearch Dashboards 中，建立 OpenSearch 角色並指定向量索引名稱，以及叢集和索引許可。若要新增許可，您必須建立許可群組，然後新增必要的許可，以授予對角色執行一組操作的存取權，包括 `delete`、`search`、`get` 和 `index`。

1. 新增必要的許可之後，您必須輸入 OpenSearch 後端角色的知識庫服務角色 ARN。執行此步驟將完成知識庫服務角色與 OpenSearch 角色之間的對應，然後授予 Amazon Bedrock 知識庫存取 OpenSearch 網域中向量索引的許可，並執行必要的操作。

**Topics**
+ [關鍵考量](#kb-osm-permissions-prereq-considerations)
+ [許可組態概觀](#kb-osm-permissions-prereq-overview)
+ [設定 IAM 政策](#kb-osm-permissions-iam)
+ [(選用) 精細的存取控制](#kb-osm-permissions-console-fgap)
+ [設定 OpenSearch 受管叢集的資源型政策](kb-osm-permissions-slr-rbp.md)
+ [使用精細的存取控制設定 OpenSearch 許可](kb-osm-permissions-console-fgap.md)