Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Document-level Zugriffskontrollen
ACL-Awareness ist keine Autorisierung
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Da Bedrock Managed Knowledge Base die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen kann, filtert diese Funktion die Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.
Google Drive-Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base bei jedem Crawl Zugriffskontrolllisten (ACLs) von Google Drive und überprüft die Berechtigungen jedes Nutzers zum Zeitpunkt der Abfrage, sodass Nutzer nur Ergebnisse von Dokumenten sehen, auf die sie in Google Drive zugreifen dürfen. Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten
Funktionsweise
Wenn ein Nutzer eine Wissensdatenbank abfragt, die eine ACL-enabled Google Drive-Datenquelle verwendet, setzt Bedrock Managed Knowledge Base die Zugriffskontrollen in zwei Schritten durch:
-
Pre-retrieval Filterung — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die während des letzten Crawls mit Google Drive synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Nutzer (oder seine Gruppen) zugreifen darf.
-
Real-time Überprüfung — Die Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Nutzers auf Google Drive überprüft. In der Antwort sind nur Dokumente enthalten, für die der Benutzer derzeit berechtigt ist.
Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentebene, die auch dann aktuell bleibt, wenn sich die Google Drive-Berechtigungen zwischen den Synchronisierungen ändern.
Was wird gecrawlt
Wenn ACLs aktiviert sind, durchsucht Bedrock Managed Knowledge Base Freigabeberechtigungen auf Dateiebene von Google Drive, darunter:
Direktes Teilen durch Nutzer (individuelle Dateiberechtigungen)
Mitgliedschaften in Google Groups
Shared Drive-Mitgliedschaften
Aktivieren Sie ACL Awareness
Um ACL Awareness für eine Google Drive-Datenquelle aclEnabled zu aktivieren, setzen Sie true im auf connectorParameters und verwenden Sie den SERVICE_ACCOUNT Authentifizierungstyp. Für das Dienstkonto muss die domänenweite Delegierung in Ihrer Google Workspace-Verwaltungskonsole aktiviert sein.
Wichtig
Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.
Das AWS Secrets Manager Geheimnis muss adminAccountEmailclientEmail, und enthalten. privateKey Eine schrittweise Anleitung zur Erstellung des Dienstkontos, zur Konfiguration der domänenweiten Delegierung und zum Abrufen dieser Werte finden Sie unter. Richten Sie die Dienstkontoauthentifizierung für Google Drive ein
"connectorParameters": { "type": "GOOGLEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "authType": "SERVICE_ACCOUNT", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name" }, "dataEntityConfiguration": { "crawlMyDrive": true, "crawlSharedWithMe": false, "crawlSharedDrives": false } }
Anmerkung
Der OAUTH2 Authentifizierungstyp wird für ACL-enabled Google Drive-Datenquellen nicht unterstützt. Sie müssen ihn SERVICE_ACCOUNT mit domänenweiter Delegierung verwenden.
Real-time Überprüfung des Zugriffs
Bedrock Managed Knowledge Base verwendet die domänenweite Delegierung des Dienstkontos, um den Zugriff auf Dokumente in Echtzeit anhand der Google Drive-API zu verifizieren und so zu bestätigen, dass der anfragende Nutzer weiterhin Zugriff auf jedes Kandidatendokument hat.
Überprüfen Ihrer Konfiguration
Sie können die Konfiguration Ihres Dienstkontos unabhängig von einer Abrufanfrage überprüfen. Führen Sie jede der folgenden Prüfungen durch:
-
Domain-wide Delegierung:
Vergewissern Sie sich in der Google Workspace Admin-Konsole, dass die Client-ID des Dienstkontos für die erforderlichen Bereiche autorisiert ist (schreibgeschützter Google Drive-Bereich und directory/group Lesebereich des Admin-SDK).
-
Drive-Zugriff (Crawl und Überprüfung):
Rufen Sie mithilfe des Dienstkontos (
clientEmailundprivateKey) der Identitätsannahme die Google Drive-API aufadminAccountEmail, um die Dateien eines Nutzers aufzulisten und zu bestätigen, dass der Vorgang erfolgreich ist.
-
Auflösung der Gruppe:
Rufen Sie die Admin SDK Directory API auf, um die Gruppenmitgliedschaften eines Benutzers aufzulisten und zu bestätigen, dass die erwarteten Gruppen zurückgegeben werden.
Fehlerbehebung
Anmerkung
ACL-Fehlkonfigurationen führen beim Abrufen nicht zu expliziten Fehlern. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.
| Symptom | Wahrscheinliche Ursache | Reparieren |
|---|---|---|
| Retrieve gibt 0 Ergebnisse zurück, aber der Nutzer hat Zugriff in Google Drive. | Domain-wide Die Delegierung ist nicht konfiguriert, oder dem Dienstkonto fehlen die erforderlichen Bereiche, sodass der Zugriff nicht verifiziert werden kann. | Autorisieren Sie die Client-ID des Dienstkontos für die erforderlichen Drive- und Admin-SDK-Bereiche in der Google Workspace Admin-Konsole. |
| Group-based Der Zugriff wird nicht berücksichtigt. | Der directory/group Admin-SDK-Lesebereich fehlt in der Delegierung. | Fügen Sie den Lesebereich der Admin-SDK-Gruppe zur domänenweiten Delegierung des Dienstkontos hinzu. |
| Das Crawlen oder Synchronisieren schlägt fehl. | clientEmail/privateKeyist ungültig oder adminAccountEmail steht nicht für einen Workspace-Administrator. |
Überprüfen Sie die Anmeldedaten für das Dienstkonto und dass adminAccountEmail es sich um einen Workspace-Administrator handelt. |
| Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. | Der Dienstkontoschlüssel wurde ausgetauscht oder gesperrt. | Aktualisieren Sie das privateKey im Geheimen. |