

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Document-level Zugriffskontrollen
<a name="kb-managed-ds-googledrive-acl"></a>

**ACL-Awareness ist keine Autorisierung**  
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Da Bedrock Managed Knowledge Base die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen kann, filtert diese Funktion die Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.

Google Drive-Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base bei jedem Crawl Zugriffskontrolllisten (ACLs) von Google Drive und überprüft die Berechtigungen jedes Nutzers zum Zeitpunkt der Abfrage, sodass Nutzer nur Ergebnisse von Dokumenten sehen, auf die sie in Google Drive zugreifen dürfen. Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. [Aktivierung des Bewusstseins für Zugriffskontrolllisten](kb-managed-acl.md)

## Funktionsweise
<a name="kb-managed-ds-googledrive-acl-how"></a>

Wenn ein Nutzer eine Wissensdatenbank abfragt, die eine ACL-enabled Google Drive-Datenquelle verwendet, setzt Bedrock Managed Knowledge Base die Zugriffskontrollen in zwei Schritten durch:
+ **Pre-retrieval Filterung** — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die während des letzten Crawls mit Google Drive synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Nutzer (oder seine Gruppen) zugreifen darf.
+ **Real-time Überprüfung** — Die Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Nutzers auf Google Drive überprüft. In der Antwort sind nur Dokumente enthalten, für die der Benutzer derzeit berechtigt ist.

Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentebene, die auch dann aktuell bleibt, wenn sich die Google Drive-Berechtigungen zwischen den Synchronisierungen ändern.

## Was wird gecrawlt
<a name="kb-managed-ds-googledrive-acl-crawl"></a>

Wenn ACLs aktiviert sind, durchsucht Bedrock Managed Knowledge Base Freigabeberechtigungen auf Dateiebene von Google Drive, darunter:
+ Direktes Teilen durch Nutzer (individuelle Dateiberechtigungen)
+ Mitgliedschaften in Google Groups
+ Shared Drive-Mitgliedschaften

## Aktivieren Sie ACL Awareness
<a name="kb-managed-ds-googledrive-acl-enable"></a>

Um ACL Awareness für eine Google Drive-Datenquelle `aclEnabled` zu aktivieren, setzen Sie `true` im auf `connectorParameters` und verwenden Sie den `SERVICE_ACCOUNT` Authentifizierungstyp. Für das Dienstkonto muss die domänenweite Delegierung in Ihrer Google Workspace-Verwaltungskonsole aktiviert sein.

**Wichtig**  
Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.

Das AWS Secrets Manager Geheimnis muss `adminAccountEmail``clientEmail`, und enthalten. `privateKey` Eine schrittweise Anleitung zur Erstellung des Dienstkontos, zur Konfiguration der domänenweiten Delegierung und zum Abrufen dieser Werte finden Sie unter. [Richten Sie die Dienstkontoauthentifizierung für Google Drive ein](kb-managed-googledrive-service-account-setup.md)

```
"connectorParameters": {
    "type": "GOOGLEDRIVE",
    "version": "1",
    "aclEnabled": true,
    "connectionConfiguration": {
        "authType": "SERVICE_ACCOUNT",
        "secretArn": "{{arn:aws:secretsmanager:region:account-id:secret:secret-name}}"
    },
    "dataEntityConfiguration": {
        "crawlMyDrive": true,
        "crawlSharedWithMe": false,
        "crawlSharedDrives": false
    }
}
```

**Anmerkung**  
Der `OAUTH2` Authentifizierungstyp wird für ACL-enabled Google Drive-Datenquellen nicht unterstützt. Sie müssen ihn `SERVICE_ACCOUNT` mit domänenweiter Delegierung verwenden.

## Real-time Überprüfung des Zugriffs
<a name="kb-managed-ds-googledrive-acl-realtime"></a>

Bedrock Managed Knowledge Base verwendet die domänenweite Delegierung des Dienstkontos, um den Zugriff auf Dokumente in Echtzeit anhand der Google Drive-API zu verifizieren und so zu bestätigen, dass der anfragende Nutzer weiterhin Zugriff auf jedes Kandidatendokument hat.

## Überprüfen Ihrer Konfiguration
<a name="kb-managed-ds-googledrive-acl-verify"></a>

Sie können die Konfiguration Ihres Dienstkontos unabhängig von einer Abrufanfrage überprüfen. Führen Sie jede der folgenden Prüfungen durch:

1. **Domain-wide Delegierung**:
   + Vergewissern Sie sich in der Google Workspace Admin-Konsole, dass die Client-ID des Dienstkontos für die erforderlichen Bereiche autorisiert ist (schreibgeschützter Google Drive-Bereich und directory/group Lesebereich des Admin-SDK).

1. **Drive-Zugriff (Crawl** und Überprüfung):
   + Rufen Sie mithilfe des Dienstkontos (`clientEmail`und`privateKey`) der Identitätsannahme die Google Drive-API auf`adminAccountEmail`, um die Dateien eines Nutzers aufzulisten und zu bestätigen, dass der Vorgang erfolgreich ist.

1. **Auflösung der Gruppe:**
   + Rufen Sie die Admin SDK Directory API auf, um die Gruppenmitgliedschaften eines Benutzers aufzulisten und zu bestätigen, dass die erwarteten Gruppen zurückgegeben werden.

## Fehlerbehebung
<a name="kb-managed-ds-googledrive-acl-troubleshooting"></a>

**Anmerkung**  
ACL-Fehlkonfigurationen führen beim Abrufen nicht zu expliziten Fehlern. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.


**ACL-enabled Symptome, Ursachen und Lösungen für Google Drive**  

| Symptom | Wahrscheinliche Ursache | Reparieren | 
| --- | --- | --- | 
| Retrieve gibt 0 Ergebnisse zurück, aber der Nutzer hat Zugriff in Google Drive. | Domain-wide Die Delegierung ist nicht konfiguriert, oder dem Dienstkonto fehlen die erforderlichen Bereiche, sodass der Zugriff nicht verifiziert werden kann. | Autorisieren Sie die Client-ID des Dienstkontos für die erforderlichen Drive- und Admin-SDK-Bereiche in der Google Workspace Admin-Konsole. | 
| Group-based Der Zugriff wird nicht berücksichtigt. | Der directory/group Admin-SDK-Lesebereich fehlt in der Delegierung. | Fügen Sie den Lesebereich der Admin-SDK-Gruppe zur domänenweiten Delegierung des Dienstkontos hinzu. | 
| Das Crawlen oder Synchronisieren schlägt fehl. | clientEmail/privateKeyist ungültig oder adminAccountEmail steht nicht für einen Workspace-Administrator. | Überprüfen Sie die Anmeldedaten für das Dienstkonto und dass adminAccountEmail es sich um einen Workspace-Administrator handelt. | 
| Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. | Der Dienstkontoschlüssel wurde ausgetauscht oder gesperrt. | Aktualisieren Sie das privateKey im Geheimen. | 