View a markdown version of this page

Document-level Zugriffskontrollen - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Document-level Zugriffskontrollen

OneDrive Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base OneDrive bei jedem Crawl Zugriffskontrolllisten (ACLs) und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Ergebnisse von Dokumenten sehen, auf die sie zugreifen dürfen. OneDrive Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten

ACL-Awareness ist keine Autorisierung

Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Die Bedrock Managed Knowledge Base kann die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen. Daher filtert diese Funktion Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.

Funktionsweise

Wenn ein Benutzer eine Wissensdatenbank abfragt, die eine ACL-enabled OneDrive Datenquelle verwendet, erzwingt Bedrock Managed Knowledge Base Zugriffskontrollen in zwei Schritten:

  • Pre-retrieval Filterung — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die OneDrive beim letzten Crawl synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Benutzer (oder seine Gruppen) zugreifen darf.

  • Real-time Überprüfung — Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Benutzers überprüft. OneDrive Nur Dokumente, für die der Benutzer derzeit berechtigt ist, sind in der Antwort enthalten.

Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die OneDrive Berechtigungen zwischen den Synchronisierungen ändern.

Was wird gecrawlt

Wenn ACLs aktiviert sind, durchsucht Bedrock Managed Knowledge Base Freigabeberechtigungen auf Dateiebene und Sicherheitsgruppenzuweisungen von. OneDrive Verschachtelte (transitive) Gruppenmitgliedschaften werden ebenfalls aufgelöst.

Bei der Abfrage übergeben Sie die E-Mail-Adresse des Benutzers (keine Gruppe). Bedrock Managed Knowledge Base löst die Gruppenmitgliedschaften dieses Benutzers anhand der gecrawlten Daten auf und wendet sie beim Filtern der Ergebnisse an. Weitere Informationen zum Identitätsmodell finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten

Voraussetzungen für ACL Awareness

ACL-enabled OneDrive verwendet zwei verschiedene Microsoft-APIs, von denen jede ihren eigenen Anwendungsberechtigungssatz für Ihre Microsoft Entra-Anwendung hat: Der Crawl verwendet die Microsoft Graph-API und die Echtzeitüberprüfung verwendet die SharePoint REST-API (OneDrive for Business wird unterstützt von). SharePoint Konfigurieren Sie die Berechtigungen für beide APIs mit Zustimmung des Administrators, bevor Sie ACL Awareness aktivieren.

  • User.Read.Allund GroupMember.Read.All auf Microsoft Graph (für Identity Crawling).

  • Sites.FullControl.Allaktiviert SharePoint (für die Überprüfung des Zugriffs auf Dokumente). Sites.Read.Allist nicht ausreichend — der Nur-Lese-Zugriff kann nicht die effektive Berechtigungsprüfung durchführen, die für die Echtzeitverifizierung erforderlich ist.

Wichtig

Der Crawl verwendet die Microsoft Graph-API und die Echtzeitverifizierung verwendet die SharePoint REST-API — verschiedene Ressourcen mit unterschiedlichen Anwendungsberechtigungen. Die Microsoft Graph-Berechtigungen zum Crawlen von Identitäten sind erforderlich, reichen aber nicht aus: Für die Echtzeitverifizierung ist zusätzlich die SharePoint Sites.FullControl.All Genehmigung mit Zustimmung des Administrators erforderlich. Die ausschließliche Gewährung von Microsoft Graph-Berechtigungen ist die häufigste Ursache dafür, dass eine ACL-enabled OneDrive Datenquelle keine Ergebnisse zurückgibt, selbst wenn der Benutzer Zugriff hat.

Das vollständige Einrichtungsverfahren, einschließlich des Zertifikats, finden Sie unterRichten Sie die Microsoft Entra App ID-Authentifizierung ein für OneDrive.

Aktivieren Sie ACL Awareness

Um ACL Awareness für eine OneDrive Datenquelle aclEnabled zu aktivieren, setzen Sie true in der auf connectorParameters und verwenden Sie den ENTRA_APP_ID Authentifizierungstyp. Dieser Authentifizierungstyp verwendet Anwendungsberechtigungen, die es Bedrock Managed Knowledge Base ermöglichen, Identitätsinformationen zu crawlen und den Zugriff auf Dokumente bei der Abfrage zu überprüfen.

Wichtig

Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.

Wenn ACLs für aktiviert sind OneDrive, müssen Sie eine certificateS3Path in die Referenzdatei mit dem connectionConfiguration Verweis auf eine PKCS #12 (.p12) -Zertifikatsdatei in Amazon S3 aufnehmen. Dieses Zertifikat wird für die ACL-Verifizierung in Echtzeit anhand der SharePoint REST-API verwendet. Das certificateS3Path ist nicht erforderlich, wenn ACLs deaktiviert sind.

"connectorParameters": { "type": "ONEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_APP_ID", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "crawlPersonalDrives": true } }
Anmerkung

Das certificatePassword Feld im Secret ist optional. Wenn Sie es weglassen, öffnet Bedrock Managed Knowledge Base die PKCS #12 (.p12) -Datei mit der Client-ID Ihrer Anwendung als Passwort, sodass das Zertifikat mit diesem Passwort erstellt worden sein muss. Wir empfehlen, immer eine explizite, hohe Entropie festzulegen, um den privaten Schlüssel des Zertifikats im certificatePassword Ruhezustand zu schützen.

Anmerkung

Der OAUTH2 Authentifizierungstyp wird für Datenquellen nicht unterstützt. ACL-enabled OneDrive Sie müssen ENTRA_APP_ID verwenden.

Real-time Überprüfung des Zugriffs

Bedrock Managed Knowledge Base verifiziert jedes Kandidatendokument in Echtzeit vollständig serverseitig unter Verwendung von Anmeldedaten — es gibt weder eine Anmeldung durch den Endbenutzer noch eine delegierte Zustimmung. Da OneDrive for Business unterstützt wird SharePoint, überprüft Bedrock Managed Knowledge Base die effektiven Berechtigungen des abfragenden Benutzers anhand der REST-API für den SharePoint Host Ihres Mandanten. OneDrive

OneDrive Die Echtzeitverifizierung verwendet ein Modell mit zwei Anmeldeinformationen, und beide Anmeldeinformationen sind erforderlich:

  • Die Client-ID und das Client-Geheimnis in Ihrem AWS Secrets Manager Secret bilden ein Microsoft Graph-Token, das verwendet wird, um den OneDrive Host Ihres Mandanten (den -my.sharepoint.com Host) aufzulösen.

  • Das Zertifikat von certificateS3Path mintet das SharePoint REST-Token, das für die Berechtigungsprüfung selbst verwendet wurde. Das Zertifikat ist der maßgebliche Berechtigungsnachweis für die Überprüfung in Echtzeit — ein geheimes Client-Token allein kann die Prüfung nicht durchführen.

Wichtig

Die Anwendung muss über die SharePoint Sites.FullControl.All entsprechende Genehmigung mit Zustimmung des Administrators verfügen. Das Sites.Read.All ist nicht ausreichend, da für die Prüfung der effektiven Berechtigungen Kontrollrechte erforderlich sind. manage/full Ohne die richtige Berechtigung kann die Echtzeitüberprüfung die effektiven Berechtigungen nicht auswerten und schlägt beim Schließen fehl, sodass jedes Dokument für jede Abfrage verweigert wird — selbst wenn der Benutzer Zugriff hat und der Crawl und die Filterung vor dem Abruf erfolgreich waren. Weitere Informationen finden Sie unter Voraussetzungen für ACL Awareness.

Anmerkung

Nachdem Sie die SharePoint Anwendungsberechtigung erteilt haben oder ihr zugestimmt haben, kann es bis zu einer Stunde dauern, bis die Änderung für Benutzer wirksam wird, die vor der Änderung geprüft wurden, da die Anmeldeinformationen für den Anwendungszugriff zwischengespeichert werden. Um die Änderung früher zu bestätigen, testen Sie es mit einem anderen Benutzer, der noch nicht abgefragt wurde.

Überprüfen Ihrer Konfiguration

Sie können Ihre Entra-Anwendungsberechtigungen unabhängig von einer Abrufanforderung validieren. Führen Sie jede der folgenden Prüfungen durch:

  1. Microsoft Graph (Crawl):

    • Erwerben Sie ein Anwendungstoken mit Gültigkeitsbereichhttps://graph.microsoft.com/.default.

    • Dekodieren Sie das Token und bestätigen Sie, dass der roles Anspruch die erforderlichen Microsoft Graph-Berechtigungen (User.Read.AllGroupMember.Read.All, undFiles.Read.All) enthält.

    • Rufen Sie an GET https://graph.microsoft.com/v1.0/users/{user}/drive/root/children und bestätigen Sie, dass die Laufwerkselemente des Benutzers aufgelistet sind.

  2. SharePoint REST (Überprüfung in Echtzeit):

    • Erwerben Sie ein Token mithilfe der Zertifikatsclient-Assertion mit Gültigkeitsbereichhttps://{tenant}-my.sharepoint.com/.default.

    • Bestätigen Sie, dass der roles Anspruch des Tokens die SharePoint Sites.FullControl.All Genehmigung beinhaltet. Ein roles: null Wert bedeutet, dass die Erlaubnis oder die Zustimmung des Administrators fehlt.

    • Rufen Sie an GET https://{tenant}-my.sharepoint.com/_api/web und bestätigen Sie, dass es erfolgreich ist (HTTP 200). Eine fehlgeschlagene oder nicht autorisierte Antwort bedeutet, dass die SharePoint Genehmigung oder die Zustimmung des Administrators fehlt, wodurch alle Dokumente verweigert werden.

Fehlerbehebung

Anmerkung

ACL-Fehlkonfigurationen führen beim Abrufen nicht zu expliziten Fehlern. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.

ACL-enabled OneDrive Symptome, Ursachen und Lösungen
Symptom Wahrscheinliche Ursache Reparieren
Retrieve gibt 0 Ergebnisse zurück, aber der Benutzer hat Zugriff auf OneDrive. Microsoft Graph-Berechtigungen sind vorhanden, aber die SharePoint Anwendungsberechtigung oder die Zustimmung des Administrators fehlt, sodass der SharePoint REST-Aufruf abgelehnt und jedes Dokument verweigert wird. Erteilen Sie die SharePoint Sites.FullControl.All Erlaubnis mit Zustimmung des Administrators. Da diese Anwendungsanmeldedaten zwischengespeichert werden, sollten Sie bis zu einer Stunde warten, bis die Änderung wirksam wird, oder testen Sie sie mit einem Benutzer, der noch nicht abgefragt wurde, um dies früher zu bestätigen.
Der Zugriff eines Benutzers wurde geändert OneDrive, aber das neue Ergebnis wird nicht sofort übernommen. Per-user Die Zugriffsergebnisse zwischen der Datenquelle und der Bedrock Managed Knowledge Base sind letztendlich konsistent (normalerweise innerhalb von etwa zwei Minuten), sodass eine kürzlich erfolgte Zugriffsänderung möglicherweise nicht sofort widergespiegelt wird. Warten Sie etwa zwei Minuten, nachdem die Datenquelle die Änderung übernommen hat, und versuchen Sie es erneut.
Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. Das Zertifikat ist abgelaufen oder die Zustimmung des Administrators wurde widerrufen. Erneuern Sie das Zertifikat in der Entra-App-Registrierung und in Amazon S3 und erteilen Sie erneut die Zustimmung des Administrators.
Das Crawlen oder Synchronisieren schlägt fehl, obwohl die Konfiguration korrekt aussieht. Eine erforderliche Microsoft Graph-Anwendungsberechtigung fehlt. Grant Files.Read.AllSites.Read.All,User.Read.All, undGroupMember.Read.All.
Fehler bei der Erstellung von Zertifikatskennwörtern oder Tokens. Das .p12 Passwort stimmt nicht überein. certificatePassword Stellen Sie certificatePassword das Passwort ein, mit dem die .p12 Datei erstellt wurde.