View a markdown version of this page

Richten Sie die Microsoft Entra App-Only ID-Authentifizierung ein für SharePoint - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie die Microsoft Entra App-Only ID-Authentifizierung ein für SharePoint

Die Microsoft Entra App-Only ID-Authentifizierung (ENTRA_ID_APP_ONLY) ist die empfohlene Authentifizierungsmethode für eine SharePoint Datenquelle. Es verwendet den OAuth 2.0-Client-Anmeldedatenfluss (nur für Anwendungen): Eine Microsoft Entra-Anwendung authentifiziert sich mit einem Zertifikat, sodass beim Crawlen oder bei der Abfrage keine Benutzeranmeldung erforderlich ist. Dies ist die einzige Authentifizierungsmethode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt. Einen Vergleich mit der alternativen OAUTH2_APP Methode finden Sie unter. Authentifizierungsmethoden

Dieses Setup umfasst zwei Systeme — Microsoft Entra ID und Ihr AWS Konto — und das Zertifikat ist der Berechtigungsnachweis, der sie miteinander verbindet. Der Connector speichert das Zertifikat (einschließlich des privaten Schlüssels) als PKCS #12 (.p12) -Datei in Amazon S3 und verwendet es, um Authentifizierungsbestätigungen an Microsoft zu signieren. Das entsprechende öffentliche Zertifikat wird in die Entra-Anwendungsregistrierung hochgeladen, damit Microsoft diese Assertionen validieren kann.

Administratorzugriff erforderlich

Für dieses Setup ist ein Microsoft Entra ID-Administrator (Global Administrator oder Privileged Role Administrator) erforderlich, um die Anwendung zu registrieren, Berechtigungen zu konfigurieren und die Zustimmung des Administrators zu erteilen. Wenn Sie den Sites.Selected Berechtigungsbereich verwenden, benötigen Sie außerdem einen SharePoint Administrator, der den Zugriff pro Site gewährt. In der Tabelle mit den Installationsschritten und Rollen unten wird der für jeden Schritt erforderliche Zugriff aufgeführt.

Einrichtungsschritte und Rollen

An diesem Verfahren sind sowohl ein Microsoft Entra ID-Administrator als auch ein AWS Administrator beteiligt. Je nachdem, wie die Zuständigkeiten in Ihrer Organisation aufgeteilt sind, können eine oder mehrere Personen diese Schritte ausführen. Identifizieren Sie anhand der folgenden Tabelle, welche Zugriffsrechte für jeden Schritt erforderlich sind.

Einrichtungsschritte und der jeweils erforderliche Zugriff
Schritt Was machst du Zugriff erforderlich
1. Registrieren Sie die Anwendung Erstellen Sie die Registrierung der Entra-App und notieren Sie die Kunden- und Mandanten-IDs. Microsoft Entra ID-Administrator (globaler Administrator oder Administrator mit privilegierter Rolle)
2. Fügen Sie Berechtigungen hinzu und erteilen Sie die Zustimmung Weisen Sie die Anwendungsberechtigungen für Ihre Konfiguration zu und erteilen Sie die Zustimmung des Administrators. Microsoft Entra ID-Administrator
3. Generieren Sie das Zertifikat Erstellen Sie ein selbstsigniertes Zertifikat und ein PKCS #12 (.p12) -Bundle mit OpenSSL. Jeder mit einem lokalen Terminal (OpenSSL erforderlich)
4. Laden Sie das öffentliche Zertifikat auf Entra hoch Fügen Sie das öffentliche Zertifikat zu den Schlüsseln der App-Registrierung hinzu. Microsoft Entra ID-Administrator
5. Gewähren Sie Zugriff pro Standort (nur) Sites.Selected Gewähren Sie der App über die Microsoft Graph-API Zugriff auf jede SharePoint Site. Microsoft Entra ID-Administrator
6. Laden Sie das Zertifikat auf Amazon S3 hoch Speichern Sie das .p12 Paket in einem Amazon S3 S3-Bucket. AWS Administrator (Amazon S3)
7. Erstellen des Geheimnisses Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. AWS Administrator (Secrets Manager)
8. Gewähren Sie der Servicerolle Zugriff auf das Zertifikat Fügen Sie Amazon S3 S3-Leseberechtigungen zu Ihrer Wissensdatenbank-Servicerolle hinzu. AWS Administrator (IAM)

Wählen Sie Ihre Konfiguration

Bevor Sie beginnen, treffen Sie zwei Entscheidungen. Sie legen fest, welche Berechtigungen Sie in Schritt 2 zuweisen und wie Sie den Zugriff auf die Website gewähren.

  • Document-level Zugriffskontrolle (ACLs) — Entscheiden Sie, ob die Datenquelle die Abfrageergebnisse anhand der SharePoint Berechtigungen der einzelnen Benutzer filtert. Für ACL-Crawling sind zusätzliche Microsoft Graph und SharePoint Berechtigungen erforderlich. Sie können diese Einstellung nicht ändern, nachdem Sie die Datenquelle erstellt haben. Details hierzu finden Sie unter Document-level Zugriffskontrollen.

  • Umfang der Berechtigungen — Entscheiden Sie, ob die Anwendung alle SharePoint Websites in Ihrem Mandanten lesen kann (alle Websites, die einfachste Option) oder nur Websites, die Sie explizit gewähren (Sites.Selected, die Option mit den geringsten Rechten). Sites.SelectedWenn Sie in Schritt 5 eine zusätzliche Erteilung pro Site abgeschlossen haben, benötigen alle Websites, die Sie später hinzufügen, eine eigene Erteilung.

Durch die Kombination dieser beiden Optionen wird einer der Berechtigungssätze im folgenden Abschnitt ausgewählt.

Berechtigungsreferenz

Weisen Sie die Anwendungsberechtigungen zu, die Ihrer Konfiguration entsprechen. Bei allen Berechtigungen handelt es sich um Anwendungsberechtigungen (nicht delegiert), und für jede Genehmigung ist die Zustimmung des Administrators erforderlich. Der Connector authentifiziert sich bei zwei Microsoft-Ressourcen: Microsoft Graph (zum Auflisten von Websites und für ACLs zum Auflösen von Benutzern und Gruppen) und der SharePointREST-API (zum Lesen von Seiteninhalten und, für ACLs, Berechtigungen auf Elementebene).

Wichtig

Wenn Sie diese Berechtigungen im Entra-Portal hinzufügen, wählen Sie die Registerkarte Anwendungsberechtigungen und nicht Delegierte Berechtigungen. App-only Die Authentifizierung verwendet Anwendungsberechtigungen.

Wählen Sie die Registerkarte für Ihre Konfiguration aus, um den genauen Microsoft Graph und die zuzuweisenden SharePoint Berechtigungen anzuzeigen.

All sites, no ACLs
Alle Websites, nur Inhalt
API Berechtigung Zweck
Microsoft Graph Sites.Read.All Zählen Sie alle SharePoint Websites auf und lesen Sie sie.
SharePoint Sites.Read.All Lesen Sie den Inhalt der Website über die SharePoint REST-API.
All sites, with ACLs
Alle Websites, mit ACLs
API Berechtigung Zweck
Microsoft Graph Sites.Read.All Zählen Sie alle Websites auf und lesen Sie sie. SharePoint
Microsoft Graph User.Read.All Benutzer für ACLs auf Dokumentebene auflösen
Microsoft Graph GroupMember.Read.All Lösen Sie die Gruppenmitgliedschaft für ACLs auf Dokumentebene auf.
SharePoint Sites.FullControl.All Lesen Sie die Berechtigungen auf Elementebene für das ACL-Crawling und überprüfen Sie den Zugriff bei der Abfrage. Sites.Read.Allist für diese Prüfung nicht ausreichend.
Sites.Selected, no ACLs
Sites.Selected, nur Inhalt
API Berechtigung Zweck
Microsoft Graph Sites.Selected Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren (Microsoft Graph).
SharePoint Sites.Selected Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren (SharePoint REST). Gewähren Sie die read Rolle pro Site in Schritt 5.
Sites.Selected, with ACLs
Sites.Selected, mit ACLs
API Berechtigung Zweck
Microsoft Graph Sites.Selected Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren (Microsoft Graph).
Microsoft Graph User.Read.All Geben Sie Benutzern ACLs auf Dokumentebene an.
Microsoft Graph GroupMember.Read.All Lösen Sie die Gruppenmitgliedschaft für ACLs auf Dokumentebene auf.
SharePoint Sites.Selected Greifen Sie nur auf die Websites zu, die Sie ausdrücklich gewähren. Gewähren Sie die fullcontrol Rolle pro Site in Schritt 5 (erforderlich, um Zugriffsberechtigungen auf Elementebene für ACLs zu lesen).
Anmerkung

Sites.FullControl.Allgewährt umfassenden Zugriff auf alle Sites im Mandanten. Wenn Ihre Organisation die geringsten Rechte benötigt, verwenden Sie in Schritt 5 den Zugriff pro Standort Sites.Selected und gewähren Sie diesen.

Werte, die Sie während der Einrichtung sammeln

Sie erstellen oder sammeln die folgenden Werte, während Sie die Schritte durcharbeiten. Sie verwenden sie, wenn Sie die Datenquelle erstellen. Details hierzu finden Sie unter Eine SharePoint Datenquelle Connect.

Referenz auf Werte
Wert Erstellt in Wird verwendet für
Anwendungs-(Client-)ID Schritt 1 Das Geheimnis (clientId).
Verzeichnis-ID (Mandanten-ID) Schritt 1 Die DatenquelletenantId.
Zertifikat — PKCS #12 -Bundle (.p12) und das zugehörige Passwort Schritt 3 Das Paket (Zertifikat plus privater Schlüssel) wird auf Amazon S3 hochgeladen (Schritt 6); das Passwort wird im Secret (certificatePassword) gespeichert.
Zertifikat — öffentliches Zertifikat (.cer) Schritt 3 Die öffentliche Hälfte desselben Zertifikats, die in die Registrierung der Entra-App hochgeladen wurde (Schritt 4).
Name und Schlüssel des Amazon S3 S3-Buckets Schritt 6 Die DatenquellecertificateS3Path.
ARN des Geheimnisses Schritt 7 Die DatenquellesecretArn.

Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID

  1. Melden Sie sich im Microsoft Entra Admin Center an.

  2. Erweitern Sie in der linken Navigationsleiste Entra ID und wählen Sie App-Registrierungen aus.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie unter Name einen aussagekräftigen Namen ein, z. B. bedrock-sharepoint-connector

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.

  6. Lassen Sie das Feld Umleitungs-URI leer. Ein Umleitungs-URI ist nicht erforderlich, da die Anwendung den Ablauf der Client-Anmeldeinformationen verwendet, keinen interaktiven Anmeldefluss.

  7. Wählen Sie Registrieren aus.

  8. Notieren Sie sich auf der Seite mit der Anwendungsübersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID). Sie benötigen beide später.

Schritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des Administrators

Fügen Sie die Berechtigungen für Ihre Konfiguration von hinzuBerechtigungsreferenz.

  1. Wählen Sie in Ihrer App-Registrierung API-Berechtigungen und dann Berechtigung hinzufügen aus.

  2. Wählen Sie Microsoft Graph und dann Anwendungsberechtigungen. Suchen Sie nach jeder Microsoft Graph-Berechtigung für Ihre Konfiguration, wählen Sie sie aus und wählen Sie dann Berechtigungen hinzufügen aus.

  3. Wählen Sie erneut „Berechtigung hinzufügen“ aus. Wählen Sie SharePoint(unter Microsoft-APIs) dann Anwendungsberechtigungen aus. Wählen Sie jede SharePoint Berechtigung für Ihre Konfiguration aus und wählen Sie dann Berechtigungen hinzufügen aus.

  4. Wählen Sie auf der Seite mit den API-Berechtigungen die Option Administratorzustimmung für [Ihre Organisation] gewähren aus und bestätigen Sie. Ohne Zustimmung des Administrators kann die Anwendung nicht auf SharePoint Daten zugreifen.

Anmerkung

Die Microsoft Entra App-Only ID-Authentifizierung verwendet das Zertifikat (aus Schritt 3) als Anmeldeinformationen, sodass Sie kein Client-Geheimnis für diese Anwendung erstellen.

Schritt 3: Generieren Sie das Authentifizierungszertifikat

Generieren Sie ein selbstsigniertes Zertifikat und verpacken Sie es als PKCS #12 (.p12) -Paket. Das Paket enthält sowohl das Zertifikat als auch seinen privaten Schlüssel, die durch ein Passwort geschützt sind. Sie laden das öffentliche Zertifikat auf Entra (Schritt 4) und das .p12 Paket auf Amazon S3 (Schritt 6) hoch. Wählen Sie die Registerkarte für Ihr Betriebssystem aus, um die Befehle zu sehen.

Anmerkung

Amazon Bedrock liest den privaten Schlüssel aus dem .p12 Paket, um Authentifizierungsbestätigungen zu signieren. Daher muss das Paket kennwortgeschützt und sicher aufbewahrt werden. Wählen Sie ein sicheres, zufälliges Passwort — Sie speichern es geheim, wie in Schritt 7 beschrieben. certificatePassword

Linux or macOS (OpenSSL)

Generieren Sie einen privaten Schlüssel und ein selbstsigniertes Zertifikat

openssl req -x509 -newkey rsa:2048 -keyout private_key.pem -out certificate.cer \ -days 365 -nodes \ -subj "/CN=bedrock-sharepoint-connector"

Package Sie das Zertifikat und den Schlüssel als PKCS #12 (.p12) -Paket

Geben Sie ein sicheres Exportkennwort ein, wenn Sie dazu aufgefordert werden. Notieren Sie es für Schritt 7.

openssl pkcs12 -export -out certificate.p12 \ -inkey private_key.pem -in certificate.cer

Sie haben jetzt drei Dateien: den privaten Schlüssel (private_key.pem), das öffentliche Zertifikat (certificate.cer) und das Paket (certificate.p12). Sie laden das öffentliche Zertifikat in Schritt 4 auf Entra und das .p12 Paket in Schritt 6 auf Amazon S3 hoch.

Windows (PowerShell)

Generieren Sie ein selbstsigniertes Zertifikat

Die folgenden PowerShell Befehle generieren ein selbstsigniertes 2048-Bit-RSA-Zertifikat mit einer Gültigkeitsdauer von einem Jahr und speichern es im Zertifikatsspeicher des aktuellen Benutzers. your-passwordErsetzen Sie es durch ein sicheres, zufälliges Passwort — Sie speichern es wie in Schritt 7 geheim. certificatePassword

$cert = New-SelfSignedCertificate ` -Subject "CN=bedrock-sharepoint-connector" ` -CertStoreLocation "Cert:\CurrentUser\My" ` -KeyAlgorithm RSA ` -KeyLength 2048 ` -KeyExportPolicy Exportable ` -NotAfter (Get-Date).AddYears(1)

Exportieren Sie das öffentliche Zertifikat

Export-Certificate -Cert $cert -FilePath certificate.cer -Type CERT

Exportieren Sie das PKCS #12 (.p12) -Paket

$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText Export-PfxCertificate -Cert $cert -FilePath certificate.p12 -Password $password

Sie haben jetzt zwei Dateien: das öffentliche Zertifikat (certificate.cer) und das Bundle (certificate.p12). Sie laden das öffentliche Zertifikat in Schritt 4 auf Entra und das .p12 Paket in Schritt 6 auf Amazon S3 hoch.

Wichtig

Speichern Sie das .p12 Paket in Amazon S3 (nicht in der .pem .cer OR-Datei). Das Paket enthält den privaten Schlüssel, den Amazon Bedrock zur Authentifizierung verwendet. Document-level Für die Zugriffskontrolle (ACLs) ist das Format erforderlich. .p12 Für reines Content-Crawling ohne ACLs können Sie stattdessen ein PEM-encoded Zertifikat speichern, da es für jede Konfiguration .p12 funktioniert, die in diesem Handbuch durchgehend verwendet wird. .p12

Anmerkung

Das Zertifikat ist standardmäßig für ein Jahr gültig. Ein abgelaufenes Zertifikat führt dazu, dass alle Synchronisierungen fehlschlagen. Wechseln Sie das Zertifikat daher, bevor es abläuft. Um den Gültigkeitszeitraum zu ändern, passen Sie die -days Option (OpenSSL) oder das -NotAfter Argument (PowerShell) an. Informationen zu den Rotationsschritten finden Sie unterDas Zertifikat rotieren.

Schritt 4: Laden Sie das öffentliche Zertifikat auf Entra hoch

  1. Wählen Sie in Ihrer App-Registrierung Certificates & Secrets und dann den Tab Certificates aus.

  2. Wählen Sie Zertifikat hochladen und wählen Sie die certificate.cer Datei aus, die Sie in Schritt 3 generiert haben (nur das öffentliche Zertifikat — laden Sie niemals das .p12 Paket oder den privaten Schlüssel auf Entra hoch).

  3. Wählen Sie Hinzufügen aus.

Schritt 5 (Sites.Selected nur): Zugriff pro Site gewähren

Anmerkung

Dieser Schritt gilt nur, wenn Sie in Schritt 2 den Sites.Selected Berechtigungsbereich ausgewählt haben. Wenn Sie den Geltungsbereich für alle Websites (Sites.Read.AlloderSites.FullControl.All) verwendet haben, fahren Sie mit Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch fort.

Mit Sites.Selected gewähren Sie Ihrer Connector-Anwendung über die Microsoft Graph-API Zugriff auf jede SharePoint Site einzeln. Dazu ist eine separate, temporäre Anwendung erforderlich, die die Zuschüsse enthält Sites.FullControl.All und nur für deren Durchführung verwendet wird. Amazon Bedrock sieht diese temporäre Anwendung oder ihre Anmeldeinformationen niemals.

  1. Erstellen Sie einen temporären Förderantrag. Registrieren Sie im Entra Admin Center eine zweite Anwendung (z. B.bedrock-sharepoint-granter) als Einzelmandantenanwendung ohne Umleitungs-URI. Fügen Sie die Microsoft Sites.FullControl.All Graph-Anwendungsberechtigung hinzu, erteilen Sie die Zustimmung des Administrators und erstellen Sie ein Client-Geheimnis. Notieren Sie die Client-ID und den geheimen Wert.

  2. Besorgen Sie sich ein Zugriffstoken für den Granter-Antrag. Ersetzen Sie die Platzhalter durch die Client-ID und den geheimen Schlüssel der Granter-Anwendung sowie durch Ihre Mandanten-ID.

    curl -s -X POST \ "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "grant_type=client_credentials" \ -d "client_id=GRANTER_CLIENT_ID" \ -d "client_secret=GRANTER_CLIENT_SECRET" \ -d "scope=https://graph.microsoft.com/.default"

    Die Antwort enthält eine. access_token Verwenden Sie es in den nächsten Befehlen als Bearer-Token.

  3. Löse jede Site-URL in eine Site-ID auf. Verwenden Sie den Hostnamen und den serverrelativen Pfad der Site.

    curl -s \ "https://graph.microsoft.com/v1.0/sites/contoso.sharepoint.com:/sites/engineering" \ -H "Authorization: Bearer ACCESS_TOKEN"

    Das id Feld in der Antwort ist die Site-ID.

  4. Gewähren Sie der Connector-Anwendung Zugriff auf die Site. Wird read für reines Inhalts-Crawling oder fullcontrol für ACL-Crawling verwendet. CONNECTOR_CLIENT_IDErsetzen Sie es durch die Anwendungs-ID (Client) aus Schritt 1.

    curl -s -X POST \ "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \ -H "Authorization: Bearer ACCESS_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "roles": ["fullcontrol"], "grantedToIdentities": [{ "application": { "id": "CONNECTOR_CLIENT_ID", "displayName": "bedrock-sharepoint-connector" } }] }'
  5. Wiederholen Sie die Befehle resolve-and-grant für jede Site, die Sie in die Datenquelle aufnehmen. Wenn Sie fertig sind, können Sie den Antrag auf temporäre Zuschüsse löschen. Die Zuschüsse pro Standort bleiben gültig.

Wichtig

Per-site Zuschüsse gelten nicht rückwirkend. Wenn Sie der Datenquelle später eine Site hinzufügen, gewähren Sie der Connector-Anwendung vor der nächsten Synchronisierung Zugriff auf diese Site. Andernfalls wird ihr Inhalt nicht gecrawlt.

Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch

Laden Sie das .p12 Paket aus Schritt 3 in einen Amazon S3 S3-Bucket in derselben AWS Region wie Ihre Wissensdatenbank hoch. Notieren Sie sich den Bucket-Namen und den Schlüssel — Sie verwenden sie als DatenquellecertificateS3Path.

aws s3api put-object \ --bucket your-certificate-bucket \ --key certs/certificate.p12 \ --body certificate.p12 \ --server-side-encryption AES256
Anmerkung

Wir empfehlen, die serverseitige Verschlüsselung für das Zertifikatsobjekt zu aktivieren und den Bucket auf die Prinzipale zu beschränken, die ihn benötigen. Das Paket enthält den privaten Schlüssel.

Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis

Speichern Sie die Anmeldeinformationen AWS Secrets Manager geheim. Geben Sie für die App-Only Entra-ID-Authentifizierung die folgenden Schlüssel-Wert-Paare an:

  • clientId(erforderlich) — die Anwendungs-ID (Client) aus Schritt 1.

  • certificatePassword(empfohlen) — das Passwort, das Sie in Schritt 3 für das .p12 Bundle festgelegt haben. Lesen Sie den folgenden Hinweis.

{ "clientId": "your-client-id", "certificatePassword": "your-certificate-password" }

Erstellen Sie das Geheimnis mit dem AWS Command Line Interface:

aws secretsmanager create-secret \ --name bedrock-sharepoint-creds \ --secret-string file://secret.json

Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als DatenquellesecretArn.

Anmerkung

Geben Sie certificatePassword das Passwort ein, das Sie bei der Erstellung des .p12 Bundles in Schritt 3 verwendet haben. Wenn Sie dieses Feld weglassen, öffnet Amazon Bedrock das Bundle mit der Client-ID Ihrer Anwendung als Passwort. Das Bundle muss also mit der Client-ID als Passwort erstellt worden sein. Wir empfehlen, stattdessen immer ein explizites Passwort mit hoher Entropie festzulegen und den privaten Schlüssel sicher aufzubewahren.

Anmerkung

Verwenden Sie stattdessen ein PEM-Zertifikat. Dieses Handbuch verwendet ein .p12 Paket, das für jede Konfiguration funktioniert. Wenn Sie nur Inhalte crawlen (keine Zugriffskontrolle auf Dokumentebene), können Sie stattdessen ein PEM-Zertifikat verwenden. Laden Sie in diesem Fall nur das öffentliche Zertifikat auf Amazon S3 hoch (kein .p12 Paket) und speichern Sie den privaten Schlüssel im Secret als privateKey (unverschlüsseltes Base64-kodiertes PKCS #8, ohne Kopfzeilen) anstelle von: certificatePassword

{ "clientId": "your-client-id", "privateKey": "your-base64-pkcs8-private-key" }

Schritt 8: Gewähren Sie der Servicerolle Zugriff auf das Zertifikat

Ihre Wissensdatenbank-Servicerolle muss in der Lage sein, das Zertifikatsobjekt aus Amazon S3 zu lesen. Fügen Sie der Berechtigungsrichtlinie der Rolle die folgende Anweisung hinzu und ersetzen Sie den Bucket-Namen und den Schlüssel durch Ihre Werte.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ListCertificateBucket", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::your-certificate-bucket"], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } }, { "Sid": "S3GetCertificate", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12", "arn:aws:s3:::your-certificate-bucket/certs/certificate.p12.metadata.json" ], "Condition": { "StringEquals": { "aws:ResourceAccount": ["123456789012"] } } } ] }
Anmerkung

Die Richtlinie ermöglicht neben dem Zertifikat auch den Lesezugriff auf eine optionale .metadata.json Datei. Amazon Bedrock benötigt diese Datei nicht; einschließlich der Berechtigung verhindert Zugriffsfehler, falls eine vorhanden ist.

Wenn das Zertifikatsobjekt mit einem AWS KMS-Schlüssel verschlüsselt ist

Der Upload-Befehl in Schritt 6: Laden Sie das Zertifikat auf Amazon S3 hoch verwendet S3-managed Amazon-Verschlüsselung (AES256), für die keine zusätzlichen Berechtigungen erforderlich sind. Wenn Sie stattdessen das Zertifikatsobjekt mit serverseitiger Amazon S3 S3-Verschlüsselung unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels (SSE-KMS) verschlüsseln, benötigt die Servicerolle auch eine kms:Decrypt Genehmigung für diesen Schlüssel, und die Richtlinie des Schlüssels muss es der Rolle ermöglichen, ihn zu verwenden. Für Objekte, die mit dem AWS verwalteten aws/s3 Schlüssel verschlüsselt wurden, ist diese zusätzliche Genehmigung nicht erforderlich.

{ "Sid": "KmsDecryptCertificate", "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["arn:aws:kms:us-west-2:123456789012:key/your-key-id"] }

Lesezugriff erfordert nurkms:Decrypt. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS KMS-Schlüsseln verwenden (SSE-KMS).

Den vollständigen Satz der Rollenberechtigungen für den Wissensdatenbankdienst finden Sie unterBerechtigungen für den Zugriff auf Ihre Datenquellen.

Nächste Schritte

Sie haben jetzt alles, was Sie zum Erstellen der Datenquelle benötigen: den geheimen ARN, Ihre Mandanten-ID und den Amazon S3 S3-Speicherort des Zertifikats. Informationen zum Erstellen der SharePoint Datenquelle mit der AWS-Managementkonsole oder der API finden Sie unterEine SharePoint Datenquelle Connect.

Wichtig

Für die ENTRA_ID_APP_ONLY Authentifizierung müssen Sie diese Daten angeben, certificateS3Path wenn Sie die Datenquelle erstellen, auch wenn ACLs deaktiviert sind. Eine SharePoint Datenquelle, die mit diesem Authentifizierungstyp und ohne Zertifikat erstellt wurde, schlägt fehl.