

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Document-level controles de acceso
<a name="kb-managed-ds-googledrive-acl"></a>

**El conocimiento de la ACL no es una autorización**  
La base de conocimientos gestionada de Bedrock proporciona ACL-aware filtros, no un límite de seguridad. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación es responsable de autenticar a los usuarios y de transmitir el contexto de identidad verificado. Dado que Bedrock Managed Knowledge Base no puede verificar la autenticidad del contexto de usuario que usted proporciona, esta función filtra los resultados en función de la identidad que proporciona, pero no constituye una autorización verdadera. No debe confiar en esta función como único mecanismo de control de acceso sin una autenticación previa.

Las fuentes de datos de Google Drive admiten opcionalmente el control de acceso a nivel de documento. Cuando está habilitada, la Base de conocimientos gestionada por Bedrock sincroniza las listas de control de acceso (ACL) de Google Drive durante cada rastreo y verifica los permisos de cada usuario en el momento de la consulta, de modo que los usuarios solo vean los resultados de los documentos a los que están autorizados a acceder en Google Drive. Para obtener información general sobre el reconocimiento de las ACL en todos los conectores, consulte. [Habilitación del conocimiento de las listas de control de acceso](kb-managed-acl.md)

## Funcionamiento
<a name="kb-managed-ds-googledrive-acl-how"></a>

Cuando un usuario consulta una base de conocimientos que utiliza una fuente de datos de ACL-enabled Google Drive, Bedrock Managed Knowledge Base aplica los controles de acceso en dos etapas:
+ **Pre-retrieval filtrado**: la base de conocimiento gestionada por Bedrock aplica las listas de control de acceso que se sincronizaron desde Google Drive durante el último rastreo y solo muestra los documentos candidatos a los que el usuario (o sus grupos) puedan acceder.
+ **Real-time verificación**: la base de conocimientos gestionada por Bedrock verifica los documentos candidatos en tiempo real comprobando el acceso actual del usuario que realiza la consulta en Google Drive. En la respuesta solo se incluyen los documentos a los que el usuario está autorizado a acceder actualmente.

Este enfoque en dos etapas proporciona un control de acceso a nivel de documento que se mantiene actualizado incluso cuando los permisos de Google Drive cambian entre las sincronizaciones.

## ¿Qué se rastrea
<a name="kb-managed-ds-googledrive-acl-crawl"></a>

Cuando las ACL están habilitadas, la Base de conocimiento gestionada de Bedrock rastrea los permisos de uso compartido a nivel de archivos de Google Drive, que incluyen:
+ Los usuarios comparten directamente los archivos (permisos de archivos individuales)
+ Membresías a Grupos de Google
+ Membresías en discos compartidos

## Habilite el conocimiento de las AC
<a name="kb-managed-ds-googledrive-acl-enable"></a>

Para habilitar el reconocimiento de las ACL en una fuente de datos de Google Drive, `aclEnabled` `true` configúrelo en `connectorParameters` y utilice el tipo de `SERVICE_ACCOUNT` autenticación. La cuenta de servicio debe tener habilitada la delegación en todo el dominio en la consola de administración de Google Workspace.

**importante**  
La configuración de ACL es permanente. No puede habilitar las ACL en una fuente de datos creada sin soporte para las ACL y no puede deshabilitar las ACL una vez habilitadas.

El AWS Secrets Manager secreto debe incluir `adminAccountEmail``clientEmail`, y. `privateKey` Para obtener instrucciones paso a paso sobre cómo crear la cuenta de servicio, configurar la delegación en todo el dominio y obtener estos valores, consulte. [Configurar la autenticación de la cuenta de servicio para Google Drive](kb-managed-googledrive-service-account-setup.md)

```
"connectorParameters": {
    "type": "GOOGLEDRIVE",
    "version": "1",
    "aclEnabled": true,
    "connectionConfiguration": {
        "authType": "SERVICE_ACCOUNT",
        "secretArn": "{{arn:aws:secretsmanager:region:account-id:secret:secret-name}}"
    },
    "dataEntityConfiguration": {
        "crawlMyDrive": true,
        "crawlSharedWithMe": false,
        "crawlSharedDrives": false
    }
}
```

**nota**  
El tipo de `OAUTH2` autenticación no es compatible con las fuentes de datos de ACL-enabled Google Drive. Debe utilizarse `SERVICE_ACCOUNT` con la delegación en todo el dominio.

## Real-time verificación de acceso
<a name="kb-managed-ds-googledrive-acl-realtime"></a>

La base de conocimientos gestionada por Bedrock utiliza la delegación en todo el dominio de la cuenta de servicio para verificar el acceso a los documentos en tiempo real con la API de Google Drive, lo que confirma que el usuario que realiza la consulta sigue teniendo acceso a cada documento candidato.

## Verificación de la configuración
<a name="kb-managed-ds-googledrive-acl-verify"></a>

Puede validar la configuración de su cuenta de servicio independientemente de una solicitud de recuperación. Realice cada una de las siguientes comprobaciones:

1. **Domain-wide delegación**:
   + En la consola de administración de Google Workspace, confirma que el ID de cliente de la cuenta de servicio esté autorizado para los ámbitos requeridos (los ámbitos de lectura de Google Drive son de solo lectura y los del SDK directory/group de administrador).

1. **Acceso a Drive (rastreo** y verificación):
   + Con la cuenta de servicio (`clientEmail`y`privateKey`) haciéndote pasar por ella`adminAccountEmail`, llama a la API de Google Drive para ver los archivos de un usuario y confirmar que se ha realizado correctamente.

1. **Resolución de grupos:**
   + Llama a la API Admin SDK Directory para ver los grupos a los que pertenece un usuario y confirma que devuelve los grupos esperados.

## Resolución de problemas
<a name="kb-managed-ds-googledrive-acl-troubleshooting"></a>

**nota**  
Las configuraciones incorrectas de las ACL no producen errores explícitos durante la recuperación. Se produce un error al cerrar la recuperación: los documentos afectados se omiten de forma silenciosa, por lo que la consulta arroja menos resultados o no arroja ningún resultado en lugar de un error. Utilice las comprobaciones de verificación anteriores para diagnosticar estos problemas.


**ACL-enabled Síntomas, causas y soluciones de Google Drive**  

| Síntoma | Causa probable | Fix | 
| --- | --- | --- | 
| Retrieve devuelve 0 resultados, pero el usuario tiene acceso a Google Drive. | Domain-wide la delegación no está configurada o la cuenta de servicio carece de los ámbitos obligatorios, por lo que no se puede verificar el acceso. | Autoriza el ID de cliente de la cuenta de servicio para los ámbitos del SDK de Drive y Admin necesarios en la consola de administración de Google Workspace. | 
| Group-based no se permite el acceso. | Falta el ámbito de directory/group lectura del SDK de administración en la delegación. | Agrega el ámbito de lectura del grupo del SDK de administración a la delegación de todo el dominio de la cuenta de servicio. | 
| El rastreo o la sincronización fallan. | ElclientEmail/no privateKey es válido o no adminAccountEmail es un administrador de Workspace. | Compruebe las credenciales de la cuenta de servicio y compruebe que adminAccountEmail es administrador de Workspace. | 
| Se deniega a todos los usuarios después de haber trabajado anteriormente. | La clave de la cuenta de servicio se rotó o revocó. | Actualiza privateKey el secreto. | 