Configurar OpenSearch los permisos con un control de acceso detallado - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar OpenSearch los permisos con un control de acceso detallado

Si bien es opcional, te recomendamos encarecidamente que habilites un control de acceso detallado para tu dominio. OpenSearch Con un control de acceso detallado, puede utilizar un control de acceso basado en roles, que le permite crear un OpenSearch rol con permisos específicos y asignarlo al rol del servicio de Knowledge Base. El mapeo otorga a su base de conocimientos los permisos mínimos necesarios que le permiten acceder al dominio y al índice y realizar operaciones en ellos. OpenSearch

Cómo configurar y usar el control de acceso detallado:

  1. Asegúrese de que el OpenSearch dominio que está utilizando tenga habilitado un control de acceso detallado.

  2. Para tu dominio que usa un control de acceso detallado, configura los permisos con políticas específicas en forma de rol. OpenSearch

  3. Para el dominio para el que cree un rol, agregue una asignación de roles al rol de servicio de la base de conocimiento.

Los siguientes pasos muestran cómo configurar su OpenSearch función y garantizar la asignación correcta entre la función y la función del servicio de OpenSearch Knowledge Base.

Para crear un OpenSearch rol y configurar los permisos

Una vez que haya activado un control de acceso detallado y haya configurado Amazon Bedrock para que se conecte al OpenSearch Servicio, podrá configurar los permisos mediante el enlace OpenSearch Dashboards de cada dominio. OpenSearch

Cómo configurar permisos de un dominio para permitir el acceso a Amazon Bedrock:

  1. Abra el OpenSearch panel de control del OpenSearch dominio con el que desee trabajar. Para encontrar el enlace a los paneles, vaya al dominio que creó en la consola de OpenSearch servicio. En el caso de los dominios en ejecución OpenSearch, la URL tiene el formato,domain-endpoint/_dashboards/. Para obtener más información, consulta los paneles en la guía para desarrolladores OpenSearch de Amazon Service.

  2. En el OpenSearch panel de control, selecciona Seguridad y, a continuación, selecciona Funciones.

  3. Elija Crear rol.

  4. Proporcione cualquier nombre para el rol, por ejemplo, kb_opensearch_role.

  5. En Permisos del clúster, añada los siguientes permisos:

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. En Permisos de índice, proporcione un nombre para el índice vectorial. Elija Crear nuevo grupo de permisos y, a continuación, elija Crear nuevo grupo de acciones. Añada los siguientes permisos a un grupo de acciones, como KnowledgeBasesActionGroup. Añada los siguientes permisos a un grupo de acciones.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    Los grupos de acciones que se van a crear en los OpenSearch paneles para añadir permisos de clúster e indexación.

  7. Elija Crear para crear el OpenSearch rol.

A continuación, se muestra un ejemplo de OpenSearch rol con los permisos agregados.

Un ejemplo de OpenSearch rol en los OpenSearch paneles de control con los permisos agregados.
Cómo crear una asignación de roles a su rol de servicio de la base de conocimiento

  1. Identifique el rol de IAM que será necesario asignar.

    • Si ha creado su propio rol de IAM personalizado, puede copiar el ARN de este rol desde la consola de IAM.

    • Si permite que Bases de conocimiento cree el rol por usted, puede anotar el ARN del rol al crear su base de conocimiento y, a continuación, copiar el ARN de este rol.

  2. Abre el OpenSearch panel de control del OpenSearch dominio con el que quieres trabajar. El formato de la URL es domain-endpoint/_dashboards/.

  3. En el panel de navegación, elija Seguridad.

  4. Busque el rol que acaba de crear en la lista (por ejemplo, kb_opensearch_role) y ábralo.

  5. En la pestaña Usuarios asignados, elija Administrar asignación.

  6. En la sección Funciones de backend, introduzca el ARN de la función de IAM gestionada para AWS las bases de conocimiento. En función de si ha creado su propio rol personalizado o ha dejado que Knowledge Bases cree el rol por usted, copie la información del ARN del rol de la consola de IAM o de la consola de Amazon Bedrock y, a continuación, introduzca esa información para los roles de backend en la consola. OpenSearch A continuación se muestra un ejemplo.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Elija Asignar.

    El rol del Servicio de Base de Conocimientos ahora puede conectarse al OpenSearch rol y realizar las operaciones necesarias en el dominio y el índice.