Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Requisitos previos y permisos necesarios para usar clústeres OpenSearch gestionados con las bases de conocimiento de Amazon Bedrock
En esta sección, se muestra cómo configurar los permisos si va a crear su propia base de datos vectorial con Amazon OpenSearch Service Managed Clusters. Esta configuración debe realizarse antes de crear la base de conocimiento. En los pasos se presupone que ya has creado un dominio y un índice vectorial en Amazon OpenSearch Service. Para obtener más información, consulta [Crear y gestionar dominios OpenSearch de servicio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) en la *guía para desarrolladores OpenSearch de Amazon Service*.
## Consideraciones clave
Las siguientes son algunas consideraciones clave para usar las bases de conocimiento de Amazon Bedrock con los clústeres gestionados por Amazon OpenSearch Service.
+ Antes de utilizar cualquier recurso de dominio en los clústeres OpenSearch gestionados, debe configurar determinados permisos y políticas de acceso de IAM. Para la integración de las bases de conocimiento con los clústeres administrados, antes de realizar los pasos de esta sección, si su dominio tiene una política de acceso restrictiva, debe conceder el acceso de IAM necesario y configurar las políticas basadas en los recursos. También le recomendamos que configure un control de acceso detallado para limitar los permisos.
+ Al ingerir los datos para su base de conocimientos, si encuentra errores, esto podría indicar que la capacidad del OpenSearch dominio es insuficiente para gestionar la velocidad de ingesta. Para resolver este problema, aumente la capacidad de su dominio aprovisionando IOPS (operaciones de entrada/salida por segundo) mayores y aumentando la configuración de rendimiento. Espere varios minutos hasta que se aprovisione la nueva capacidad y, a continuación, vuelva a intentar el proceso de ingesta. Para comprobar que el problema se ha resuelto, puede supervisar el rendimiento durante el proceso de reintento. Si la limitación persiste, es posible que tenga que ajustar aún más la capacidad para mejorar la eficiencia. Para obtener más información, consulta [Mejores prácticas operativas para Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html).
## Descripción general de la configuración de permisos
Para la integración de las bases de conocimiento con los clústeres administrados, debe configurar los siguientes permisos de acceso de IAM y políticas basadas en recursos. Le recomendamos que habilite políticas de acceso detalladas para controlar aún más el acceso de los usuarios y la granularidad con la que se debe reducir su alcance hasta el nivel de propiedad.
Los siguientes pasos proporcionan información general sobre cómo configurar los permisos.
1.
**Creación y uso del rol de servicio de la base de conocimiento**
Para los permisos que desee configurar, aunque puede proporcionar su propio rol personalizado, le recomendamos que especifique la opción para que Bases de conocimiento de Amazon Bedrock cree el rol de servicio de la base de conocimiento por usted.
1.
**Configuración de una política basada en recursos**
El OpenSearch dominio admite políticas basadas en recursos, que determinan qué directores pueden acceder al dominio y actuar en él. Para usarlo con las bases de conocimiento, asegúrese de configurar correctamente la política basada en recursos para su dominio.
1.
***(Absolutamente recomendable)* Proporcione una asignación de roles para el control de acceso detallado**
Aunque el control de acceso detallado es opcional, le recomendamos que lo habilite para controlar la granularidad con la que se deben limitar los permisos en el nivel de propiedad.
## Configuración de políticas de IAM
La política de acceso de tu dominio debe conceder los permisos necesarios para que los roles de tu cuenta realicen las acciones de OpenSearch API requeridas.
Si su dominio tiene una política de acceso restrictiva, es posible que tenga que actualizarla de la siguiente manera:
+ Debe conceder acceso al servicio de Amazon Bedrock e incluir las acciones HTTP requeridas: `GET`, `POST`, `PUT` y `DELETE`.
+ También debe conceder permisos a Amazon Bedrock para realizar la acción `es:DescribeDomain` en el recurso indexado. Esto permite a Bases de conocimiento de Amazon Bedrock realizar las validaciones necesarias al configurar una base de conocimiento.
## (Opcional) Control de acceso detallado
Un control de acceso detallado puede controlar la granularidad con la que se deben establecer los permisos en el nivel de propiedad. Puede configurar las políticas de acceso detalladas para conceder los permisos de lectura y escritura necesarios para el rol de servicio creado por Bases de conocimiento.
Para configurar el control de acceso detallado y proporcionar la asignación de roles:
1. Asegúrate de que el OpenSearch dominio que has creado tenga habilitado el control de acceso detallado.
1. Cree una OpenSearch interfaz de usuario (paneles), si aún no lo ha hecho. Se usará para configurar la asignación de roles
1. En sus OpenSearch paneles, cree un OpenSearch rol y especifique el nombre del índice vectorial y los permisos del clúster y el índice. Para añadir los permisos, debe crear grupos de permisos y, a continuación, añadir los permisos necesarios que permitan el acceso para realizar un conjunto de operaciones, como `delete`, `search`, `get` e `index` para el rol.
1. Una vez que haya agregado los permisos necesarios, debe introducir el ARN de su función de servicio de Knowledge base para la función de OpenSearch back-end. Al realizar este paso, se completará la asignación entre su función de servicio de base de conocimientos y la OpenSearch función, que luego concederá a Amazon Bedrock Knowledge Bases permisos para acceder al índice vectorial del OpenSearch dominio y realizar las operaciones necesarias.
**Topics**
+ [Consideraciones clave](#kb-osm-permissions-prereq-considerations)
+ [Descripción general de la configuración de permisos](#kb-osm-permissions-prereq-overview)
+ [Configuración de políticas de IAM](#kb-osm-permissions-iam)
+ [(Opcional) Control de acceso detallado](#kb-osm-permissions-console-fgap)
+ [Configuración de políticas basadas en recursos para OpenSearch clústeres gestionados](kb-osm-permissions-slr-rbp.md)
+ [Configurar OpenSearch los permisos con un control de acceso detallado](kb-osm-permissions-console-fgap.md)
# Configuración de políticas basadas en recursos para OpenSearch clústeres gestionados
Al crear su base de conocimiento, puede crear su propio rol personalizado o dejar que Amazon Bedrock cree uno por usted. La forma de configurar los permisos depende de si va a crear un rol nuevo o si está utilizando uno existente. Si ya tienes una función de IAM, debes asegurarte de que la política de acceso de tu dominio no impida que las funciones de tu cuenta realicen las acciones de API necesarias OpenSearch .
Si decide dejar que Amazon Bedrock Knowledge Bases cree el rol de IAM por usted, debe asegurarse de que la política de acceso de su dominio conceda los permisos para que los roles de su cuenta realicen las acciones de OpenSearch API requeridas. Si su dominio tiene una política de acceso restrictiva, puede impedir que su rol lleve a cabo estas acciones. El siguiente ejemplo muestra una política restrictiva basada en recursos.
En este caso, puede:
+ Cree su base de conocimientos utilizando un rol de IAM existente al que su OpenSearch dominio pueda conceder acceso a este rol para realizar las operaciones necesarias.
+ También puede dejar que Amazon Bedrock cree un nuevo rol por usted. En este caso, debes asegurarte de que la política de acceso del dominio otorgue los permisos necesarios para que los roles de tu cuenta realicen las acciones de OpenSearch API necesarias.
En las siguientes secciones se muestra un ejemplo de política de IAM que concede los permisos necesarios y cómo se puede actualizar la política de acceso del dominio para que conceda permisos para realizar las operaciones de OpenSearch API necesarias.
**Topics**
+ [Políticas basadas en identidad y basadas en recursos de ejemplo](#kb-osm-permissions-iam)
+ [Creación de un rol de servicio para Bases de conocimiento de Amazon Bedrock](#kb-osm-permissions-slr)
+ [Actualización de las políticas basadas en recursos](#kb-osm-permissions-console-rbp)
## Políticas basadas en identidad y basadas en recursos de ejemplo
Esta sección proporciona un ejemplo de política de identidad y una política basada en recursos que puede configurar para su OpenSearch dominio al integrarlo con las bases de conocimiento de Amazon Bedrock. Debe conceder permisos a Amazon Bedrock para realizar estas acciones en el índice que proporciona a su base de conocimiento.
****
| Action | Recurso | Description (Descripción) |
| --- | --- | --- |
| es:ESHttpPost | arn::es:::domain// | Para insertar información en el índice |
| es:ESHttpGet | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Para buscar información en el índice. Esta acción se configura tanto en el nivel de domain/index como en el nivel de domain/index/\$1. En el nivel de domain/index, puede obtener detalles generales sobre el índice, como el tipo de motor. Para recuperar los detalles almacenados en el índice, se requieren permisos en el nivel de domain/index/\$1. |
| es:ESHttpHead | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Para obtener información del índice. Esta acción se configura tanto en el nivel de domain/index como en el nivel de domain/index/\$1, en caso de que sea necesario obtener información en un nivel superior, por ejemplo, si existe un índice en particular. |
| es:ESHttpDelete | arn::es:::domain// | Para eliminar información del índice |
| es:DescribeDomain | arn::es:::domain/ | Para realizar validaciones en el dominio, como la versión del motor utilizada. |
### Política basada en identidades de ejemplo
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpenSearchIndexAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut",
"es:ESHttpDelete"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
]
},
{
"Sid": "OpenSearchIndexGetAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpHead"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
]
},
{
"Sid": "OpenSearchDomainValidation",
"Effect": "Allow",
"Action": [
"es:DescribeDomain"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName"
]
}
]
}
```
------
### Política basada en recursos de ejemplo
**nota**
Asegúrese de que el rol de servicio se haya creado para usarlo en la política basada en recursos.
## Creación de un rol de servicio para Bases de conocimiento de Amazon Bedrock
Al crear la base de conocimiento, puede elegir la opción de crear y utilizar un nuevo rol de servicio. En esta sección, se explica cómo crear el rol de servicio de Bases de conocimiento de Amazon Bedrock. Al asignar las políticas basadas en recursos y las políticas de acceso detalladas a esta función, otorgará a Amazon Bedrock los permisos para realizar solicitudes al dominio. OpenSearch
**Cómo especificar el rol de servicio de Bases de conocimiento de Amazon Bedrock**
1. En la consola de Amazon Bedrock, vaya a [Bases de conocimiento](https://console.aws.amazon.com/bedrock/home#/knowledge-bases).
1. Elija **Crear** y, a continuación, elija **Base de conocimientos con almacén vectorial**.
1. Elija **Crear y utilizar un nuevo rol de servicio**. Puede usar el nombre predeterminado o proporcionar un nombre de rol personalizado. Amazon Bedrock creará automáticamente el rol de servicio de la base de conocimiento para usted.
1. Siga navegando por la consola para configurar el origen de datos y las estrategias de análisis y fragmentación.
1. Elige un modelo de Embeddings y, a continuación, en **Elige un almacén vectorial existente**, selecciona **Amazon OpenSearch** Managed Cluster.
**importante**
Antes de continuar con la creación de la base de conocimiento, realice los siguientes pasos para configurar las políticas basadas en recursos y las políticas de acceso detalladas. Para ver los pasos detallados de creación de la base de conocimiento, consulte [Creación de una base de conocimiento conectándola a un origen de datos de Bases de conocimiento de Amazon Bedrock](knowledge-base-create.md).
## Actualización de las políticas basadas en recursos
Si tu OpenSearch dominio tiene una política de acceso restrictiva, puedes seguir las instrucciones de esta página para actualizar la política basada en los recursos. Estos permisos permiten a Knowledge Bases utilizar el índice que usted proporciona y recuperar la definición del OpenSearch dominio para realizar la validación necesaria en el dominio.
**Para configurar las políticas basadas en recursos desde el Consola de administración de AWS**
1. Ve a la [consola OpenSearch de Amazon Service](https://console.aws.amazon.com/aos/home?region=us-east-1#opensearch/dashboard).
1. Vaya al dominio que creó y, a continuación, vaya a **Configuraciones de seguridad**, donde está configurada la política basada en recursos.
1. Edite la política en la pestaña **JSON** y, a continuación, actualice la política de forma similar a la [Política basada en recursos de ejemplo](#kb-osm-permissions-rbp).
1. Ahora puede volver a la consola de Amazon Bedrock y proporcionar los detalles de su OpenSearch dominio e índice tal y como se describe en [Configuración de la base de conocimientos para clústeres gestionados](knowledge-base-setup.md#knowledge-base-setup-osm).
# Configurar OpenSearch los permisos con un control de acceso detallado
Si bien es opcional, te recomendamos encarecidamente que habilites un control de acceso detallado para tu dominio. OpenSearch Con un control de acceso detallado, puede utilizar un control de acceso basado en roles, que le permite crear un OpenSearch rol con permisos específicos y asignarlo al rol del servicio de Knowledge Base. El mapeo otorga a su base de conocimientos los permisos mínimos necesarios que le permiten acceder al dominio y al índice y realizar operaciones en ellos. OpenSearch
Cómo configurar y usar el control de acceso detallado:
1. Asegúrese de que el OpenSearch dominio que está utilizando tenga habilitado un control de acceso detallado.
1. Para tu dominio que usa un control de acceso detallado, configura los permisos con políticas específicas en forma de rol. OpenSearch
1. Para el dominio para el que cree un rol, agregue una asignación de roles al rol de servicio de la base de conocimiento.
Los siguientes pasos muestran cómo configurar su OpenSearch función y garantizar la asignación correcta entre la función y la función del servicio de OpenSearch Knowledge Base.
**Para crear un OpenSearch rol y configurar los permisos**
Una vez que haya activado un control de acceso detallado y haya configurado Amazon Bedrock para que se conecte al OpenSearch Servicio, podrá configurar los permisos mediante el enlace OpenSearch Dashboards de cada dominio. OpenSearch
**Cómo configurar permisos de un dominio para permitir el acceso a Amazon Bedrock:**
1. Abra el OpenSearch panel de control del OpenSearch dominio con el que desee trabajar. Para encontrar el enlace a los paneles, vaya al dominio que creó en la consola de OpenSearch servicio. En el caso de los dominios en ejecución OpenSearch, la URL tiene el formato,`domain-endpoint/_dashboards/`. Para obtener más información, consulta los [paneles](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/dashboards.html) en la *guía para desarrolladores OpenSearch de Amazon Service*.
1. En el OpenSearch panel de control, selecciona **Seguridad** y, a continuación, selecciona **Funciones**.
1. Elija **Crear rol**.
1. Proporcione cualquier nombre para el rol, por ejemplo, **kb\$1opensearch\$1role**.
1. En **Permisos del clúster**, añada los siguientes permisos:
+ `indices:data/read/msearch`
+ `indices:data/write/bulk*`
+ `indices:data/read/mget*`
1. En **Permisos de índice**, proporcione un nombre para el índice vectorial. Elija **Crear nuevo grupo de permisos** y, a continuación, elija **Crear nuevo grupo de acciones**. Añada los siguientes permisos a un grupo de acciones, como `KnowledgeBasesActionGroup`. Añada los siguientes permisos a un grupo de acciones.
+ `indices:admin/get`
+ `indices:data/read/msearch`
+ `indices:data/read/search`
+ `indices:data/write/index`
+ `indices:data/write/update`
+ `indices:data/write/delete`
+ `indices:data/write/delete/byquery`
+ `indices:data/write/bulk*`
+ `indices:admin/mapping/put`
+ `indices:data/read/mget*`
![\[Los grupos de acciones que se van a crear en los OpenSearch paneles para añadir permisos de clúster e indexación.\]](http://docs.aws.amazon.com/es_es/bedrock/latest/userguide/images/kb/kb-test-os-action-groups.png)
1. Elija **Crear** para crear el OpenSearch rol.
A continuación, se muestra un ejemplo de OpenSearch rol con los permisos agregados.
![\[Un ejemplo de OpenSearch rol en los OpenSearch paneles de control con los permisos agregados.\]](http://docs.aws.amazon.com/es_es/bedrock/latest/userguide/images/kb/kb-test-os-dashboards-permissions.png)
**Cómo crear una asignación de roles a su rol de servicio de la base de conocimiento**
1. Identifique el rol de IAM que será necesario asignar.
+ Si ha creado su propio rol de IAM personalizado, puede copiar el ARN de este rol desde la consola de IAM.
+ Si permite que Bases de conocimiento cree el rol por usted, puede anotar el ARN del rol al crear su base de conocimiento y, a continuación, copiar el ARN de este rol.
1. Abre el OpenSearch panel de control del OpenSearch dominio con el que quieres trabajar. El formato de la URL es `domain-endpoint/_dashboards/`.
1. En el panel de navegación, elija **Seguridad**.
1. Busque el rol que acaba de crear en la lista (por ejemplo, **kb\$1opensearch\$1role**) y ábralo.
1. En la pestaña **Usuarios asignados**, elija **Administrar asignación**.
1. En la sección **Funciones de backend**, introduzca el ARN de la función de IAM gestionada para AWS las bases de conocimiento. En función de si ha creado su propio rol personalizado o ha dejado que Knowledge Bases cree el rol por usted, copie la información del ARN del rol de la consola de IAM o de la consola de Amazon Bedrock y, a continuación, introduzca esa información para los roles de **backend** en la consola. OpenSearch A continuación se muestra un ejemplo.
```
arn:aws:iam:::role/service-role/
```
1. Elija **Asignar**.
El rol del Servicio de Base de Conocimientos ahora puede conectarse al OpenSearch rol y realizar las operaciones necesarias en el dominio y el índice.