Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Conditions préalables et autorisations requises pour utiliser les clusters OpenSearch gérés avec les bases de connaissances Amazon Bedrock
Cette section explique comment configurer les autorisations si vous créez votre propre base de données vectorielle avec Amazon OpenSearch Service Managed Clusters. Cette configuration doit être effectuée avant de créer la base de connaissances. Les étapes supposent que vous avez déjà créé un domaine et un index vectoriel dans Amazon OpenSearch Service. Pour plus d'informations, consultez la section [Création et gestion OpenSearch de domaines de service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) dans le *guide du développeur Amazon OpenSearch Service*.
## Considérations clés
Voici quelques points essentiels à prendre en compte lors de l'utilisation des bases de connaissances Amazon Bedrock avec Amazon OpenSearch Service Managed Clusters.
+ Avant d'utiliser des ressources de domaine dans des clusters OpenSearch gérés, vous devez configurer certaines autorisations et politiques d'accès IAM. Pour intégrer les bases de connaissances aux clusters gérés, avant d’exécuter les étapes décrites dans cette section, si votre domaine possède une stratégie d’accès restrictive, vous devez accorder l’accès IAM requis et configurer les stratégies basées sur les ressources. Nous vous recommandons également de configurer un contrôle d’accès précis afin de limiter les autorisations.
+ Lorsque vous ingérez les données pour votre base de connaissances, si vous rencontrez des défaillances, cela peut indiquer une capacité de OpenSearch domaine insuffisante pour gérer la vitesse d'ingestion. Pour résoudre ce problème, augmentez la capacité de votre domaine en provisionnant des IOPS (opérations d’entrées/de sorties par seconde) plus élevées et en augmentant les paramètres de débit. Attendez quelques minutes que la nouvelle capacité soit provisionnée, puis réessayez le processus d’ingestion. Pour vérifier que le problème a été résolu, vous pouvez surveiller les performances pendant le processus de la nouvelle tentative. Si la limitation persiste, vous devrez peut-être ajuster davantage la capacité pour améliorer l’efficacité. Pour plus d'informations, consultez [Bonnes pratiques opérationnelles pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html).
## Vue d’ensemble de la configuration des autorisations
Pour intégrer les bases de connaissances aux clusters gérés, vous devez configurer les autorisations d’accès IAM et les stratégies basées sur les ressources suivantes. Nous vous recommandons d’activer des stratégies d’accès précises afin de mieux contrôler l’accès des utilisateurs et la granularité avec laquelle il doit être limité au niveau de la propriété.
Les étapes suivantes présentent une vue d’ensemble générale de la configuration des autorisations.
1.
**Créer et utiliser un rôle de service de base de connaissances**
Pour les autorisations que vous souhaitez configurer, bien que vous puissiez toujours fournir votre propre rôle personnalisé, nous vous recommandons de spécifier l’option permettant aux bases de connaissances Amazon Bedrock de créer le rôle de service de base de connaissances pour vous.
1.
**Configurer une stratégie basée sur les ressources**
Le OpenSearch domaine prend en charge les politiques basées sur les ressources, qui déterminent les principaux autorisés à accéder au domaine et à agir sur celui-ci. Pour l’utiliser avec les bases de connaissances, assurez-vous que la stratégie basée sur les ressources est correctement configurée pour votre domaine.
1.
***(Fortement recommandé)* Fournir un mappage des rôles pour un contrôle précis des accès**
Bien qu’il soit facultatif, nous vous recommandons d’activer le contrôle précis des accès pour contrôler la granularité selon laquelle les autorisations doivent être limitées au niveau de la propriété.
## Configuration des politiques IAM
La politique d'accès de votre domaine doit accorder aux rôles de votre compte les autorisations nécessaires pour effectuer les actions d' OpenSearch API requises.
Si votre domaine dispose d’une stratégie d’accès restrictive, il peut être nécessaire de la mettre à jour comme suit :
+ Elle doit octroyer l’accès au service Amazon Bedrock et inclure les actions HTTP requises : `GET`, `POST`, `PUT` et `DELETE`.
+ Elle doit également octroyer à Amazon Bedrock l’autorisation d’effectuer l’action `es:DescribeDomain` sur votre ressource d’index. Cela permet aux bases de connaissances Amazon Bedrock d’effectuer les validations requises lors de la configuration d’une base de connaissances.
## (Facultatif) Contrôle précis des accès
Le contrôle précis des accès peut contrôler la granularité à laquelle les autorisations doivent être limitées au niveau de la propriété. Vous pouvez configurer des stratégies d’accès précises afin d’octroyer les autorisations de lecture-écriture requises au rôle de service créé par les bases de connaissances.
Pour configurer un contrôle précis des accès et fournir le mappage des rôles :
1. Assurez-vous que le contrôle d'accès détaillé est activé pour le OpenSearch domaine que vous avez créé.
1. Créez une OpenSearch interface utilisateur (tableaux de bord), si ce n'est pas déjà fait. Cela permettra de configurer le mappage des rôles.
1. Dans vos OpenSearch tableaux de bord, créez un OpenSearch rôle et spécifiez le nom de l'index vectoriel, ainsi que les autorisations du cluster et de l'index. Pour ajouter les autorisations, vous devez créer des groupes d’autorisations, puis ajouter les autorisations requises qui octroient l’accès afin d’effectuer un ensemble d’opérations, notamment `delete`, `search`, `get` et `index`, pour le rôle.
1. Après avoir ajouté les autorisations requises, vous devez saisir l'ARN de votre rôle de service de base de connaissances pour le OpenSearch rôle principal. Cette étape achèvera le mappage entre votre rôle de service de base de connaissances et le OpenSearch rôle, qui accordera ensuite à Amazon Bedrock Knowledge Bases les autorisations d'accéder à l'index vectoriel du OpenSearch domaine et d'effectuer les opérations requises.
**Topics**
+ [Considérations clés](#kb-osm-permissions-prereq-considerations)
+ [Vue d’ensemble de la configuration des autorisations](#kb-osm-permissions-prereq-overview)
+ [Configuration des politiques IAM](#kb-osm-permissions-iam)
+ [(Facultatif) Contrôle précis des accès](#kb-osm-permissions-console-fgap)
+ [Configuration de politiques basées sur les ressources pour les clusters gérés OpenSearch](kb-osm-permissions-slr-rbp.md)
+ [Configuration des OpenSearch autorisations avec un contrôle d'accès précis](kb-osm-permissions-console-fgap.md)
# Configuration de politiques basées sur les ressources pour les clusters gérés OpenSearch
Lorsque vous créez votre base de connaissances, vous pouvez soit créer votre propre rôle personnalisé, soit laisser Amazon Bedrock en créer un pour vous. La façon dont vous configurez les autorisations varie selon que vous créez un nouveau rôle ou que vous utilisez un rôle existant. Si vous possédez déjà un rôle IAM, vous devez vous assurer que la politique d'accès de votre domaine n'empêche pas les rôles de votre compte d'effectuer les actions d' OpenSearch API nécessaires.
Si vous choisissez de laisser les bases de connaissances Amazon Bedrock créer le rôle IAM pour vous, vous devez vous assurer que la politique d'accès de votre domaine accorde les autorisations nécessaires pour effectuer les actions d' OpenSearch API requises par les rôles de votre compte. Si votre domaine possède une stratégie d’accès restrictive, cela peut empêcher votre rôle d’effectuer ces actions. Un exemple de stratégie basée sur les ressources est illustrée ci-dessous.
Vous pouvez dans ce cas :
+ Créez votre base de connaissances à l'aide d'un rôle IAM existant auquel votre OpenSearch domaine peut accorder l'accès à ce rôle pour effectuer les opérations nécessaires.
+ Vous pouvez également laisser Amazon Bedrock créer un nouveau rôle pour vous. Dans ce cas, vous devez vous assurer que la politique d'accès du domaine doit accorder aux rôles de votre compte les autorisations nécessaires pour effectuer les actions d' OpenSearch API nécessaires.
Les sections suivantes présentent un exemple de politique IAM qui accorde les autorisations nécessaires et indiquent comment mettre à jour la politique d'accès du domaine afin qu'elle accorde les autorisations nécessaires pour effectuer les opérations d' OpenSearch API nécessaires.
**Topics**
+ [Exemple de stratégies basées sur l’identité IAM et de stratégies basées sur les ressources](#kb-osm-permissions-iam)
+ [Création du rôle de service des bases de connaissances Amazon Bedrock](#kb-osm-permissions-slr)
+ [Mise à jour des stratégies basées sur les ressources](#kb-osm-permissions-console-rbp)
## Exemple de stratégies basées sur l’identité IAM et de stratégies basées sur les ressources
Cette section fournit un exemple de politique d'identité et une politique basée sur les ressources que vous pouvez configurer pour votre OpenSearch domaine lors de l'intégration aux bases de connaissances Amazon Bedrock. Vous devez autoriser Amazon Bedrock à effectuer ces actions sur l’index que vous fournissez à votre base de connaissances.
****
| Action | Ressource | Description |
| --- | --- | --- |
| es:ESHttpPost | arn::es:::domain// | Pour insérer des informations dans l’index |
| es:ESHttpGet | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Pour rechercher des informations à partir de l’index. Cette action est configurée à la fois au niveau domain/index et au niveau domain/index/\$1. Au niveau domain/index, il peut obtenir des détails de haut niveau sur l’indice, tels que le type de moteur. Pour extraire les informations stockées dans l’index, des autorisations sont requises au niveau domain/index/\$1 concerné. |
| es:ESHttpHead | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Pour obtenir des informations à partir de l’index. Cette action est configurée à la fois au niveau domain/index et au niveau domain/index/\$1, au cas où des informations auraient besoin d’être obtenues à un niveau supérieur, par exemple pour savoir si un index particulier existe. |
| es:ESHttpDelete | arn::es:::domain// | Pour supprimer des informations de l’index |
| es:DescribeDomain | arn::es:::domain/ | Pour effectuer des validations sur le domaine, telles que la version du moteur utilisée. |
### Exemple de stratégie basée sur les identités
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpenSearchIndexAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut",
"es:ESHttpDelete"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
]
},
{
"Sid": "OpenSearchIndexGetAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpHead"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
]
},
{
"Sid": "OpenSearchDomainValidation",
"Effect": "Allow",
"Action": [
"es:DescribeDomain"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName"
]
}
]
}
```
------
### Exemple de stratégie basée sur les ressources
**Note**
Assurez-vous que le rôle de service a été créé pour être utilisé dans la stratégie basée sur les ressources.
## Création du rôle de service des bases de connaissances Amazon Bedrock
Lorsque vous créez la base de connaissances, vous pouvez choisir de créer et d’utiliser un nouveau rôle de service. Cette section explique comment créer le rôle de service des bases de connaissances Amazon Bedrock. En mappant les politiques basées sur les ressources et les politiques d'accès détaillées à ce rôle, Amazon Bedrock sera autorisé à envoyer des demandes au domaine. OpenSearch
**Pour spécifier le rôle de service des bases de connaissances Amazon Bedrock :**
1. Dans la console Amazon Bedrock, accédez aux [bases de connaissances](https://console.aws.amazon.com/bedrock/home#/knowledge-bases).
1. Choisissez **Créer**, puis sélectionnez **Base de connaissances avec magasin de vecteurs**.
1. Choisissez **Créer et utiliser un nouveau rôle de service**. Vous pouvez soit utiliser le nom de rôle par défaut, soit fournir un nom de rôle personnalisé, et Amazon Bedrock créera automatiquement le rôle de service de la base de connaissances pour vous.
1. Continuez à parcourir la console pour configurer votre source de données et vos stratégies d’analyse et de segmentation.
1. Choisissez un modèle d'intégration puis, sous **Choisir un magasin vectoriel existant**, sélectionnez **Amazon OpenSearch** Managed Cluster.
**Important**
Avant de créer la base de connaissances, procédez comme suit pour configurer les stratégies basées sur les ressources et les stratégies d’accès optimisées. Pour connaître les étapes détaillées relatives à la création de la base de connaissances, consultez [Création d’une base de connaissances en se connectant à une source de données dans Amazon Bedrock Knowledge Bases](knowledge-base-create.md).
## Mise à jour des stratégies basées sur les ressources
Si votre OpenSearch domaine possède une politique d'accès restrictive, vous pouvez suivre les instructions de cette page pour mettre à jour la politique basée sur les ressources. Ces autorisations permettent aux bases de connaissances d'utiliser l'index que vous fournissez et de récupérer la définition du OpenSearch domaine afin d'effectuer la validation requise sur le domaine.
**Pour configurer les politiques basées sur les ressources à partir du AWS Management Console**
1. Accédez à la [console Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home?region=us-east-1#opensearch/dashboard).
1. Accédez au domaine que vous avez créé, puis accédez à **Configurations de sécurité** où la stratégie basée sur les ressources est configurée.
1. Modifiez la stratégie dans l’onglet **JSON**, puis mettez-la à jour de la même manière que [Exemple de stratégie basée sur les ressources](#kb-osm-permissions-rbp).
1. Vous pouvez désormais revenir à la console Amazon Bedrock et fournir les détails de votre OpenSearch domaine et de votre index, comme décrit dans [Configuration de la base de connaissances pour les clusters gérés](knowledge-base-setup.md#knowledge-base-setup-osm).
# Configuration des OpenSearch autorisations avec un contrôle d'accès précis
Bien que facultatif, nous vous recommandons vivement d'activer un contrôle d'accès précis pour votre OpenSearch domaine. À l'aide d'un contrôle d'accès précis, vous pouvez utiliser le contrôle d'accès basé sur les rôles, qui vous permet de créer un OpenSearch rôle avec des autorisations spécifiques et de le mapper au rôle de service de la base de connaissances. Le mappage accorde à votre base de connaissances les autorisations minimales requises qui lui permettent d'accéder au domaine et à l'index et d'effectuer des opérations sur le OpenSearch domaine et l'index.
Pour configurer et utiliser le contrôle précis des accès :
1. Assurez-vous que le contrôle d'accès détaillé est activé sur le OpenSearch domaine que vous utilisez.
1. Pour votre domaine qui utilise un contrôle d'accès précis, configurez les autorisations avec des politiques définies sous la forme d'un rôle. OpenSearch
1. Pour le domaine pour lequel vous créez un rôle, ajoutez un mappage de rôle au rôle de service de la base de connaissances.
Les étapes suivantes indiquent comment configurer votre OpenSearch rôle et garantir le mappage correct entre le OpenSearch rôle et le rôle de service de la base de connaissances.
**Pour créer un OpenSearch rôle et configurer les autorisations**
Après avoir activé le contrôle d'accès détaillé et configuré Amazon Bedrock pour qu'il se connecte au OpenSearch Service, vous pouvez configurer les autorisations à l'aide du lien OpenSearch Tableaux de bord pour chaque domaine. OpenSearch
**Pour configurer des autorisations relatives à un domaine pour autoriser l’accès à Amazon Bedrock :**
1. Ouvrez le OpenSearch tableau de bord du OpenSearch domaine avec lequel vous souhaitez travailler. Pour trouver le lien vers les tableaux de bord, accédez au domaine que vous avez créé dans la console de OpenSearch service. Pour les domaines en cours d'exécution OpenSearch, l'URL est au format,`domain-endpoint/_dashboards/`. Pour plus d'informations, consultez la section [Tableaux](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/dashboards.html) de bord du *guide du développeur Amazon OpenSearch Service*.
1. Dans le OpenSearch tableau de bord, choisissez **Sécurité**, puis **Rôles**.
1. Choisissez **Créer un rôle**.
1. Entrez un nom pour le rôle, par exemple **kb\$1opensearch\$1role**.
1. Sous **Autorisations du cluster**, ajoutez les autorisations suivantes.
+ `indices:data/read/msearch`
+ `indices:data/write/bulk*`
+ `indices:data/read/mget*`
1. Sous **Autorisations de l’index**, indiquez le nom de l’index vectoriel. Choisissez **Créer un nouveau groupe d’autorisations**, puis **Créer un nouveau groupe d’actions**. Ajoutez les autorisations suivantes à un groupe d’actions, par exemple `KnowledgeBasesActionGroup`. Ajoutez les autorisations suivantes à un groupe d’actions.
+ `indices:admin/get`
+ `indices:data/read/msearch`
+ `indices:data/read/search`
+ `indices:data/write/index`
+ `indices:data/write/update`
+ `indices:data/write/delete`
+ `indices:data/write/delete/byquery`
+ `indices:data/write/bulk*`
+ `indices:admin/mapping/put`
+ `indices:data/read/mget*`
![\[Les groupes d'actions à créer dans les OpenSearch tableaux de bord pour ajouter des autorisations de cluster et d'index.\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/images/kb/kb-test-os-action-groups.png)
1. Choisissez **Create** pour créer le OpenSearch rôle.
Voici un exemple de OpenSearch rôle auquel les autorisations ont été ajoutées.
![\[Exemple de OpenSearch rôle dans les OpenSearch tableaux de bord avec les autorisations ajoutées.\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/images/kb/kb-test-os-dashboards-permissions.png)
**Pour créer un mappage vers le rôle de service de votre base de connaissances**
1. Identifiez le rôle IAM à mapper.
+ Si vous avez créé votre propre rôle IAM personnalisé, vous pouvez copier son ARN depuis la console IAM.
+ Si vous autorisez les bases de connaissances à créer le rôle pour vous, vous pouvez noter l’ARN du rôle lors de la création de votre base de connaissances, puis le copier.
1. Ouvrez le OpenSearch tableau de bord du OpenSearch domaine avec lequel vous souhaitez travailler. L’URL est au format `domain-endpoint/_dashboards/`.
1. Dans le volet de navigation, choisissez **Sécurité**.
1. Recherchez le rôle que vous venez de créer dans la liste, par exemple **kb\$1opensearch\$1role**, puis ouvrez-le.
1. Dans l’onglet **Utilisateurs mappés**, sélectionnez **Gestion du mappage**.
1. Dans la **section Rôles principaux**, entrez l'ARN du rôle IAM AWS géré pour les bases de connaissances. Selon que vous avez créé votre propre rôle personnalisé ou que vous avez laissé les bases de connaissances le créer pour vous, copiez les informations ARN du rôle depuis la console IAM ou la console Amazon Bedrock, puis entrez ces informations pour les **rôles principaux dans la** console. OpenSearch Voici un exemple.
```
arn:aws:iam:::role/service-role/
```
1. Choisissez **Mappage**.
Le rôle Service de base de connaissances peut désormais se connecter au OpenSearch rôle et effectuer les opérations requises sur le domaine et l'index.