View a markdown version of this page

Configuration de politiques basées sur les ressources pour les clusters gérés OpenSearch - Amazon Bedrock
Exemple de stratégies basées sur l’identité IAM et de stratégies basées sur les ressourcesCréation du rôle de service des bases de connaissances Amazon BedrockMise à jour des stratégies basées sur les ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de politiques basées sur les ressources pour les clusters gérés OpenSearch

Lorsque vous créez votre base de connaissances, vous pouvez soit créer votre propre rôle personnalisé, soit laisser Amazon Bedrock en créer un pour vous. La façon dont vous configurez les autorisations varie selon que vous créez un nouveau rôle ou que vous utilisez un rôle existant. Si vous possédez déjà un rôle IAM, vous devez vous assurer que la politique d'accès de votre domaine n'empêche pas les rôles de votre compte d'effectuer les actions d' OpenSearch API nécessaires.

Si vous choisissez de laisser les bases de connaissances Amazon Bedrock créer le rôle IAM pour vous, vous devez vous assurer que la politique d'accès de votre domaine accorde les autorisations nécessaires pour effectuer les actions d' OpenSearch API requises par les rôles de votre compte. Si votre domaine possède une stratégie d’accès restrictive, cela peut empêcher votre rôle d’effectuer ces actions. Un exemple de stratégie basée sur les ressources est illustrée ci-dessous.

Vous pouvez dans ce cas :

  • Créez votre base de connaissances à l'aide d'un rôle IAM existant auquel votre OpenSearch domaine peut accorder l'accès à ce rôle pour effectuer les opérations nécessaires.

  • Vous pouvez également laisser Amazon Bedrock créer un nouveau rôle pour vous. Dans ce cas, vous devez vous assurer que la politique d'accès du domaine doit accorder aux rôles de votre compte les autorisations nécessaires pour effectuer les actions d' OpenSearch API nécessaires.

Les sections suivantes présentent un exemple de politique IAM qui accorde les autorisations nécessaires et indiquent comment mettre à jour la politique d'accès du domaine afin qu'elle accorde les autorisations nécessaires pour effectuer les opérations d' OpenSearch API nécessaires.

Exemple de stratégies basées sur l’identité IAM et de stratégies basées sur les ressources

Cette section fournit un exemple de politique d'identité et une politique basée sur les ressources que vous pouvez configurer pour votre OpenSearch domaine lors de l'intégration aux bases de connaissances Amazon Bedrock. Vous devez autoriser Amazon Bedrock à effectuer ces actions sur l’index que vous fournissez à votre base de connaissances.

Action Ressource Description
es:ESHttpPost arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Pour insérer des informations dans l’index
es:ESHttpGet

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Pour rechercher des informations à partir de l’index. Cette action est configurée à la fois au niveau domain/index et au niveau domain/index/*. Au niveau domain/index, il peut obtenir des détails de haut niveau sur l’indice, tels que le type de moteur. Pour extraire les informations stockées dans l’index, des autorisations sont requises au niveau domain/index/* concerné.
es:ESHttpHead

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>/*

  • arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName>

 Pour obtenir des informations à partir de l’index. Cette action est configurée à la fois au niveau domain/index et au niveau domain/index/*, au cas où des informations auraient besoin d’être obtenues à un niveau supérieur, par exemple pour savoir si un index particulier existe.
es:ESHttpDelete arn:<partition>:es:<region>:<accountId>:domain/<domainName>/<indexName> Pour supprimer des informations de l’index
es:DescribeDomain arn:<partition>:es:<region>:<accountId>:domain/<domainName> Pour effectuer des validations sur le domaine, telles que la version du moteur utilisée.
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "OpenSearchIndexAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPost",
                "es:ESHttpPut",
                "es:ESHttpDelete"
            ],
            "Resource": [
                "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
            ]
        },
        {
            "Sid": "OpenSearchIndexGetAccess",
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpHead"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
            ]
        },
        {
            "Sid": "OpenSearchDomainValidation",
            "Effect": "Allow",
            "Action": [
                "es:DescribeDomain"
            ],
            "Resource": [
            "arn:aws:es:us-east-1:123456789012:domain/domainName"
            ]
        }
    ]
}
Note

Assurez-vous que le rôle de service a été créé pour être utilisé dans la stratégie basée sur les ressources.

Création du rôle de service des bases de connaissances Amazon Bedrock

Lorsque vous créez la base de connaissances, vous pouvez choisir de créer et d’utiliser un nouveau rôle de service. Cette section explique comment créer le rôle de service des bases de connaissances Amazon Bedrock. En mappant les politiques basées sur les ressources et les politiques d'accès détaillées à ce rôle, Amazon Bedrock sera autorisé à envoyer des demandes au domaine. OpenSearch

Pour spécifier le rôle de service des bases de connaissances Amazon Bedrock :

  1. Dans la console Amazon Bedrock, accédez aux bases de connaissances.

  2. Choisissez Créer, puis sélectionnez Base de connaissances avec magasin de vecteurs.

  3. Choisissez Créer et utiliser un nouveau rôle de service. Vous pouvez soit utiliser le nom de rôle par défaut, soit fournir un nom de rôle personnalisé, et Amazon Bedrock créera automatiquement le rôle de service de la base de connaissances pour vous.

  4. Continuez à parcourir la console pour configurer votre source de données et vos stratégies d’analyse et de segmentation.

  5. Choisissez un modèle d'intégration puis, sous Choisir un magasin vectoriel existant, sélectionnez Amazon OpenSearch Managed Cluster.

Important

Avant de créer la base de connaissances, procédez comme suit pour configurer les stratégies basées sur les ressources et les stratégies d’accès optimisées. Pour connaître les étapes détaillées relatives à la création de la base de connaissances, consultez Création d’une base de connaissances en se connectant à une source de données dans Amazon Bedrock Knowledge Bases.

Mise à jour des stratégies basées sur les ressources

Si votre OpenSearch domaine possède une politique d'accès restrictive, vous pouvez suivre les instructions de cette page pour mettre à jour la politique basée sur les ressources. Ces autorisations permettent aux bases de connaissances d'utiliser l'index que vous fournissez et de récupérer la définition du OpenSearch domaine afin d'effectuer la validation requise sur le domaine.

Pour configurer les politiques basées sur les ressources à partir du AWS Management Console

  1. Accédez à la console Amazon OpenSearch Service.

  2. Accédez au domaine que vous avez créé, puis accédez à Configurations de sécurité où la stratégie basée sur les ressources est configurée.

  3. Modifiez la stratégie dans l’onglet JSON, puis mettez-la à jour de la même manière que Exemple de stratégie basée sur les ressources.

  4. Vous pouvez désormais revenir à la console Amazon Bedrock et fournir les détails de votre OpenSearch domaine et de votre index, comme décrit dans Configuration de la base de connaissances pour les clusters gérés.