Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Document-level kontrol akses
Kesadaran ACL bukanlah otorisasi
Basis Pengetahuan Terkelola Batuan Dasar menyediakan ACL-aware penyaringan, bukan batas keamanan. Basis Pengetahuan Terkelola Bedrock tidak mengautentikasi pengguna akhir — aplikasi Anda bertanggung jawab untuk mengautentikasi pengguna dan meneruskan konteks identitas terverifikasi. Karena Basis Pengetahuan Terkelola Bedrock tidak dapat memverifikasi keaslian konteks pengguna yang Anda berikan, fitur ini memfilter hasil berdasarkan identitas yang Anda berikan tetapi bukan merupakan otorisasi yang benar. Anda tidak boleh mengandalkan fitur ini sebagai mekanisme kontrol akses tunggal tanpa otentikasi hulu.
Sumber data pertemuan secara opsional mendukung kontrol akses tingkat dokumen. Saat diaktifkan, Basis Pengetahuan Terkelola Bedrock menyinkronkan daftar kontrol akses (ACL) dari Confluence selama setiap perayapan dan memverifikasi izin setiap pengguna pada waktu kueri, sehingga pengguna hanya melihat hasil dari dokumen yang diizinkan untuk diakses di Confluence. Untuk ikhtisar kesadaran ACL di semua konektor, lihatAkses Kontrol Daftar pemberdayaan kesadaran.
Cara kerjanya
Saat pengguna menanyakan basis pengetahuan yang menggunakan sumber data ACL-enabled Confluence, Basis Pengetahuan Terkelola Bedrock memberlakukan kontrol akses dalam dua tahap:
-
Pre-retrieval pemfilteran — Basis Pengetahuan Terkelola Batuan Dasar menerapkan daftar kontrol akses yang disinkronkan dari Confluence selama perayapan terakhir, hanya menampilkan dokumen kandidat yang diizinkan untuk diakses oleh pengguna (atau grup mereka).
-
Real-time verifikasi — Basis Pengetahuan Terkelola Bedrock memverifikasi dokumen kandidat secara real time dengan memeriksa akses pengguna saat ini di Confluence. Hanya dokumen yang saat ini diizinkan untuk diakses oleh pengguna yang disertakan dalam tanggapan.
Pendekatan dua tahap ini menyediakan kontrol akses tingkat dokumen yang tetap terkini bahkan ketika izin Confluence berubah antar sinkronisasi.
Apa yang dirayapi
Saat ACL diaktifkan, Bedrock Managed Knowledge Base meng-crawl struktur izin berikut dari Confluence:
Spasi — Izin ruang berlaku untuk semua dokumen di ruang secara default.
Halaman — Halaman dapat dibatasi untuk pengguna dan grup tertentu. Halaman bersarang mewarisi batasan dari halaman induk.
Blog — Posting blog dapat dibatasi untuk pengguna dan grup tertentu.
Lampiran — File yang dilampirkan ke halaman atau posting blog mewarisi kontrol akses dokumen induk mereka.
Aktifkan kesadaran ACL
Untuk mengaktifkan kesadaran ACL untuk sumber data Confluence, atur aclEnabled ke true dalam connectorParameters dan gunakan tipe autentikasiBASIC. Rahasianya harus menyertakan kredensi admin organisasi Atlassian selain email standar dan token API. Kredensyal admin ini diperlukan untuk perayapan identitas.
penting
Konfigurasi ACL bersifat permanen. Anda tidak dapat mengaktifkan ACL pada sumber data yang dibuat tanpa dukungan ACL, dan Anda tidak dapat menonaktifkan ACL setelah diaktifkan.
Selain standarusername, password (token API), dan hostUrl bidang, AWS Secrets Manager rahasia harus menyertakan bidang admin organisasi berikut. Untuk petunjuk langkah demi langkah untuk mendapatkan nilai-nilai ini, lihatMenyiapkan otentikasi dasar untuk Confluence.
adminApiKey— Kunci API organisasi Atlassian denganread:directories:admindanread:workspaces:admincakupan.organizationId— UUID organisasi Atlassian Anda.directoryId— UUID direktori pengguna untuk ruang kerja Confluence Anda.
catatan
Jenis OAUTH2 autentikasi tidak didukung untuk sumber data ACL-enabled Confluence. Anda harus menggunakan BASIC dengan kredensi admin organisasi Atlassian secara rahasia.
Real-time verifikasi akses
Basis Pengetahuan Terkelola Bedrock memverifikasi setiap dokumen kandidat terhadap Confluence pada waktu kueri sepenuhnya di sisi server, menggunakan token API Admin Atlassian yang dikonfigurasi dalam rahasia — tidak ada login pengguna akhir. Token admin memeriksa batasan ruang, halaman, dan blog pengguna kueri saat ini, sehingga perubahan akses yang dibuat sejak perayapan terakhir dihormati.
Verifikasi konfigurasi Anda
Anda dapat memvalidasi kredensyal Anda secara independen dari permintaan pengambilan. Lakukan setiap pemeriksaan berikut:
-
Akses konten pertemuan (crawl):
Menggunakan token
usernameand API (password) dari rahasia, panggil Confluence REST API (misalnya, daftar spasi) dan konfirmasikan bahwa ia mengembalikan HTTP 200.
-
Atlassian Admin API (crawling identitas dan verifikasi real-time):
Konfirmasikan
adminApiKeymemilikiread:directories:admindanread:workspaces:admincakupan.Dengan menggunakan
adminApiKey, panggil API direktori admin Atlassian untuk AndaorganizationIddandirectoryIddan konfirmasikan bahwa itu akan mengembalikan pengguna dan grup organisasi Anda.
Pemecahan masalah
catatan
Kesalahan konfigurasi ACL tidak menghasilkan kesalahan eksplisit selama pengambilan. Pengambilan gagal ditutup: dokumen yang terpengaruh dihilangkan secara diam-diam, sehingga kueri mengembalikan hasil yang lebih sedikit atau nol daripada kesalahan. Gunakan pemeriksaan verifikasi di atas untuk mendiagnosis masalah ini.
| Gejala | Kemungkinan penyebabnya | Perbaiki |
|---|---|---|
| Retrieve mengembalikan 0 hasil, tetapi pengguna memiliki akses di Confluence. | Kunci API Admin Atlassian tidak memiliki cakupan, atauorganizationId/directoryIdsalah, sehingga pembatasan pengguna dan grup tidak dapat diselesaikan. |
Konfirmasikan adminApiKey memiliki read:directories:admin danread:workspaces:admin, organizationId dan itu dan directoryId benar. |
| Crawl atau sinkronisasi gagal. | Token username atau API (password) tidak valid. |
Verifikasi BASIC nama pengguna dan token API secara rahasia. |
| Semua pengguna ditolak setelah sebelumnya bekerja. | Token API atau kunci API admin kedaluwarsa atau dicabut. | Putar kredensyal yang terpengaruh dalam rahasia. |