Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Document-level kontrol akses
Kesadaran ACL bukanlah otorisasi
Basis Pengetahuan Terkelola Batuan Dasar menyediakan ACL-aware penyaringan, bukan batas keamanan. Basis Pengetahuan Terkelola Bedrock tidak mengautentikasi pengguna akhir — aplikasi Anda bertanggung jawab untuk mengautentikasi pengguna dan meneruskan konteks identitas terverifikasi. Karena Basis Pengetahuan Terkelola Bedrock tidak dapat memverifikasi keaslian konteks pengguna yang Anda berikan, fitur ini memfilter hasil berdasarkan identitas yang Anda berikan tetapi bukan merupakan otorisasi yang benar. Anda tidak boleh mengandalkan fitur ini sebagai mekanisme kontrol akses tunggal tanpa otentikasi hulu.
Sumber data Google Drive secara opsional mendukung kontrol akses tingkat dokumen. Saat diaktifkan, Basis Pengetahuan Terkelola Bedrock menyinkronkan daftar kontrol akses (ACL) dari Google Drive selama setiap perayapan dan memverifikasi izin setiap pengguna pada waktu kueri, sehingga pengguna hanya melihat hasil dari dokumen yang diizinkan untuk diakses di Google Drive. Untuk ikhtisar kesadaran ACL di semua konektor, lihatAkses Kontrol Daftar pemberdayaan kesadaran.
Cara kerjanya
Saat pengguna menanyakan basis pengetahuan yang menggunakan sumber data ACL-enabled Google Drive, Pangkalan Pengetahuan Terkelola Bedrock memberlakukan kontrol akses dalam dua tahap:
-
Pre-retrieval pemfilteran — Basis Pengetahuan Terkelola Bedrock menerapkan daftar kontrol akses yang disinkronkan dari Google Drive selama perayapan terakhir, hanya menampilkan dokumen kandidat yang diizinkan untuk diakses oleh pengguna (atau grup mereka).
-
Real-time verifikasi — Basis Pengetahuan Terkelola Bedrock memverifikasi dokumen kandidat secara real time dengan memeriksa akses pengguna saat ini yang menanyakan di Google Drive. Hanya dokumen yang saat ini diizinkan untuk diakses oleh pengguna yang disertakan dalam tanggapan.
Pendekatan dua tahap ini menyediakan kontrol akses tingkat dokumen yang tetap terkini bahkan ketika izin Google Drive berubah di antara sinkronisasi.
Apa yang merangkak
Saat ACL diaktifkan, Bedrock Managed Knowledge Base merayapi izin berbagi tingkat file dari Google Drive, termasuk:
Berbagi pengguna langsung (izin file individual)
Keanggotaan Google Groups
Keanggotaan drive bersama
Aktifkan kesadaran ACL
Untuk mengaktifkan kesadaran ACL untuk sumber data Google Drive, atur aclEnabled ke true dalam connectorParameters dan gunakan jenis SERVICE_ACCOUNT autentikasi. Akun layanan harus mengaktifkan delegasi seluruh domain di konsol admin Google Workspace Anda.
penting
Konfigurasi ACL bersifat permanen. Anda tidak dapat mengaktifkan ACL pada sumber data yang dibuat tanpa dukungan ACL, dan Anda tidak dapat menonaktifkan ACL setelah diaktifkan.
AWS Secrets Manager Rahasianya harus mencakupadminAccountEmail,clientEmail, danprivateKey. Untuk petunjuk langkah demi langkah untuk membuat akun layanan, konfigurasikan delegasi seluruh domain, dan dapatkan nilai-nilai ini, lihat. Menyiapkan otentikasi akun layanan untuk Google Drive
"connectorParameters": { "type": "GOOGLEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "authType": "SERVICE_ACCOUNT", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name" }, "dataEntityConfiguration": { "crawlMyDrive": true, "crawlSharedWithMe": false, "crawlSharedDrives": false } }
catatan
Jenis OAUTH2 autentikasi tidak didukung untuk sumber data ACL-enabled Google Drive. Anda harus menggunakan SERVICE_ACCOUNT dengan delegasi seluruh domain.
Real-time verifikasi akses
Basis Pengetahuan Terkelola Bedrock menggunakan delegasi seluruh domain akun layanan untuk memverifikasi akses dokumen secara real time terhadap Google Drive API, mengonfirmasi bahwa pengguna kueri masih memiliki akses ke setiap dokumen kandidat.
Verifikasi konfigurasi Anda
Anda dapat memvalidasi konfigurasi akun layanan Anda secara independen dari permintaan pengambilan. Lakukan setiap pemeriksaan berikut:
-
Domain-wide delegasi:
Di konsol Admin Google Workspace, konfirmasikan bahwa ID klien akun layanan diotorisasi untuk cakupan yang diperlukan (hanya-baca Google Drive dan cakupan baca SDK directory/group Admin).
-
Akses drive (crawl dan verifikasi):
Menggunakan akun layanan (
clientEmaildanprivateKey) meniruadminAccountEmail, panggil Google Drive API untuk mencantumkan file pengguna dan mengonfirmasi bahwa file tersebut berhasil.
-
Resolusi grup:
Panggil Admin SDK Directory API untuk mencantumkan keanggotaan grup pengguna dan mengonfirmasi bahwa ia mengembalikan grup yang diharapkan.
Pemecahan masalah
catatan
Kesalahan konfigurasi ACL tidak menghasilkan kesalahan eksplisit selama pengambilan. Pengambilan gagal ditutup: dokumen yang terpengaruh dihilangkan secara diam-diam, sehingga kueri mengembalikan hasil yang lebih sedikit atau nol daripada kesalahan. Gunakan pemeriksaan verifikasi di atas untuk mendiagnosis masalah ini.
| Gejala | Kemungkinan penyebabnya | Perbaiki |
|---|---|---|
| Retrieve mengembalikan 0 hasil, tetapi pengguna memiliki akses di Google Drive. | Domain-wide delegasi tidak dikonfigurasi, atau akun layanan tidak memiliki cakupan yang diperlukan, sehingga akses tidak dapat diverifikasi. | Otorisasi ID klien akun layanan untuk cakupan Drive dan Admin SDK yang diperlukan di konsol Admin Google Workspace. |
| Group-based Akses tidak dihormati. | Cakupan directory/group baca Admin SDK hilang dari delegasi. | Tambahkan cakupan baca grup Admin SDK ke delegasi seluruh domain akun layanan. |
| Crawl atau sinkronisasi gagal. | clientEmail/privateKeytidak valid, atau adminAccountEmail bukan admin Workspace. |
Verifikasi kredensyal akun layanan dan itu adminAccountEmail adalah administrator Workspace. |
| Semua pengguna ditolak setelah sebelumnya bekerja. | Kunci akun layanan diputar atau dicabut. | privateKeyPerbarui rahasia. |