View a markdown version of this page

Document-level kontrol akses - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Document-level kontrol akses

OneDrive sumber data secara opsional mendukung kontrol akses tingkat dokumen. Saat diaktifkan, Basis Pengetahuan Terkelola Bedrock menyinkronkan daftar kontrol akses (ACL) OneDrive selama setiap perayapan dan memverifikasi izin setiap pengguna pada waktu kueri, sehingga pengguna hanya melihat hasil dari dokumen yang diizinkan untuk diakses. OneDrive Untuk ikhtisar kesadaran ACL di semua konektor, lihatAkses Kontrol Daftar pemberdayaan kesadaran.

Kesadaran ACL bukanlah otorisasi

Basis Pengetahuan Terkelola Batuan Dasar menyediakan ACL-aware penyaringan, bukan batas keamanan. Basis Pengetahuan Terkelola Bedrock tidak mengautentikasi pengguna akhir — aplikasi Anda bertanggung jawab untuk mengautentikasi pengguna dan meneruskan konteks identitas terverifikasi. Basis Pengetahuan Terkelola Bedrock tidak dapat memverifikasi keaslian konteks pengguna yang Anda berikan. Oleh karena itu, fitur ini menyaring hasil berdasarkan identitas yang Anda berikan tetapi bukan merupakan otorisasi yang benar. Anda tidak boleh mengandalkan fitur ini sebagai mekanisme kontrol akses tunggal tanpa otentikasi hulu.

Cara kerjanya

Saat pengguna menanyakan basis pengetahuan yang menggunakan sumber ACL-enabled OneDrive data, Basis Pengetahuan Terkelola Bedrock memberlakukan kontrol akses dalam dua tahap:

  • Pre-retrieval pemfilteran — Basis Pengetahuan Terkelola Batuan Dasar menerapkan daftar kontrol akses yang disinkronkan OneDrive selama perayapan terakhir, hanya menampilkan dokumen kandidat yang diizinkan untuk diakses oleh pengguna (atau grup mereka).

  • Real-time Verifikasi — Basis Pengetahuan Terkelola Bedrock memverifikasi dokumen kandidat secara real time dengan memeriksa akses pengguna saat ini di kueri. OneDrive Hanya dokumen yang saat ini diizinkan untuk diakses oleh pengguna yang disertakan dalam tanggapan.

Pendekatan dua tahap ini menyediakan kontrol akses tingkat dokumen yang tetap terkini bahkan ketika OneDrive izin berubah di antara sinkronisasi.

Apa yang merangkak

Saat ACL diaktifkan, Bedrock Managed Knowledge Base merayapi izin berbagi tingkat file dan penetapan grup keamanan dari. OneDrive Keanggotaan kelompok bersarang (transitif) juga diselesaikan.

Pada saat kueri, Anda melewati alamat email pengguna (bukan grup). Basis Pengetahuan Terkelola Bedrock menyelesaikan keanggotaan grup pengguna dari data yang dirayapi dan menerapkannya saat memfilter hasil. Untuk informasi lebih lanjut tentang model identitas, lihatAkses Kontrol Daftar pemberdayaan kesadaran.

Prasyarat untuk kesadaran ACL

ACL-enabled OneDrive menggunakan dua API Microsoft yang berbeda, masing-masing dengan izin aplikasi sendiri yang ditetapkan pada aplikasi Microsoft Entra Anda: crawl menggunakan Microsoft Graph API, dan verifikasi real-time menggunakan SharePoint REST API (OneDrive untuk Bisnis didukung oleh). SharePoint Konfigurasikan izin untuk kedua API, dengan persetujuan admin, sebelum Anda mengaktifkan kesadaran ACL.

  • User.Read.Alldan GroupMember.Read.All di Microsoft Graph (untuk perayapan identitas).

  • Sites.FullControl.Allon SharePoint (untuk verifikasi akses dokumen). Sites.Read.Alltidak cukup — akses hanya-baca tidak dapat melakukan pemeriksaan izin efektif yang diperlukan verifikasi waktu nyata.

penting

Crawl menggunakan Microsoft Graph API dan verifikasi real-time menggunakan SharePoint REST API — sumber daya berbeda dengan izin aplikasi yang berbeda. Izin perayapan identitas Microsoft Graph diperlukan tetapi tidak cukup: verifikasi real-time juga memerlukan izin dengan persetujuan admin. SharePoint Sites.FullControl.All Memberikan hanya izin Microsoft Graph adalah penyebab paling umum dari sumber ACL-enabled OneDrive data yang tidak mengembalikan hasil bahkan ketika pengguna memiliki akses.

Untuk prosedur penyiapan lengkap, termasuk sertifikat, lihatMengatur otentikasi Microsoft Entra App ID untuk OneDrive.

Aktifkan kesadaran ACL

Untuk mengaktifkan kesadaran ACL untuk sumber OneDrive data, atur aclEnabled ke true dalam connectorParameters dan gunakan jenis ENTRA_APP_ID autentikasi. Jenis autentikasi ini menggunakan izin aplikasi yang memungkinkan Basis Pengetahuan Terkelola Batuan Dasar untuk merayapi informasi identitas dan memverifikasi akses dokumen pada waktu kueri.

penting

Konfigurasi ACL bersifat permanen. Anda tidak dapat mengaktifkan ACL pada sumber data yang dibuat tanpa dukungan ACL, dan Anda tidak dapat menonaktifkan ACL setelah diaktifkan.

Ketika ACL diaktifkan untuk OneDrive, Anda harus menyertakan certificateS3Path dalam connectionConfiguration menunjuk ke file sertifikat PKCS #12 (.p12) di Amazon S3. Sertifikat ini digunakan untuk verifikasi ACL real-time terhadap SharePoint REST API. certificateS3PathIni tidak diperlukan saat ACL dinonaktifkan.

"connectorParameters": { "type": "ONEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_APP_ID", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "crawlPersonalDrives": true } }
catatan

certificatePasswordBidang dalam rahasia adalah opsional. Jika Anda menghilangkannya, Basis Pengetahuan Terkelola Bedrock membuka file PKCS #12 (.p12) menggunakan ID klien aplikasi Anda sebagai kata sandi, sehingga sertifikat harus dibuat dengan kata sandi itu. Kami menyarankan agar Anda selalu menetapkan entropi tinggi eksplisit certificatePassword untuk melindungi kunci pribadi sertifikat saat istirahat.

catatan

Jenis OAUTH2 autentikasi tidak didukung untuk sumber ACL-enabled OneDrive data. Anda harus menggunakan ENTRA_APP_ID.

Real-time verifikasi akses

Basis Pengetahuan Terkelola Bedrock memverifikasi setiap dokumen kandidat secara real time sepenuhnya di sisi server, menggunakan kredensyal aplikasi — tidak ada login pengguna akhir atau persetujuan yang didelegasikan. Karena OneDrive for Business didukung oleh SharePoint, Bedrock Managed Knowledge Base memeriksa izin efektif pengguna kueri terhadap SharePoint REST API untuk host penyewa Anda. OneDrive

OneDrive verifikasi real-time menggunakan model dua kredensyal, dan kedua kredensyal diperlukan:

  • ID klien dan rahasia klien dalam AWS Secrets Manager rahasia Anda mencetak token Microsoft Graph yang digunakan untuk menyelesaikan host penyewa Anda ( OneDrive -my.sharepoint.comhost).

  • Sertifikat dari certificateS3Path mencetak token SharePoint REST yang digunakan untuk pemeriksaan izin itu sendiri. Sertifikat adalah kredensi otoritatif untuk verifikasi waktu nyata — token rahasia klien saja tidak dapat melakukan pemeriksaan.

penting

Aplikasi harus memegang SharePoint Sites.FullControl.All izin dengan persetujuan admin; tidak Sites.Read.All cukup karena pemeriksaan izin efektif memerlukan manage/full hak -control. Tanpa izin yang benar, verifikasi real-time tidak dapat mengevaluasi izin yang efektif dan gagal ditutup, menolak setiap dokumen untuk setiap kueri — bahkan ketika pengguna memiliki akses dan penyaringan crawl dan pra-pengambilan berhasil. Lihat Prasyarat untuk kesadaran ACL.

catatan

Setelah Anda memberikan atau menyetujui izin SharePoint aplikasi, biarkan hingga satu jam agar perubahan berlaku bagi pengguna yang diperiksa sebelum perubahan, karena kredensyal akses aplikasi di-cache. Untuk mengonfirmasi perubahan lebih cepat, uji dengan pengguna lain yang belum ditanyai.

Verifikasi konfigurasi Anda

Anda dapat memvalidasi izin aplikasi Entra Anda secara independen dari permintaan pengambilan. Lakukan setiap pemeriksaan berikut:

  1. Grafik Microsoft (perayapan):

    • Dapatkan token aplikasi dengan ruang lingkuphttps://graph.microsoft.com/.default.

    • Dekode token dan konfirmasikan roles klaim termasuk izin Microsoft Graph yang diperlukan (User.Read.All,GroupMember.Read.All, danFiles.Read.All).

    • Panggil GET https://graph.microsoft.com/v1.0/users/{user}/drive/root/children dan konfirmasikan daftar item drive pengguna.

  2. SharePoint REST (verifikasi waktu nyata):

    • Dapatkan token menggunakan pernyataan klien sertifikat dengan cakupan. https://{tenant}-my.sharepoint.com/.default

    • Konfirmasikan roles klaim token termasuk SharePoint Sites.FullControl.All izin. roles: nullNilai berarti izin atau persetujuan admin tidak ada.

    • Panggil GET https://{tenant}-my.sharepoint.com/_api/web dan konfirmasikan berhasil (HTTP 200). Tanggapan yang gagal atau tidak sah berarti SharePoint izin atau persetujuan admin tidak ada, yang menyebabkan semua dokumen ditolak.

Pemecahan masalah

catatan

Kesalahan konfigurasi ACL tidak menghasilkan kesalahan eksplisit selama pengambilan. Pengambilan gagal ditutup: dokumen yang terpengaruh dihilangkan secara diam-diam, sehingga kueri mengembalikan hasil yang lebih sedikit atau nol daripada kesalahan. Gunakan pemeriksaan verifikasi di atas untuk mendiagnosis masalah ini.

ACL-enabled OneDrive gejala, penyebab, dan perbaikan
Gejala Kemungkinan penyebabnya Perbaiki
Retrieve mengembalikan 0 hasil, tetapi pengguna memiliki akses di OneDrive. Izin Microsoft Graph ada, tetapi izin SharePoint aplikasi atau persetujuan admin tidak ada, sehingga panggilan SharePoint REST ditolak dan setiap dokumen ditolak. Berikan SharePoint Sites.FullControl.All izin dengan persetujuan admin. Karena kredensyal aplikasi ini di-cache, biarkan hingga satu jam agar perubahan diterapkan, atau uji dengan pengguna yang belum ditanyakan untuk mengonfirmasi lebih cepat.
Akses pengguna diubah OneDrive, tetapi hasil baru tidak segera tercermin. Per-user Hasil akses pada akhirnya konsisten antara sumber data dan Pangkalan Pengetahuan Terkelola Batuan Dasar (biasanya dalam waktu sekitar dua menit), sehingga perubahan akses baru-baru ini mungkin tidak segera tercermin. Setelah sumber data mencerminkan perubahan, tunggu sekitar dua menit dan coba lagi.
Semua pengguna ditolak setelah sebelumnya bekerja. Sertifikat kedaluwarsa, atau persetujuan admin dicabut. Perpanjang sertifikat di pendaftaran aplikasi Entra dan di Amazon S3, dan berikan kembali izin admin.
Perayapan atau sinkronisasi gagal meskipun konfigurasi terlihat benar. Izin aplikasi Microsoft Graph yang diperlukan tidak ada. GrantFiles.Read.All,Sites.Read.All,User.Read.All, danGroupMember.Read.All.
Kata sandi sertifikat atau kesalahan pencetakan token. Kata .p12 sandi tidak cocokcertificatePassword. Setel certificatePassword ke kata sandi yang digunakan untuk membuat .p12 file.