View a markdown version of this page

Document-level kontrol akses - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Document-level kontrol akses

SharePoint sumber data secara opsional mendukung kontrol akses tingkat dokumen. Saat diaktifkan, Basis Pengetahuan Terkelola Bedrock menyinkronkan daftar kontrol akses (ACL) SharePoint selama setiap perayapan dan memverifikasi izin setiap pengguna pada waktu kueri, sehingga pengguna hanya melihat hasil dari dokumen yang diizinkan untuk diakses. SharePoint Untuk ikhtisar kesadaran ACL di semua konektor, lihatAkses Kontrol Daftar pemberdayaan kesadaran.

Kesadaran ACL bukanlah otorisasi

Basis Pengetahuan Terkelola Batuan Dasar menyediakan ACL-aware penyaringan, bukan batas keamanan. Basis Pengetahuan Terkelola Bedrock tidak mengautentikasi pengguna akhir — aplikasi Anda bertanggung jawab untuk mengautentikasi pengguna dan meneruskan konteks identitas terverifikasi. Karena Basis Pengetahuan Terkelola Bedrock tidak dapat memverifikasi keaslian konteks pengguna yang Anda berikan, fitur ini memfilter hasil berdasarkan identitas yang Anda berikan tetapi bukan merupakan otorisasi yang benar. Anda tidak boleh mengandalkan fitur ini sebagai mekanisme kontrol akses tunggal tanpa otentikasi hulu.

Cara kerjanya

Saat pengguna menanyakan basis pengetahuan yang menggunakan sumber ACL-enabled SharePoint data, Basis Pengetahuan Terkelola Bedrock memberlakukan kontrol akses dalam dua tahap:

  • Pre-retrieval pemfilteran — Basis Pengetahuan Terkelola Batuan Dasar menerapkan daftar kontrol akses yang disinkronkan SharePoint selama perayapan terakhir, hanya menampilkan dokumen kandidat yang diizinkan untuk diakses oleh pengguna (atau grup mereka).

  • Real-time Verifikasi — Basis Pengetahuan Terkelola Bedrock memverifikasi dokumen kandidat secara real time dengan memeriksa akses pengguna saat ini di kueri. SharePoint Hanya dokumen yang saat ini diizinkan untuk diakses oleh pengguna yang disertakan dalam tanggapan.

Pendekatan dua tahap ini menyediakan kontrol akses tingkat dokumen yang tetap terkini bahkan ketika SharePoint izin berubah di antara sinkronisasi.

Apa yang merangkak

Saat ACL diaktifkan, Basis Pengetahuan Terkelola Batuan Dasar meng-crawl struktur izin berikut dari: SharePoint

  • Site-level keanggotaan dan tugas peran

  • Izin tingkat perpustakaan dokumen

  • Item-level Izin (file dan halaman), termasuk izin unik yang merusak pewarisan

  • Keanggotaan grup keamanan, termasuk grup keamanan Microsoft Entra ID (Azure AD), grup keamanan berkemampuan email, dan grup distribusi. Keanggotaan kelompok bersarang (transitif) juga diselesaikan.

Pada saat kueri, Anda melewati alamat email pengguna (bukan grup). Basis Pengetahuan Terkelola Bedrock menyelesaikan keanggotaan grup pengguna dari data yang dirayapi dan menerapkannya saat memfilter hasil. Untuk informasi lebih lanjut tentang model identitas, lihatAkses Kontrol Daftar pemberdayaan kesadaran.

Aktifkan kesadaran ACL

Untuk mengaktifkan kesadaran ACL untuk sumber SharePoint data, atur aclEnabled ke true dalam connectorParameters dan gunakan jenis ENTRA_ID_APP_ONLY autentikasi. Jenis autentikasi ini menggunakan izin aplikasi berbasis sertifikat yang memungkinkan Basis Pengetahuan Terkelola Bedrock untuk merayapi informasi identitas dan memverifikasi akses dokumen pada waktu kueri.

penting

Konfigurasi ACL bersifat permanen. Anda tidak dapat mengaktifkan ACL pada sumber data yang dibuat tanpa dukungan ACL, dan Anda tidak dapat menonaktifkan ACL setelah diaktifkan.

Pendaftaran aplikasi Entra ID Anda harus memiliki izin aplikasi berikut:

  • User.Read.Alldan GroupMember.Read.All di Microsoft Graph (untuk perayapan identitas)

  • Sites.FullControl.Allpada SharePoint, atau Sites.Selected dengan izin per situs yang diberikan (untuk verifikasi akses dokumen)

connectionConfigurationHarus menyertakan certificateS3Path penunjuk ke file sertifikat PKCS #12 (.p12) di Amazon S3.

catatan

certificatePasswordBidang dalam rahasia adalah opsional. Jika Anda menghilangkannya, Bedrock Managed Knowledge Base membuka file PKCS #12 (.p12) menggunakan ID klien aplikasi Anda sebagai kata sandi, sehingga sertifikat harus dibuat dengan kata sandi itu. Kami menyarankan agar Anda selalu menetapkan entropi tinggi eksplisit certificatePassword untuk melindungi kunci pribadi sertifikat saat istirahat.

"connectorParameters": { "type": "SHAREPOINT", "version": "1", "aclEnabled": true, "connectionConfiguration": { "tenantId": "your-tenant-id", "authType": "ENTRA_ID_APP_ONLY", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name", "certificateS3Path": { "s3BucketName": "your-certificate-bucket", "s3KeyName": "certs/certificate.p12" } }, "dataEntityConfiguration": { "siteUrls": [ "https://contoso.sharepoint.com/sites/engineering" ], "crawlFiles": true, "crawlPages": true } }
catatan

Jenis OAUTH2_APP autentikasi tidak didukung untuk sumber ACL-enabled SharePoint data. Anda harus menggunakan ENTRA_ID_APP_ONLY.

Real-time verifikasi akses

Basis Pengetahuan Terkelola Bedrock memverifikasi setiap dokumen kandidat SharePoint pada saat kueri menggunakan izin berbasis sertifikat aplikasi (pendaftaran ENTRA_ID_APP_ONLY aplikasi dikonfigurasi untuk crawling). Tidak seperti alur masuk pengguna yang didelegasikan, tidak diperlukan login atau persetujuan interaktif per pengguna — verifikasi menggunakan pendaftaran dan sertifikat aplikasi yang sama, melalui Sites.Selected izin Sites.FullControl.All atau, untuk mengonfirmasi bahwa pengguna kueri masih memiliki akses ke setiap dokumen.

Verifikasi konfigurasi Anda

Anda dapat memvalidasi izin aplikasi Entra Anda secara independen dari permintaan pengambilan. Lakukan setiap pemeriksaan berikut:

  1. Grafik Microsoft (perayapan):

    • Dapatkan token aplikasi dengan ruang lingkup https://graph.microsoft.com/.default dan konfirmasikan roles klaim termasuk User.Read.All danGroupMember.Read.All.

    • Panggil titik akhir situs Microsoft Graph (misalnya,GET https://graph.microsoft.com/v1.0/sites/{site}) dan konfirmasikan bahwa itu mengembalikan situs.

  2. SharePoint REST (verifikasi waktu nyata):

    • Dapatkan token menggunakan pernyataan klien sertifikat dengan cakupan. https://{tenant}.sharepoint.com/.default

    • Konfirmasikan roles klaim token termasuk SharePoint Sites.FullControl.All (atauSites.Selected) izin. roles: nullNilai berarti izin atau persetujuan admin tidak ada.

    • Panggil GET https://{tenant}.sharepoint.com/_api/web dan konfirmasikan berhasil (HTTP 200). Tanggapan yang gagal atau tidak sah berarti SharePoint izin atau persetujuan admin tidak ada, yang menyebabkan semua dokumen ditolak.

Pemecahan masalah

catatan

Kesalahan konfigurasi ACL tidak menghasilkan kesalahan eksplisit selama pengambilan. Pengambilan gagal ditutup: dokumen yang terpengaruh dihilangkan secara diam-diam, sehingga kueri mengembalikan hasil yang lebih sedikit atau nol daripada kesalahan. Gunakan pemeriksaan verifikasi sebelumnya untuk mendiagnosis masalah ini.

ACL-enabled SharePoint gejala, penyebab, dan perbaikan
Gejala Kemungkinan penyebabnya Perbaiki
Retrieve mengembalikan 0 hasil, tetapi pengguna memiliki akses di SharePoint. Izin SharePoint Sites.FullControl.All (atauSites.Selected) atau persetujuan admin tidak ada, sehingga panggilan SharePoint REST ditolak dan setiap dokumen ditolak. Berikan SharePoint Sites.FullControl.All izin (atau Sites.Selected dengan hibah per situs) dengan persetujuan admin. Karena kredensyal aplikasi ini di-cache, biarkan hingga satu jam agar perubahan diterapkan, atau uji dengan pengguna yang belum ditanyakan untuk mengonfirmasi lebih cepat.
Akses pengguna diubah SharePoint, tetapi hasil baru tidak segera tercermin. Per-user Hasil akses pada akhirnya konsisten antara sumber data dan Pangkalan Pengetahuan Terkelola Batuan Dasar (biasanya dalam waktu sekitar dua menit), sehingga perubahan akses baru-baru ini mungkin tidak segera tercermin. Setelah sumber data mencerminkan perubahan, tunggu sekitar dua menit dan coba lagi.
Semua pengguna ditolak setelah sebelumnya bekerja. Sertifikat kedaluwarsa, atau persetujuan admin dicabut. Perpanjang sertifikat di pendaftaran aplikasi Entra dan di Amazon S3, dan berikan kembali izin admin.
Perayapan atau sinkronisasi gagal meskipun konfigurasi terlihat benar. Izin aplikasi Microsoft Graph yang diperlukan tidak ada. Grant User.Read.All danGroupMember.Read.All.
Kata sandi sertifikat atau kesalahan pencetakan token. Kata .p12 sandi tidak cocokcertificatePassword. Setel certificatePassword ke kata sandi yang digunakan untuk membuat .p12 file.