Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Prasyarat dan izin yang diperlukan untuk menggunakan OpenSearch Kluster Terkelola dengan Pangkalan Pengetahuan Amazon Bedrock
Bagian ini menunjukkan cara mengonfigurasi izin jika Anda membuat database vektor sendiri dengan Amazon OpenSearch Service Managed Clusters. Konfigurasi ini harus dilakukan sebelum Anda membuat basis pengetahuan. Langkah-langkahnya mengasumsikan bahwa Anda telah membuat indeks domain dan vektor di Amazon OpenSearch Service. Untuk informasi selengkapnya, lihat [Membuat dan mengelola domain OpenSearch Layanan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) di *panduan pengembang OpenSearch Layanan Amazon*.
## Pertimbangan utama
Berikut ini adalah beberapa pertimbangan utama untuk menggunakan Pangkalan Pengetahuan Amazon Bedrock dengan Amazon OpenSearch Service Managed Clusters.
+ Sebelum menggunakan sumber daya domain apa pun di kluster OpenSearch Terkelola, Anda perlu mengonfigurasi izin dan kebijakan akses IAM tertentu. Untuk integrasi Pangkalan Pengetahuan dengan kluster Terkelola, sebelum Anda melakukan langkah-langkah di bagian ini, jika domain Anda memiliki kebijakan akses terbatas, Anda harus memberikan akses IAM yang diperlukan dan mengonfigurasi kebijakan berbasis sumber daya. Kami juga menyarankan Anda mengonfigurasi kontrol akses berbutir halus untuk mengurangi izin.
+ Saat menelan data untuk basis pengetahuan Anda, jika Anda mengalami kegagalan, itu mungkin menunjukkan kapasitas OpenSearch domain yang tidak memadai untuk menangani kecepatan konsumsi. Untuk mengatasi masalah ini, tingkatkan kapasitas domain Anda dengan menyediakan IOPS (Operasi Input/Output Per Detik) yang lebih tinggi dan dengan meningkatkan pengaturan throughput. Tunggu beberapa menit hingga kapasitas baru disediakan dan kemudian coba lagi proses konsumsi. Untuk memverifikasi bahwa masalah telah teratasi, Anda dapat memantau kinerja selama proses coba lagi. Jika pelambatan masih berlanjut, Anda mungkin perlu menyesuaikan kapasitas lebih lanjut untuk meningkatkan efisiensi. Untuk informasi selengkapnya, lihat [Praktik terbaik operasional untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html).
## Ikhtisar konfigurasi izin
Untuk integrasi Pangkalan Pengetahuan dengan kluster terkelola, Anda perlu mengonfigurasi izin akses IAM berikut dan kebijakan berbasis sumber daya. Kami menyarankan Anda mengaktifkan kebijakan akses berbutir halus untuk lebih mengontrol akses pengguna dan perincian yang harus dicakup hingga ke tingkat properti.
Langkah-langkah berikut memberikan ikhtisar tingkat tinggi tentang cara mengonfigurasi izin.
1.
**Membuat dan menggunakan peran layanan basis Pengetahuan**
Untuk izin yang ingin Anda konfigurasikan, sementara Anda masih dapat memberikan peran kustom Anda sendiri, kami sarankan Anda menentukan opsi untuk Pangkalan Pengetahuan Amazon Bedrock untuk membuat peran layanan basis Pengetahuan untuk Anda.
1.
**Konfigurasikan kebijakan berbasis sumber daya**
OpenSearch Domain mendukung kebijakan berbasis sumber daya, yang menentukan prinsipal mana yang dapat mengakses dan bertindak pada domain. Untuk digunakan dengan Pangkalan Pengetahuan, pastikan konfigurasi yang tepat dari kebijakan berbasis sumber daya untuk domain Anda.
1.
***(Sangat Disarankan)* Menyediakan pemetaan peran untuk kontrol akses berbutir halus**
Meskipun kontrol akses berbutir halus bersifat opsional, kami menyarankan Anda mengaktifkannya untuk mengontrol perincian di mana izin harus dicakup di tingkat properti.
## Mengonfigurasi kebijakan IAM
Kebijakan akses domain Anda harus memberikan izin untuk melakukan tindakan OpenSearch API yang diperlukan berdasarkan peran di akun Anda.
Jika domain Anda memiliki kebijakan akses terbatas, maka domain tersebut mungkin perlu diperbarui sebagai berikut:
+ Ini harus memberikan akses ke layanan Amazon Bedrock dan menyertakan tindakan HTTP yang diperlukan:`GET`,, `POST``PUT`, dan`DELETE`.
+ Itu juga harus memberikan izin Amazon Bedrock untuk melakukan `es:DescribeDomain` tindakan pada sumber daya indeks Anda. Hal ini memungkinkan Amazon Bedrock Knowledge Bases untuk melakukan validasi yang diperlukan saat mengonfigurasi basis pengetahuan.
## (Opsional) Kontrol akses berbutir halus
Kontrol akses berbutir halus dapat mengontrol perincian di mana izin harus dicakup di tingkat propertiAnda dapat mengonfigurasi kebijakan akses berbutir halus, untuk memberikan izin baca-tulis yang diperlukan untuk peran layanan yang dibuat oleh Pangkalan Pengetahuan.
Untuk mengonfigurasi kontrol akses berbutir halus dan menyediakan pemetaan peran:
1. Pastikan OpenSearch domain yang Anda buat telah mengaktifkan kontrol akses berbutir halus.
1. Buat OpenSearch UI (Dasbor), jika Anda belum melakukannya. Ini akan digunakan untuk mengkonfigurasi pemetaan peran
1. Di OpenSearch Dasbor Anda, buat OpenSearch peran dan tentukan nama indeks vektor, serta izin cluster dan indeks. Untuk menambahkan izin, Anda harus membuat grup izin dan kemudian menambahkan izin yang diperlukan yang memberikan akses untuk melakukan serangkaian operasi termasuk`delete`,, `search``get`, dan `index` untuk peran tersebut.
1. Setelah menambahkan izin yang diperlukan, Anda harus memasukkan ARN peran layanan basis Pengetahuan Anda untuk OpenSearch peran back-end. Melakukan langkah ini akan menyelesaikan pemetaan antara peran Layanan Basis Pengetahuan Anda dan OpenSearch peran, yang kemudian memberikan izin Pangkalan Pengetahuan Batuan Dasar Amazon untuk mengakses indeks vektor di OpenSearch domain dan melakukan operasi yang diperlukan.
**Topics**
+ [Pertimbangan utama](#kb-osm-permissions-prereq-considerations)
+ [Ikhtisar konfigurasi izin](#kb-osm-permissions-prereq-overview)
+ [Mengonfigurasi kebijakan IAM](#kb-osm-permissions-iam)
+ [(Opsional) Kontrol akses berbutir halus](#kb-osm-permissions-console-fgap)
+ [Mengonfigurasi kebijakan berbasis sumber daya untuk kluster Terkelola OpenSearch](kb-osm-permissions-slr-rbp.md)
+ [Mengkonfigurasi OpenSearch izin dengan kontrol akses berbutir halus](kb-osm-permissions-console-fgap.md)
# Mengonfigurasi kebijakan berbasis sumber daya untuk kluster Terkelola OpenSearch
Saat membuat basis pengetahuan, Anda dapat membuat peran kustom Anda sendiri atau membiarkan Amazon Bedrock membuatnya untuk Anda. Cara Anda mengonfigurasi izin bergantung pada apakah Anda membuat peran baru atau menggunakan peran yang sudah ada. Jika Anda sudah memiliki peran IAM yang sudah ada, Anda harus memastikan bahwa kebijakan akses domain Anda tidak mencegah peran di akun Anda melakukan tindakan OpenSearch API yang diperlukan.
Jika Anda memilih untuk mengizinkan Pangkalan Pengetahuan Amazon Bedrock membuat peran IAM untuk Anda, Anda harus memastikan bahwa kebijakan akses domain Anda memberikan izin untuk melakukan tindakan OpenSearch API yang diperlukan oleh peran di akun Anda. Jika domain Anda memiliki kebijakan akses terbatas, domain dapat mencegah peran Anda melakukan tindakan ini. Berikut ini menunjukkan contoh kebijakan berbasis sumber daya yang membatasi.
Dalam hal ini, Anda dapat:
+ Buat basis pengetahuan Anda menggunakan peran IAM yang ada sehingga OpenSearch domain Anda dapat memberikan akses ke peran ini untuk melakukan operasi yang diperlukan.
+ Atau, Anda dapat membiarkan Amazon Bedrock membuat peran baru untuk Anda. Dalam hal ini, Anda harus memastikan bahwa kebijakan akses domain harus memberikan izin untuk melakukan tindakan OpenSearch API yang diperlukan oleh peran di akun Anda.
Bagian berikut menunjukkan contoh kebijakan IAM yang memberikan izin yang diperlukan dan bagaimana Anda dapat memperbarui kebijakan akses domain sehingga memberikan izin untuk melakukan operasi API yang diperlukan. OpenSearch
**Topics**
+ [Contoh kebijakan berbasis identitas dan sumber daya IAM](#kb-osm-permissions-iam)
+ [Membuat peran layanan Amazon Bedrock Knowledge Bases](#kb-osm-permissions-slr)
+ [Memperbarui kebijakan berbasis sumber daya](#kb-osm-permissions-console-rbp)
## Contoh kebijakan berbasis identitas dan sumber daya IAM
Bagian ini menyediakan contoh kebijakan identitas dan kebijakan berbasis sumber daya yang dapat Anda konfigurasikan untuk OpenSearch domain Anda saat mengintegrasikan dengan Pangkalan Pengetahuan Amazon Bedrock. Anda harus memberikan izin Amazon Bedrock untuk melakukan tindakan ini pada indeks yang Anda berikan Basis Pengetahuan Anda.
****
| Tindakan | Sumber daya | Deskripsi |
| --- | --- | --- |
| es:ESHttpPost | arn::es:::domain// | Untuk memasukkan informasi ke indeks |
| es:ESHttpGet | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Untuk mencari informasi dari indeks. Tindakan ini dikonfigurasi baik di domain/index level maupun domain/index/\$1 level. Pada domain/index level tersebut, bisa mendapatkan detail tingkat tinggi tentang indeks, seperti jenis mesin. Untuk mengambil detail yang disimpan dalam indeks, izin diperlukan di tingkat tersebut. domain/index/\$1 |
| es:ESHttpHead | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Untuk mendapatkan informasi dari indeks. Tindakan ini dikonfigurasi baik di domain/index level maupun domain/index/\$1 level, jika informasi perlu diperoleh pada tingkat yang lebih tinggi, seperti apakah indeks tertentu ada. |
| es:ESHttpDelete | arn::es:::domain// | Untuk menghapus informasi ke indeks |
| es:DescribeDomain | arn::es:::domain/ | Untuk melakukan validasi pada domain, seperti versi mesin yang digunakan. |
### Contoh kebijakan berbasis identitas
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpenSearchIndexAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut",
"es:ESHttpDelete"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
]
},
{
"Sid": "OpenSearchIndexGetAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpHead"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
]
},
{
"Sid": "OpenSearchDomainValidation",
"Effect": "Allow",
"Action": [
"es:DescribeDomain"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName"
]
}
]
}
```
------
### Contoh kebijakan berbasis sumber daya
**catatan**
Pastikan bahwa peran layanan telah dibuat agar dapat digunakan dalam kebijakan berbasis sumber daya.
## Membuat peran layanan Amazon Bedrock Knowledge Bases
Saat Anda membuat basis pengetahuan, Anda dapat memilih opsi untuk membuat dan menggunakan peran layanan baru. Bagian ini memandu Anda melalui pembuatan peran layanan Amazon Bedrock Knowledge Bases. Dengan memetakan kebijakan berbasis sumber daya dan kebijakan akses berbutir halus ke peran ini, Amazon Bedrock akan memberikan izin kepada Amazon Bedrock untuk membuat permintaan ke domain. OpenSearch
**Untuk menentukan peran layanan Amazon Bedrock Knowledge Bases:**
1. Di konsol Amazon Bedrock, buka [Pangkalan Pengetahuan](https://console.aws.amazon.com/bedrock/home#/knowledge-bases).
1. Pilih **Buat** dan kemudian pilih **Basis pengetahuan dengan penyimpanan vektor**.
1. Pilih **Buat dan gunakan peran layanan baru**. Anda dapat menggunakan default, atau memberikan nama peran khusus, dan Amazon Bedrock akan secara otomatis membuat peran layanan Basis Pengetahuan untuk Anda.
1. Lanjutkan melalui konsol untuk mengonfigurasi sumber data Anda dan strategi parsing dan chunking.
1. Pilih model Embeddings dan kemudian, di bawah **Pilih penyimpanan vektor yang ada, pilih** **Amazon OpenSearch** Managed Cluster.
**penting**
Sebelum Anda melanjutkan untuk membuat basis pengetahuan, selesaikan langkah-langkah berikut untuk mengonfigurasi kebijakan berbasis sumber daya dan kebijakan akses berbutir halus. Untuk langkah-langkah rinci tentang membuat basis pengetahuan, lihat[Buat basis pengetahuan dengan menghubungkan ke sumber data di Amazon Bedrock Knowledge Bases](knowledge-base-create.md).
## Memperbarui kebijakan berbasis sumber daya
Jika OpenSearch domain Anda memiliki kebijakan akses terbatas, Anda dapat mengikuti petunjuk di halaman ini untuk memperbarui kebijakan berbasis sumber daya. Izin ini memungkinkan Basis Pengetahuan untuk menggunakan indeks yang Anda berikan, dan untuk mengambil definisi OpenSearch domain untuk melakukan validasi yang diperlukan pada domain.
**Untuk mengonfigurasi kebijakan berbasis sumber daya dari Konsol Manajemen AWS**
1. Buka [konsol OpenSearch Layanan Amazon](https://console.aws.amazon.com/aos/home?region=us-east-1#opensearch/dashboard).
1. Buka domain yang telah Anda buat, lalu buka **Konfigurasi Keamanan** tempat kebijakan berbasis sumber daya dikonfigurasi.
1. Edit kebijakan di tab **JSON**, lalu perbarui kebijakan yang serupa dengan. [Contoh kebijakan berbasis sumber daya](#kb-osm-permissions-rbp)
1. Sekarang Anda dapat kembali ke konsol Amazon Bedrock dan memberikan detail untuk OpenSearch domain dan indeks Anda seperti yang dijelaskan dalam [Pengaturan dasar Pengetahuan untuk Kluster Terkelola](knowledge-base-setup.md#knowledge-base-setup-osm).
# Mengkonfigurasi OpenSearch izin dengan kontrol akses berbutir halus
Meskipun opsional, kami sangat menyarankan Anda mengaktifkan kontrol akses berbutir halus untuk domain Anda. OpenSearch Dengan menggunakan kontrol akses berbutir halus, Anda dapat menggunakan kontrol akses berbasis peran, yang memungkinkan Anda membuat peran dengan izin tertentu dan memetakannya ke OpenSearch peran layanan Basis Pengetahuan. Pemetaan memberikan basis pengetahuan Anda izin minimum yang diperlukan yang memungkinkannya mengakses dan melakukan operasi pada OpenSearch domain dan indeks.
Untuk mengkonfigurasi dan menggunakan kontrol akses halus:
1. Pastikan OpenSearch domain yang Anda gunakan memiliki kontrol akses berbutir halus yang diaktifkan.
1. Untuk domain Anda yang menggunakan kontrol akses berbutir halus, konfigurasikan izin dengan kebijakan cakupan bawah dalam bentuk peran. OpenSearch
1. Untuk domain tempat Anda membuat peran, tambahkan pemetaan peran ke peran Layanan Basis Pengetahuan.
Langkah-langkah berikut menunjukkan cara mengonfigurasi OpenSearch peran Anda dan memastikan pemetaan yang benar antara OpenSearch peran dan peran layanan Basis Pengetahuan.
**Untuk membuat OpenSearch peran dan mengonfigurasi izin**
Setelah mengaktifkan kontrol akses berbutir halus dan mengonfigurasi Amazon Bedrock untuk terhubung ke OpenSearch Layanan, Anda dapat mengonfigurasi izin menggunakan tautan OpenSearch Dasbor untuk setiap domain. OpenSearch
**Untuk mengonfigurasi izin domain agar memungkinkan akses ke Amazon Bedrock:**
1. Buka OpenSearch Dasbor untuk OpenSearch domain yang ingin Anda gunakan. Untuk menemukan tautan ke Dasbor, buka domain yang Anda buat di konsol OpenSearch Layanan. Untuk domain yang berjalan OpenSearch, URL adalah format,`domain-endpoint/_dashboards/`. Untuk informasi selengkapnya, lihat [Dasbor](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/dashboards.html) di *panduan pengembang OpenSearch Layanan Amazon*.
1. Di OpenSearch Dasbor, pilih **Keamanan** dan kemudian pilih **Peran**.
1. Pilih **Buat peran**.
1. Berikan nama apa pun untuk peran tersebut, misalnya, **kb\$1opensearch\$1role**.
1. Di bawah **izin Cluster**, tambahkan izin berikut.
+ `indices:data/read/msearch`
+ `indices:data/write/bulk*`
+ `indices:data/read/mget*`
1. Di bawah **Izin indeks**, berikan nama untuk indeks vektor. Pilih **Buat grup izin baru**, lalu pilih **Buat grup tindakan baru**. Tambahkan izin berikut ke grup tindakan, seperti`KnowledgeBasesActionGroup`. Tambahkan izin berikut ke grup tindakan.
+ `indices:admin/get`
+ `indices:data/read/msearch`
+ `indices:data/read/search`
+ `indices:data/write/index`
+ `indices:data/write/update`
+ `indices:data/write/delete`
+ `indices:data/write/delete/byquery`
+ `indices:data/write/bulk*`
+ `indices:admin/mapping/put`
+ `indices:data/read/mget*`
![\[Grup tindakan yang akan dibuat di OpenSearch Dasbor untuk menambahkan izin cluster dan indeks.\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/images/kb/kb-test-os-action-groups.png)
1. Pilih **Buat** untuk membuat OpenSearch peran.
Berikut ini menunjukkan OpenSearch peran sampel dengan izin yang ditambahkan.
![\[Contoh OpenSearch peran di OpenSearch Dasbor dengan izin ditambahkan.\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/images/kb/kb-test-os-dashboards-permissions.png)
**Untuk membuat pemetaan peran ke peran layanan Basis Pengetahuan Anda**
1. Identifikasi peran IAM yang perlu dipetakan.
+ Jika Anda membuat peran IAM kustom Anda sendiri, Anda dapat menyalin peran ARN untuk peran ini dari konsol IAM.
+ Jika Anda mengizinkan Basis Pengetahuan untuk membuat peran untuk Anda, Anda dapat mencatat peran ARN saat membuat basis pengetahuan Anda, dan kemudian menyalin peran ini ARN.
1. Buka OpenSearch Dasbor untuk OpenSearch domain yang ingin Anda gunakan. URL adalah format`domain-endpoint/_dashboards/`.
1. Pilih **Keamanan** dari panel navigasi.
1. Cari peran yang baru saja Anda buat dari daftar, misalnya, **kb\$1opensearch\$1role**, dan buka.
1. Pada tab **Pengguna yang Dipetakan**, pilih **Kelola** pemetaan
1. Di bagian **peran Backend**, masukkan ARN dari peran IAM AWS terkelola untuk Basis Pengetahuan. Bergantung pada apakah Anda membuat peran kustom sendiri atau membiarkan Pangkalan Pengetahuan membuat peran untuk Anda, salin informasi ARN peran dari konsol IAM atau konsol Amazon Bedrock, lalu masukkan informasi tersebut untuk peran **Backend** di konsol. OpenSearch Berikut adalah contohnya.
```
arn:aws:iam:::role/service-role/
```
1. Pilih **Peta**.
Peran Knowledge Base Service sekarang dapat terhubung ke OpenSearch peran dan melakukan operasi yang diperlukan pada domain dan indeks.