Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Document-level controlli di accesso
La consapevolezza ACL non è un'autorizzazione
Bedrock Managed Knowledge Base fornisce un ACL-aware filtro, non un limite di sicurezza. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione è responsabile dell'autenticazione degli utenti e del passaggio del contesto di identità verificato. Poiché Bedrock Managed Knowledge Base non è in grado di verificare l'autenticità del contesto utente fornito, questa funzione filtra i risultati in base all'identità fornita ma non costituisce una vera autorizzazione. Non devi fare affidamento su questa funzionalità come unico meccanismo di controllo degli accessi senza l'autenticazione a monte.
Le fonti di dati di Google Drive supportano facoltativamente il controllo degli accessi a livello di documento. Se abilitata, Bedrock Managed Knowledge Base sincronizza gli elenchi di controllo degli accessi (ACL) da Google Drive durante ogni scansione e verifica le autorizzazioni di ciascun utente al momento della query, in modo che gli utenti vedano solo i risultati dei documenti a cui sono autorizzati ad accedere in Google Drive. Per una panoramica del riconoscimento ACL su tutti i connettori, consulta. Attivazione del riconoscimento delle liste di controllo degli accessi
Come funziona
Quando un utente esegue una query su una knowledge base che utilizza un'origine dati ACL-enabled Google Drive, Bedrock Managed Knowledge Base applica i controlli di accesso in due fasi:
-
Pre-retrieval filtraggio: Bedrock Managed Knowledge Base applica gli elenchi di controllo degli accessi sincronizzati da Google Drive durante l'ultima scansione, restituendo solo i documenti candidati a cui l'utente (o i relativi gruppi) è autorizzato a accedere.
-
Real-time verifica: Bedrock Managed Knowledge Base verifica i documenti dei candidati in tempo reale controllando l'accesso corrente dell'utente che effettua la query in Google Drive. Nella risposta sono inclusi solo i documenti a cui l'utente è attualmente autorizzato ad accedere.
Questo approccio in due fasi offre un controllo degli accessi a livello di documento che rimane aggiornato anche quando le autorizzazioni di Google Drive cambiano tra una sincronizzazione e l'altra.
Cosa viene sottoposto a scansione
Quando gli ACL sono abilitati, Bedrock Managed Knowledge Base esegue la scansione delle autorizzazioni di condivisione a livello di file da Google Drive, tra cui:
Condivisioni dirette degli utenti (autorizzazioni per singoli file)
Abbonamenti a Google Groups
Abbonamenti a Shared Drive
Abilita il riconoscimento ACL
Per abilitare il riconoscimento ACL per un'origine dati di Google Drive, imposta aclEnabled true in connectorParameters e utilizza il tipo di SERVICE_ACCOUNT autenticazione. L'account di servizio deve avere la delega a livello di dominio abilitata nella console di amministrazione di Google Workspace.
Importante
La configurazione ACL è permanente. Non è possibile abilitare gli ACL su un'origine dati creata senza il supporto ACL e non è possibile disabilitare gli ACL una volta abilitati.
Il AWS Secrets Manager segreto deve includereadminAccountEmail, eclientEmail. privateKey Per istruzioni dettagliate su come creare l'account di servizio, configurare la delega a livello di dominio e ottenere questi valori, vedere. Configurare l'autenticazione dell'account di servizio per Google Drive
"connectorParameters": { "type": "GOOGLEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "authType": "SERVICE_ACCOUNT", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name" }, "dataEntityConfiguration": { "crawlMyDrive": true, "crawlSharedWithMe": false, "crawlSharedDrives": false } }
Nota
Il tipo di OAUTH2 autenticazione non è supportato per le fonti di dati di Google Drive. ACL-enabled È necessario utilizzare SERVICE_ACCOUNT con delega a livello di dominio.
Real-time verifica dell'accesso
Bedrock Managed Knowledge Base utilizza la delega a livello di dominio dell'account di servizio per verificare l'accesso ai documenti in tempo reale tramite l'API di Google Drive, confermando che l'utente che effettua la richiesta ha ancora accesso a ciascun documento candidato.
Verifica la tua configurazione
È possibile convalidare la configurazione dell'account di servizio indipendentemente da una richiesta di recupero. Eseguite ciascuno dei seguenti controlli:
-
Domain-wide delegazione:
Nella console di amministrazione di Google Workspace, verifica che l'ID client dell'account di servizio sia autorizzato per gli ambiti richiesti (ambiti di sola lettura Google Drive e ambiti di lettura Admin SDK directory/group ).
-
Accesso a Drive (scansione e verifica):
Utilizzando l'account del servizio (
clientEmaileprivateKey) l'impersonificazioneadminAccountEmail, richiama l'API di Google Drive per elencare i file di un utente e confermare che l'operazione abbia esito positivo.
-
Risoluzione di gruppo:
Chiama l'API Admin SDK Directory per elencare le appartenenze ai gruppi di un utente e confermare che restituisca i gruppi previsti.
Risoluzione dei problemi
Nota
Le configurazioni errate dell'ACL non producono errori espliciti durante il recupero. Il recupero non riesce a essere chiuso: i documenti interessati vengono omessi automaticamente, quindi una query restituisce un numero inferiore o nullo di risultati anziché un errore. Utilizza i controlli di verifica sopra riportati per diagnosticare questi problemi.
| Caratteristiche | Causa probabile | Correggere |
|---|---|---|
| Recupera restituisce 0 risultati, ma l'utente ha accesso in Google Drive. | Domain-wide la delega non è configurata o all'account del servizio mancano gli ambiti richiesti, quindi l'accesso non può essere verificato. | Autorizza l'ID client dell'account di servizio per gli ambiti Drive e Admin SDK richiesti nella console di amministrazione di Google Workspace. |
| Group-based l'accesso non è rispettato. | L'ambito di directory/group lettura dell'Admin SDK non è presente nella delega. | Aggiungi l'ambito di lettura del gruppo Admin SDK alla delega a livello di dominio dell'account di servizio. |
| La scansione o la sincronizzazione non riescono. | clientEmail/non privateKey è valido o non adminAccountEmail è un amministratore di Workspace. |
Verifica le credenziali dell'account di servizio e che adminAccountEmail sia un amministratore di Workspace. |
| Tutti gli utenti vengono rifiutati dopo aver lavorato in precedenza. | La chiave dell'account del servizio è stata ruotata o revocata. | Aggiorna il file privateKey in the secret. |