View a markdown version of this page

Document-level controlli di accesso - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Document-level controlli di accesso

La consapevolezza ACL non è un'autorizzazione

Bedrock Managed Knowledge Base fornisce un ACL-aware filtro, non un limite di sicurezza. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione è responsabile dell'autenticazione degli utenti e del passaggio del contesto di identità verificato. Poiché Bedrock Managed Knowledge Base non è in grado di verificare l'autenticità del contesto utente fornito, questa funzione filtra i risultati in base all'identità fornita ma non costituisce una vera autorizzazione. Non devi fare affidamento su questa funzionalità come unico meccanismo di controllo degli accessi senza l'autenticazione a monte.

Le fonti di dati di Google Drive supportano facoltativamente il controllo degli accessi a livello di documento. Se abilitata, Bedrock Managed Knowledge Base sincronizza gli elenchi di controllo degli accessi (ACL) da Google Drive durante ogni scansione e verifica le autorizzazioni di ciascun utente al momento della query, in modo che gli utenti vedano solo i risultati dei documenti a cui sono autorizzati ad accedere in Google Drive. Per una panoramica del riconoscimento ACL su tutti i connettori, consulta. Attivazione del riconoscimento delle liste di controllo degli accessi

Come funziona

Quando un utente esegue una query su una knowledge base che utilizza un'origine dati ACL-enabled Google Drive, Bedrock Managed Knowledge Base applica i controlli di accesso in due fasi:

  • Pre-retrieval filtraggio: Bedrock Managed Knowledge Base applica gli elenchi di controllo degli accessi sincronizzati da Google Drive durante l'ultima scansione, restituendo solo i documenti candidati a cui l'utente (o i relativi gruppi) è autorizzato a accedere.

  • Real-time verifica: Bedrock Managed Knowledge Base verifica i documenti dei candidati in tempo reale controllando l'accesso corrente dell'utente che effettua la query in Google Drive. Nella risposta sono inclusi solo i documenti a cui l'utente è attualmente autorizzato ad accedere.

Questo approccio in due fasi offre un controllo degli accessi a livello di documento che rimane aggiornato anche quando le autorizzazioni di Google Drive cambiano tra una sincronizzazione e l'altra.

Cosa viene sottoposto a scansione

Quando gli ACL sono abilitati, Bedrock Managed Knowledge Base esegue la scansione delle autorizzazioni di condivisione a livello di file da Google Drive, tra cui:

  • Condivisioni dirette degli utenti (autorizzazioni per singoli file)

  • Abbonamenti a Google Groups

  • Abbonamenti a Shared Drive

Abilita il riconoscimento ACL

Per abilitare il riconoscimento ACL per un'origine dati di Google Drive, imposta aclEnabled true in connectorParameters e utilizza il tipo di SERVICE_ACCOUNT autenticazione. L'account di servizio deve avere la delega a livello di dominio abilitata nella console di amministrazione di Google Workspace.

Importante

La configurazione ACL è permanente. Non è possibile abilitare gli ACL su un'origine dati creata senza il supporto ACL e non è possibile disabilitare gli ACL una volta abilitati.

Il AWS Secrets Manager segreto deve includereadminAccountEmail, eclientEmail. privateKey Per istruzioni dettagliate su come creare l'account di servizio, configurare la delega a livello di dominio e ottenere questi valori, vedere. Configurare l'autenticazione dell'account di servizio per Google Drive

"connectorParameters": { "type": "GOOGLEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "authType": "SERVICE_ACCOUNT", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name" }, "dataEntityConfiguration": { "crawlMyDrive": true, "crawlSharedWithMe": false, "crawlSharedDrives": false } }
Nota

Il tipo di OAUTH2 autenticazione non è supportato per le fonti di dati di Google Drive. ACL-enabled È necessario utilizzare SERVICE_ACCOUNT con delega a livello di dominio.

Real-time verifica dell'accesso

Bedrock Managed Knowledge Base utilizza la delega a livello di dominio dell'account di servizio per verificare l'accesso ai documenti in tempo reale tramite l'API di Google Drive, confermando che l'utente che effettua la richiesta ha ancora accesso a ciascun documento candidato.

Verifica la tua configurazione

È possibile convalidare la configurazione dell'account di servizio indipendentemente da una richiesta di recupero. Eseguite ciascuno dei seguenti controlli:

  1. Domain-wide delegazione:

    • Nella console di amministrazione di Google Workspace, verifica che l'ID client dell'account di servizio sia autorizzato per gli ambiti richiesti (ambiti di sola lettura Google Drive e ambiti di lettura Admin SDK directory/group ).

  2. Accesso a Drive (scansione e verifica):

    • Utilizzando l'account del servizio (clientEmaileprivateKey) l'impersonificazioneadminAccountEmail, richiama l'API di Google Drive per elencare i file di un utente e confermare che l'operazione abbia esito positivo.

  3. Risoluzione di gruppo:

    • Chiama l'API Admin SDK Directory per elencare le appartenenze ai gruppi di un utente e confermare che restituisca i gruppi previsti.

Risoluzione dei problemi

Nota

Le configurazioni errate dell'ACL non producono errori espliciti durante il recupero. Il recupero non riesce a essere chiuso: i documenti interessati vengono omessi automaticamente, quindi una query restituisce un numero inferiore o nullo di risultati anziché un errore. Utilizza i controlli di verifica sopra riportati per diagnosticare questi problemi.

ACL-enabled Sintomi, cause e correzioni di Google Drive
Caratteristiche Causa probabile Correggere
Recupera restituisce 0 risultati, ma l'utente ha accesso in Google Drive. Domain-wide la delega non è configurata o all'account del servizio mancano gli ambiti richiesti, quindi l'accesso non può essere verificato. Autorizza l'ID client dell'account di servizio per gli ambiti Drive e Admin SDK richiesti nella console di amministrazione di Google Workspace.
Group-based l'accesso non è rispettato. L'ambito di directory/group lettura dell'Admin SDK non è presente nella delega. Aggiungi l'ambito di lettura del gruppo Admin SDK alla delega a livello di dominio dell'account di servizio.
La scansione o la sincronizzazione non riescono. clientEmail/non privateKey è valido o non adminAccountEmail è un amministratore di Workspace. Verifica le credenziali dell'account di servizio e che adminAccountEmail sia un amministratore di Workspace.
Tutti gli utenti vengono rifiutati dopo aver lavorato in precedenza. La chiave dell'account del servizio è stata ruotata o revocata. Aggiorna il file privateKey in the secret.