

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Document-level controlli di accesso
<a name="kb-managed-ds-googledrive-acl"></a>

**La consapevolezza ACL non è un'autorizzazione**  
Bedrock Managed Knowledge Base fornisce un ACL-aware filtro, non un limite di sicurezza. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione è responsabile dell'autenticazione degli utenti e del passaggio del contesto di identità verificato. Poiché Bedrock Managed Knowledge Base non è in grado di verificare l'autenticità del contesto utente fornito, questa funzione filtra i risultati in base all'identità fornita ma non costituisce una vera autorizzazione. Non devi fare affidamento su questa funzionalità come unico meccanismo di controllo degli accessi senza l'autenticazione a monte.

Le fonti di dati di Google Drive supportano facoltativamente il controllo degli accessi a livello di documento. Se abilitata, Bedrock Managed Knowledge Base sincronizza gli elenchi di controllo degli accessi (ACL) da Google Drive durante ogni scansione e verifica le autorizzazioni di ciascun utente al momento della query, in modo che gli utenti vedano solo i risultati dei documenti a cui sono autorizzati ad accedere in Google Drive. Per una panoramica del riconoscimento ACL su tutti i connettori, consulta. [Attivazione del riconoscimento delle liste di controllo degli accessi](kb-managed-acl.md)

## Come funziona
<a name="kb-managed-ds-googledrive-acl-how"></a>

Quando un utente esegue una query su una knowledge base che utilizza un'origine dati ACL-enabled Google Drive, Bedrock Managed Knowledge Base applica i controlli di accesso in due fasi:
+ **Pre-retrieval filtraggio**: Bedrock Managed Knowledge Base applica gli elenchi di controllo degli accessi sincronizzati da Google Drive durante l'ultima scansione, restituendo solo i documenti candidati a cui l'utente (o i relativi gruppi) è autorizzato a accedere.
+ **Real-time verifica**: Bedrock Managed Knowledge Base verifica i documenti dei candidati in tempo reale controllando l'accesso corrente dell'utente che effettua la query in Google Drive. Nella risposta sono inclusi solo i documenti a cui l'utente è attualmente autorizzato ad accedere.

Questo approccio in due fasi offre un controllo degli accessi a livello di documento che rimane aggiornato anche quando le autorizzazioni di Google Drive cambiano tra una sincronizzazione e l'altra.

## Cosa viene sottoposto a scansione
<a name="kb-managed-ds-googledrive-acl-crawl"></a>

Quando gli ACL sono abilitati, Bedrock Managed Knowledge Base esegue la scansione delle autorizzazioni di condivisione a livello di file da Google Drive, tra cui:
+ Condivisioni dirette degli utenti (autorizzazioni per singoli file)
+ Abbonamenti a Google Groups
+ Abbonamenti a Shared Drive

## Abilita il riconoscimento ACL
<a name="kb-managed-ds-googledrive-acl-enable"></a>

Per abilitare il riconoscimento ACL per un'origine dati di Google Drive, imposta `aclEnabled` `true` in `connectorParameters` e utilizza il tipo di `SERVICE_ACCOUNT` autenticazione. L'account di servizio deve avere la delega a livello di dominio abilitata nella console di amministrazione di Google Workspace.

**Importante**  
La configurazione ACL è permanente. Non è possibile abilitare gli ACL su un'origine dati creata senza il supporto ACL e non è possibile disabilitare gli ACL una volta abilitati.

Il AWS Secrets Manager segreto deve includere`adminAccountEmail`, e`clientEmail`. `privateKey` Per istruzioni dettagliate su come creare l'account di servizio, configurare la delega a livello di dominio e ottenere questi valori, vedere. [Configurare l'autenticazione dell'account di servizio per Google Drive](kb-managed-googledrive-service-account-setup.md)

```
"connectorParameters": {
    "type": "GOOGLEDRIVE",
    "version": "1",
    "aclEnabled": true,
    "connectionConfiguration": {
        "authType": "SERVICE_ACCOUNT",
        "secretArn": "{{arn:aws:secretsmanager:region:account-id:secret:secret-name}}"
    },
    "dataEntityConfiguration": {
        "crawlMyDrive": true,
        "crawlSharedWithMe": false,
        "crawlSharedDrives": false
    }
}
```

**Nota**  
Il tipo di `OAUTH2` autenticazione non è supportato per le fonti di dati di Google Drive. ACL-enabled È necessario utilizzare `SERVICE_ACCOUNT` con delega a livello di dominio.

## Real-time verifica dell'accesso
<a name="kb-managed-ds-googledrive-acl-realtime"></a>

Bedrock Managed Knowledge Base utilizza la delega a livello di dominio dell'account di servizio per verificare l'accesso ai documenti in tempo reale tramite l'API di Google Drive, confermando che l'utente che effettua la richiesta ha ancora accesso a ciascun documento candidato.

## Verifica la tua configurazione
<a name="kb-managed-ds-googledrive-acl-verify"></a>

È possibile convalidare la configurazione dell'account di servizio indipendentemente da una richiesta di recupero. Eseguite ciascuno dei seguenti controlli:

1. **Domain-wide delegazione**:
   + Nella console di amministrazione di Google Workspace, verifica che l'ID client dell'account di servizio sia autorizzato per gli ambiti richiesti (ambiti di sola lettura Google Drive e ambiti di lettura Admin SDK directory/group ).

1. **Accesso a Drive** (scansione e verifica):
   + Utilizzando l'account del servizio (`clientEmail`e`privateKey`) l'impersonificazione`adminAccountEmail`, richiama l'API di Google Drive per elencare i file di un utente e confermare che l'operazione abbia esito positivo.

1. **Risoluzione di gruppo:**
   + Chiama l'API Admin SDK Directory per elencare le appartenenze ai gruppi di un utente e confermare che restituisca i gruppi previsti.

## Risoluzione dei problemi
<a name="kb-managed-ds-googledrive-acl-troubleshooting"></a>

**Nota**  
Le configurazioni errate dell'ACL non producono errori espliciti durante il recupero. Il recupero non riesce a essere chiuso: i documenti interessati vengono omessi automaticamente, quindi una query restituisce un numero inferiore o nullo di risultati anziché un errore. Utilizza i controlli di verifica sopra riportati per diagnosticare questi problemi.


**ACL-enabled Sintomi, cause e correzioni di Google Drive**  

| Caratteristiche | Causa probabile | Correggere | 
| --- | --- | --- | 
| Recupera restituisce 0 risultati, ma l'utente ha accesso in Google Drive. | Domain-wide la delega non è configurata o all'account del servizio mancano gli ambiti richiesti, quindi l'accesso non può essere verificato. | Autorizza l'ID client dell'account di servizio per gli ambiti Drive e Admin SDK richiesti nella console di amministrazione di Google Workspace. | 
| Group-based l'accesso non è rispettato. | L'ambito di directory/group lettura dell'Admin SDK non è presente nella delega. | Aggiungi l'ambito di lettura del gruppo Admin SDK alla delega a livello di dominio dell'account di servizio. | 
| La scansione o la sincronizzazione non riescono. | clientEmail/non privateKey è valido o non adminAccountEmail è un amministratore di Workspace. | Verifica le credenziali dell'account di servizio e che adminAccountEmail sia un amministratore di Workspace. | 
| Tutti gli utenti vengono rifiutati dopo aver lavorato in precedenza. | La chiave dell'account del servizio è stata ruotata o revocata. | Aggiorna il file privateKey in the secret. | 