View a markdown version of this page

Configurazione delle autorizzazioni OpenSearch con un controllo granulare degli accessi - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni OpenSearch con un controllo granulare degli accessi

Sebbene facoltativo, ti consigliamo vivamente di abilitare il controllo granulare degli accessi per il tuo dominio. OpenSearch Utilizzando il controllo granulare degli accessi, è possibile utilizzare il controllo degli accessi basato sui ruoli, che consente di creare un OpenSearch ruolo con autorizzazioni specifiche e mapparlo al ruolo del servizio Knowledge Base. La mappatura concede alla Knowledge Base le autorizzazioni minime richieste che le consentono di accedere al dominio e all'indice ed eseguire operazioni sul dominio e sull'indice. OpenSearch

Per configurare e utilizzare il controllo granulare degli accessi:

  1. Assicurati che il OpenSearch dominio che stai utilizzando abbia abilitato il controllo granulare degli accessi.

  2. Per il tuo dominio che utilizza un controllo granulare degli accessi, configura le autorizzazioni con politiche mirate sotto forma di ruolo. OpenSearch

  3. Per il dominio per cui crei un ruolo, aggiungi una mappatura dei ruoli al ruolo di servizio per Knowledge Base.

I passaggi seguenti mostrano come configurare il OpenSearch ruolo e garantire la corretta mappatura tra il ruolo e il ruolo del servizio Knowledge Base. OpenSearch

Per creare un OpenSearch ruolo e configurare le autorizzazioni

Dopo aver abilitato il controllo granulare degli accessi e configurato Amazon Bedrock per la connessione al OpenSearch Servizio, puoi configurare le autorizzazioni utilizzando il link OpenSearch Dashboards per ogni dominio. OpenSearch

Per configurare le autorizzazioni per un dominio per consentire l’accesso ad Amazon Bedrock:

  1. Apri la OpenSearch dashboard per il OpenSearch dominio con cui vuoi lavorare. Per trovare il link alle dashboard, vai al dominio che hai creato nella console di OpenSearch servizio. Per i domini in esecuzione OpenSearch, l'URL ha il formato,. domain-endpoint/_dashboards/ Per ulteriori informazioni, consulta Dashboards nella guida per sviluppatori OpenSearch di Amazon Service.

  2. Nella OpenSearch Dashboard, scegli Sicurezza, quindi scegli Ruoli.

  3. Scegli Crea ruolo.

  4. Assegna un nome al ruolo, ad esempio kb_opensearch_role.

  5. In Autorizzazioni cluster, aggiungi le seguenti autorizzazioni:

    • indices:data/read/msearch

    • indices:data/write/bulk*

    • indices:data/read/mget*

  6. In Autorizzazioni indice, specifica un nome per l’indice vettoriale. Scegli Crea nuovo gruppo di autorizzazioni, quindi scegli Crea nuovo gruppo di azioni. Aggiungi le seguenti autorizzazioni a un gruppo di azioni, ad esempio KnowledgeBasesActionGroup. Aggiungi le seguenti autorizzazioni a un gruppo di azioni.

    • indices:admin/get

    • indices:data/read/msearch

    • indices:data/read/search

    • indices:data/write/index

    • indices:data/write/update

    • indices:data/write/delete

    • indices:data/write/delete/byquery

    • indices:data/write/bulk*

    • indices:admin/mapping/put

    • indices:data/read/mget*

    I gruppi di azioni da creare nelle OpenSearch dashboard per aggiungere le autorizzazioni di cluster e indice.

  7. Scegli Crea per creare il ruolo. OpenSearch

Di seguito viene illustrato un OpenSearch ruolo di esempio con le autorizzazioni aggiunte.

Un OpenSearch ruolo di esempio nelle OpenSearch dashboard con le autorizzazioni aggiunte.
Come creare una mappatura dei ruoli in base al ruolo di servizio per Knowledge Base

  1. Identifica il ruolo IAM da mappare.

    • Se hai creato un ruolo IAM personalizzato, puoi copiarne l’ARN dalla console IAM.

    • Se consenti a Knowledge Base di creare automaticamente il ruolo, prendi nota del ruolo ARN quando crei la knowledge base, quindi copialo.

  2. Apri la OpenSearch dashboard per il OpenSearch dominio con cui vuoi lavorare. Il formato dell’URL è domain-endpoint/_dashboards/.

  3. Nel riquadro di navigazione scegli Sicurezza.

  4. Cerca il ruolo che hai creato nell’elenco, ad esempio kb_opensearch_role, e aprilo.

  5. Nella scheda Utenti mappati, scegli Gestisci mappatura.

  6. Nella sezione Ruoli di backend, inserisci l'ARN del ruolo IAM gestito per AWS le Knowledge Bases. A seconda che tu abbia creato il tuo ruolo personalizzato o lasciato che Knowledge Base creasse il ruolo per te, copia le informazioni ARN del ruolo dalla console IAM o dalla console Amazon Bedrock, quindi inserisci tali informazioni per i ruoli di backend nella console. OpenSearch Di seguito è riportato un esempio.

    arn:aws:iam::<accountId>:role/service-role/<knowledge-base-service-role>

  7. Scegli Mappa.

    Il ruolo del servizio Knowledge Base può ora connettersi al OpenSearch ruolo ed eseguire le operazioni richieste sul dominio e sull'indice.