기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
문서 수준 액세스 제어
ACL 인식은 권한 부여가 아닙니다.
Bedrock 관리형 지식 기반은 보안 경계가 아닌 ACL 인식 필터링을 제공합니다. Bedrock 관리형 지식 기반은 최종 사용자를 인증하지 않습니다. 애플리케이션은 사용자를 인증하고 확인된 자격 증명 컨텍스트를 전달할 책임이 있습니다. Bedrock 관리형 지식 기반은 사용자가 제공한 사용자 컨텍스트의 신뢰성을 확인할 수 없으므로이 기능은 사용자가 제공한 자격 증명을 기반으로 결과를 필터링하지만 실제 권한 부여를 구성하지는 않습니다. 업스트림 인증 없이이 기능을 유일한 액세스 제어 메커니즘으로 사용해서는 안 됩니다.
Confluence 데이터 소스는 선택적으로 문서 수준 액세스 제어를 지원합니다. 활성화된 경우 Bedrock 관리형 지식 기반은 각 크롤링 중에 Confluence의 액세스 제어 목록(ACLs)을 동기화하고 쿼리 시 각 사용자의 권한을 확인하므로 사용자는 Confluence에서 액세스할 수 있는 권한이 부여된 문서의 결과만 볼 수 있습니다. 모든 커넥터의 ACL 인식에 대한 개요는 섹션을 참조하세요액세스 제어 목록 인식 활성화.
작동 방식
사용자가 ACL 지원 Confluence 데이터 소스를 사용하는 지식 기반을 쿼리하면 Bedrock 관리형 지식 기반은 두 단계로 액세스 제어를 적용합니다.
-
사전 검색 필터링 - Bedrock 관리형 지식 기반은 마지막 크롤링 중에 Confluence에서 동기화된 액세스 제어 목록을 적용하여 사용자(또는 해당 그룹)가 액세스할 수 있는 후보 문서만 반환합니다.
-
실시간 확인 - Bedrock 관리형 지식 기반은 Confluence에서 쿼리 사용자의 현재 액세스를 확인하여 후보 문서를 실시간으로 확인합니다. 현재 사용자에게 액세스 권한이 부여된 문서만 응답에 포함됩니다.
이 2단계 접근 방식은 동기화 간에 Confluence 권한이 변경되더라도 최신 상태를 유지하는 문서 수준 액세스 제어를 제공합니다.
크롤링되는 항목
ACLs 활성화되면 Bedrock 관리형 지식 기반은 Confluence에서 다음 권한 구조를 크롤링합니다.
스페이스 - 스페이스 권한은 기본적으로 스페이스의 모든 문서에 적용됩니다.
페이지 - 페이지를 특정 사용자 및 그룹으로 제한할 수 있습니다. 중첩된 페이지는 상위 페이지에서 제한을 상속합니다.
블로그 - 블로그 게시물은 특정 사용자 및 그룹으로 제한될 수 있습니다.
첨부 파일 - 페이지 또는 블로그 게시물에 연결된 파일은 상위 문서의 액세스 제어를 상속합니다.
ACL 인식 활성화
Confluence 데이터 소스에 대한 ACL 인식을 활성화하려면 true에서 BASIC를 aclEnabled로 설정하고 인증 유형을 connectorParameters 사용합니다. 보안 암호에는 표준 이메일 및 API 토큰 외에도 Atlassian 조직 관리자 자격 증명이 포함되어야 합니다. 이러한 관리자 자격 증명은 자격 증명 크롤링에 필요합니다.
중요
ACL 구성은 영구적입니다. ACLs 지원 없이 생성된 데이터 소스에서는 ACL을 활성화할 수 없으며 활성화한 후에는 ACLs 비활성화할 수 없습니다.
보안 AWS Secrets Manager 암호에는 표준 username, password (API 토큰) 및 hostUrl 필드 외에도 다음과 같은 조직 관리자 필드가 포함되어야 합니다. 이러한 값을 얻기 위한 step-by-step 지침은 섹션을 참조하세요Confluence에 대한 기본 인증 설정.
adminApiKey-read:directories:admin및read:workspaces:admin범위가 있는 Atlassian 조직 API 키입니다.organizationId- Atlassian 조직의 UUID입니다.directoryId- Confluence 워크스페이스에 대한 사용자 디렉터리의 UUID입니다.
참고
OAUTH2 인증 유형은 ACL 지원 Confluence 데이터 소스에서 지원되지 않습니다. 보안 암호에서 Atlassian 조직 관리자 자격 증명과 BASIC 함께를 사용해야 합니다.
실시간 액세스 확인
Bedrock Managed Knowledge Base는 보안 암호에 구성된 Atlassian Admin API 토큰을 사용하여 쿼리 시간에 Confluence에 대해 각 후보 문서를 완전히 서버 측에서 확인합니다. 최종 사용자 로그인은 없습니다. 관리자 토큰은 쿼리 사용자의 현재 스페이스, 페이지 및 블로그 제한을 확인하므로 마지막 크롤링 이후 수행된 액세스 변경 사항이 적용됩니다.
구성 확인
검색 요청과 독립적으로 자격 증명을 검증할 수 있습니다. 다음 각 검사를 수행합니다.
-
Confluence 콘텐츠 액세스(크롤링):
보안 암호의
username및 API 토큰(password)을 사용하여 Confluence REST API(예: 목록 공백)를 호출하고 HTTP 200을 반환하는지 확인합니다.
-
Atlassian Admin API(자격 증명 크롤링 및 실시간 확인):
에
read:directories:admin및read:workspaces:admin범위가adminApiKey있는지 확인합니다.를 사용하여
organizationId및에 대한 Atlassian 관리자 디렉터리 API를adminApiKey호출directoryId하고 조직의 사용자 및 그룹을 반환하는지 확인합니다.
문제 해결
참고
ACL 구성 오류는 검색 중에 명시적 오류를 생성하지 않습니다. 검색 실패 닫힘: 영향을 받는 문서는 자동으로 생략되므로 쿼리는 오류가 아닌 더 적거나 0의 결과를 반환합니다. 위의 확인 검사를 사용하여 이러한 문제를 진단합니다.
| 증상 | 가능한 원인 | 수정 |
|---|---|---|
| 검색은 0개의 결과를 반환하지만 사용자는 Confluence에서 액세스할 수 있습니다. | Atlassian Admin API 키에 범위가 없거나 organizationId/directoryId가 잘못되어 사용자 및 그룹 제한을 해결할 수 없습니다. |
에 adminApiKey read:directories:admin 및 read:workspaces:admin가 있고 organizationId 및 directoryId가 올바른지 확인합니다. |
| 크롤링 또는 동기화가 실패합니다. | username 또는 API 토큰(password)이 잘못되었습니다. |
보안 암호에서 BASIC 사용자 이름과 API 토큰을 확인합니다. |
| 이전에 작업한 후에는 모든 사용자가 거부됩니다. | API 토큰 또는 관리자 API 키가 만료되었거나 취소되었습니다. | 보안 암호에서 영향을 받는 자격 증명을 교체합니다. |