기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
문서 수준 액세스 제어
ACL 인식은 권한 부여가 아닙니다.
Bedrock 관리형 지식 기반은 보안 경계가 아닌 ACL 인식 필터링을 제공합니다. Bedrock 관리형 지식 기반은 최종 사용자를 인증하지 않습니다. 애플리케이션은 사용자를 인증하고 확인된 자격 증명 컨텍스트를 전달할 책임이 있습니다. Bedrock 관리형 지식 기반은 사용자가 제공한 사용자 컨텍스트의 신뢰성을 확인할 수 없으므로이 기능은 사용자가 제공한 자격 증명을 기반으로 결과를 필터링하지만 실제 권한 부여를 구성하지는 않습니다. 업스트림 인증 없이이 기능을 유일한 액세스 제어 메커니즘으로 사용해서는 안 됩니다.
Google Drive 데이터 소스는 선택적으로 문서 수준 액세스 제어를 지원합니다. 활성화된 경우 Bedrock 관리형 지식 기반은 각 크롤링 중에 Google Drive의 액세스 제어 목록(ACLs)을 동기화하고 쿼리 시 각 사용자의 권한을 확인하므로 사용자는 Google Drive에서 액세스할 수 있는 권한이 부여된 문서의 결과만 볼 수 있습니다. 모든 커넥터의 ACL 인식에 대한 개요는 섹션을 참조하세요액세스 제어 목록 인식 활성화.
작동 방식
사용자가 ACL 지원 Google Drive 데이터 소스를 사용하는 지식 기반을 쿼리하면 Bedrock 관리형 지식 기반은 두 단계로 액세스 제어를 적용합니다.
-
사전 검색 필터링 - Bedrock 관리형 지식 기반은 마지막 크롤링 중에 Google Drive에서 동기화된 액세스 제어 목록을 적용하여 사용자(또는 해당 그룹)가 액세스할 수 있는 후보 문서만 반환합니다.
-
실시간 확인 - Bedrock 관리형 지식 기반은 Google Drive에서 쿼리 사용자의 현재 액세스를 확인하여 후보 문서를 실시간으로 확인합니다. 현재 사용자에게 액세스 권한이 부여된 문서만 응답에 포함됩니다.
이 2단계 접근 방식은 Google Drive 권한이 동기화 간에 변경되더라도 최신 상태를 유지하는 문서 수준 액세스 제어를 제공합니다.
크롤링되는 항목
ACLs 활성화되면 Bedrock 관리형 지식 기반은 다음을 포함하여 Google Drive에서 파일 수준 공유 권한을 크롤링합니다.
직접 사용자 공유(개별 파일 권한)
Google Groups 멤버십
공유 드라이브 멤버십
ACL 인식 활성화
Google Drive 데이터 소스에 대한 ACL 인식을 활성화하려면 true에서 SERVICE_ACCOUNT를 aclEnabled 로 설정하고 인증 유형을 connectorParameters 사용합니다. 서비스 계정에는 Google Workspace 관리자 콘솔에서 도메인 전체 위임이 활성화되어 있어야 합니다.
중요
ACL 구성은 영구적입니다. ACLs 지원 없이 생성된 데이터 소스에서는 ACL을 활성화할 수 없으며 활성화한 후에는 ACLs 비활성화할 수 없습니다.
AWS Secrets Manager 보안 암호에는 adminAccountEmail, 및 clientEmail가 포함되어야 합니다privateKey. 서비스 계정을 생성하고, 도메인 전체 위임을 구성하고, 이러한 값을 얻기 위한 step-by-step 지침은 섹션을 참조하세요Google Drive에 대한 서비스 계정 인증 설정.
"connectorParameters": { "type": "GOOGLEDRIVE", "version": "1", "aclEnabled": true, "connectionConfiguration": { "authType": "SERVICE_ACCOUNT", "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name" }, "dataEntityConfiguration": { "crawlMyDrive": true, "crawlSharedWithMe": false, "crawlSharedDrives": false } }
참고
OAUTH2 인증 유형은 ACL 지원 Google Drive 데이터 소스에서 지원되지 않습니다. 도메인 전체 위임과 SERVICE_ACCOUNT 함께를 사용해야 합니다.
실시간 액세스 확인
Bedrock Managed Knowledge Base는 서비스 계정의 도메인 전체 위임을 사용하여 Google Drive API에 대해 문서 액세스를 실시간으로 확인하여 쿼리 사용자가 여전히 각 후보 문서에 액세스할 수 있는지 확인합니다.
구성 확인
검색 요청과 독립적으로 서비스 계정 구성을 검증할 수 있습니다. 다음 각 검사를 수행합니다.
-
도메인 전체 위임:
Google Workspace Admin 콘솔에서 서비스 계정 클라이언트 ID가 필요한 범위(Google Drive 읽기 전용 및 Admin SDK 디렉터리/그룹 읽기 범위)에 대한 권한이 있는지 확인합니다.
-
드라이브 액세스(크롤링 및 확인):
를 가장하는 서비스 계정(
clientEmail및privateKey)을 사용하여 Google Drive API를adminAccountEmail호출하여 사용자의 파일을 나열하고 성공 여부를 확인합니다.
-
그룹 해상도:
Admin SDK Directory API를 호출하여 사용자의 그룹 멤버십을 나열하고 예상 그룹을 반환하는지 확인합니다.
문제 해결
참고
ACL 구성 오류는 검색 중에 명시적 오류를 생성하지 않습니다. 검색 실패 닫힘: 영향을 받는 문서는 자동으로 생략되므로 쿼리는 오류가 아닌 더 적거나 0의 결과를 반환합니다. 위의 확인 검사를 사용하여 이러한 문제를 진단합니다.
| 증상 | 가능한 원인 | 수정 |
|---|---|---|
| 검색은 0개의 결과를 반환하지만 사용자는 Google Drive에서 액세스할 수 있습니다. | 도메인 전체 위임이 구성되지 않았거나 서비스 계정에 필수 범위가 누락되어 액세스를 확인할 수 없습니다. | Google Workspace Admin 콘솔에서 필요한 Drive and Admin SDK 범위에 대한 서비스 계정 클라이언트 ID를 승인합니다. |
| 그룹 기반 액세스는 허용되지 않습니다. | 위임에서 Admin SDK 디렉터리/그룹 읽기 범위가 누락되었습니다. | Admin SDK 그룹 읽기 범위를 서비스 계정의 도메인 전체 위임에 추가합니다. |
| 크롤링 또는 동기화가 실패합니다. | clientEmail/privateKey가 유효하지 않거나 Workspace 관리자가 adminAccountEmail 아닙니다. |
서비스 계정 자격 증명 및 Workspace 관리자adminAccountEmail를 확인합니다. |
| 이전에 작업한 후에는 모든 사용자가 거부됩니다. | 서비스 계정 키가 교체되거나 취소되었습니다. | 보안 암호privateKey에서를 업데이트합니다. |