As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Definir configurações de segurança para a base de conhecimento
Depois de criar uma base de conhecimento, talvez você precise definir as seguintes configurações de segurança:
**Topics**
+ [Configurar políticas de acesso a dados para a base de conhecimento](#kb-create-security-data)
+ [Configure políticas de acesso à rede para sua base de conhecimento Amazon OpenSearch Serverless](#kb-create-security-network)
## Configurar políticas de acesso a dados para a base de conhecimento
Se você estiver usando um [perfil personalizado](kb-permissions.md), defina configurações de segurança para a base de conhecimento recém-criada. Se permitir que o Amazon Bedrock crie uma função de serviço para você, ignore essa etapa. Siga as etapas na guia correspondente ao banco de dados que você configurou.
------
#### [ Amazon OpenSearch Serverless ]
Para restringir o acesso à coleção Amazon OpenSearch Serverless à função de serviço da base de conhecimento, crie uma política de acesso a dados. Você pode fazer isso assim:
+ Use o console do Amazon OpenSearch Service seguindo as etapas em [Criação de políticas de acesso a dados (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-console) no Amazon OpenSearch Service Developer Guide.
+ Use a AWS API enviando uma [CreateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateAccessPolicy.html)solicitação com um endpoint [OpenSearch sem servidor](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Para ver um AWS CLI exemplo, consulte [Criação de políticas de acesso a dados (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).
Use a seguinte política de acesso a dados, especificando a coleção Amazon OpenSearch Serverless e sua função de serviço:
```
[
{
"Description": "{{${data access policy description}}}",
"Rules": [
{
"Resource": [
"index/{{${collection_name}}}/*"
],
"Permission": [
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::{{${account-id}}}:role/{{${kb-service-role}}}"
]
}
]
```
------
#### [ Pinha, Nuvem empresarial Redis or MongoDB Atlas ]
Para integrar um índice vetorial MongoDB Atlas PineconeRedis Enterprise Cloud, anexe a seguinte política baseada em identidade à sua função de serviço da base de conhecimento para permitir que ela acesse AWS Secrets Manager o segredo do índice vetorial.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{${secret-id}}}"
}
}
}]
}
```
------
------
## Configure políticas de acesso à rede para sua base de conhecimento Amazon OpenSearch Serverless
Se você usar uma coleção privada Amazon OpenSearch Serverless para sua base de conhecimento, ela só poderá ser acessada por meio de um VPC endpoint AWS PrivateLink . Você pode criar uma coleção privada Amazon OpenSearch Serverless ao [configurar sua coleção vetorial Amazon OpenSearch Serverless ou pode tornar privada uma coleção](knowledge-base-setup.md) Amazon OpenSearch Serverless existente (incluindo uma que o console Amazon Bedrock criou para você) ao configurar sua política de acesso à rede.
Os seguintes recursos no Amazon OpenSearch Service Developer Guide ajudarão você a entender a configuração necessária para coleções privadas do Amazon OpenSearch Serverless:
+ Para obter mais informações sobre como configurar um VPC endpoint para uma coleção privada do Amazon OpenSearch Serverless, consulte Acessar o Amazon Serverless usando um endpoint de [ OpenSearch interface](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html) ().AWS PrivateLink
+ Para obter mais informações sobre políticas de acesso à rede no Amazon OpenSearch Serverless, consulte [Acesso à rede para Amazon OpenSearch ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html) Serverless.
Para permitir que uma base de conhecimento do Amazon Bedrock acesse uma coleção privada do Amazon OpenSearch Serverless, você deve editar a política de acesso à rede da OpenSearch coleção Amazon Serverless para permitir que o Amazon Bedrock seja um serviço de origem. Escolha a guia correspondente ao método de sua preferência e siga as etapas:
------
#### [ Console ]
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. No painel de navegação à esquerda, selecione **Coleções**. Em seguida, escolha a coleção.
1. Na seção **Rede**, selecione a **Política associada**.
1. Escolha **Editar**.
1. Em **Selecionar método de definição de política**, faça o seguinte:
+ Deixe **Selecionar método de definição de política** como **Editor visual** e defina as seguintes configurações na seção **Regra 1**:
1. (Opcional) No campo **Nome da regra**, insira um nome para a regra de acesso à rede.
1. Em **Acessar coleções de**, selecione **Privado (recomendado)**.
1. Selecione **Acesso privado ao serviço da AWS **. Na caixa de texto, digite **bedrock.amazonaws.com**.
1. Desmarque **Habilitar acesso aos OpenSearch painéis**.
+ Escolha **JSON** e cole a política a seguir no **editor JSON**.
```
[
{
"AllowFromPublic": false,
"Description":"{{${network access policy description}}}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/{{${collection-id}}}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
1. Selecione **Atualizar**.
------
#### [ API ]
Para editar a política de acesso à rede para sua coleção Amazon OpenSearch Serverless, faça o seguinte:
1. Envie uma [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)solicitação com um [OpenSearch endpoint sem servidor](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Especifique o `name` da política e o `type` como `network`. Observe o `policyVersion` na resposta.
1. Envie uma [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)solicitação com um [OpenSearch endpoint sem servidor](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-service-regions). Especifique pelo menos os seguintes campos:
****
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/kb-create-security.html)
```
[
{
"AllowFromPublic": false,
"Description":"{{${network access policy description}}}",
"Rules":[
{
"ResourceType": "collection",
"Resource":[
"collection/{{${collection-id}}}"
]
}
],
"SourceServices":[
"bedrock.amazonaws.com"
]
}
]
```
Para ver um AWS CLI exemplo, consulte [Criação de políticas de acesso a dados (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html#serverless-data-access-cli).
------
+ Use o console do Amazon OpenSearch Service seguindo as etapas em [Criação de políticas de rede (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html#serverless-network-console). Em vez de criar uma política de rede, observe a **Política associada** na subseção **Rede** dos detalhes da coleção.