

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Document-level controles de acesso
<a name="kb-managed-ds-googledrive-acl"></a>

**O reconhecimento da ACL não é autorização**  
A Base de Conhecimento Gerenciada Bedrock fornece ACL-aware filtragem, não um limite de segurança. A Base de Conhecimento Gerenciada da Bedrock não autentica usuários finais — seu aplicativo é responsável por autenticar usuários e transmitir o contexto de identidade verificado. Como a Base de Conhecimento Gerenciada da Bedrock não pode verificar a autenticidade do contexto de usuário que você fornece, esse recurso filtra os resultados com base na identidade que você fornece, mas não constitui uma autorização verdadeira. Você não deve confiar nesse recurso como um único mecanismo de controle de acesso sem a autenticação upstream.

As fontes de dados do Google Drive oferecem suporte opcional ao controle de acesso em nível de documento. Quando ativada, a Base de Conhecimento Gerenciada da Bedrock sincroniza as listas de controle de acesso (ACLs) do Google Drive durante cada rastreamento e verifica as permissões de cada usuário no momento da consulta, para que os usuários vejam apenas os resultados dos documentos que estão autorizados a acessar no Google Drive. Para obter uma visão geral do reconhecimento de ACL em todos os conectores, consulte. [Ativação de conscientização de listas de controle de acesso](kb-managed-acl.md)

## Como funciona
<a name="kb-managed-ds-googledrive-acl-how"></a>

Quando um usuário consulta uma base de conhecimento que usa uma fonte de dados ACL-enabled do Google Drive, a Base de Conhecimento Gerenciada da Bedrock impõe controles de acesso em dois estágios:
+ **Pre-retrieval filtragem** — A Base de Conhecimento Gerenciada da Bedrock aplica as listas de controle de acesso que foram sincronizadas do Google Drive durante o último rastreamento, retornando somente documentos candidatos que o usuário (ou seus grupos) tem permissão para acessar.
+ **Real-time verificação** — A Base de Conhecimento Gerenciada da Bedrock verifica os documentos candidatos em tempo real, verificando o acesso atual do usuário consultor no Google Drive. Somente os documentos que o usuário está atualmente autorizado a acessar são incluídos na resposta.

Essa abordagem em dois estágios fornece controle de acesso em nível de documento que permanece atualizado mesmo quando as permissões do Google Drive mudam entre as sincronizações.

## O que é rastejado
<a name="kb-managed-ds-googledrive-acl-crawl"></a>

Quando as ACLs estão ativadas, a Base de Conhecimento Gerenciada da Bedrock rastreia as permissões de compartilhamento em nível de arquivo do Google Drive, incluindo:
+ Compartilhamentos diretos de usuários (permissões de arquivo individuais)
+ Associações ao Google Groups
+ Assinaturas do Shared Drive

## Habilite o reconhecimento da ACL
<a name="kb-managed-ds-googledrive-acl-enable"></a>

Para ativar o reconhecimento de ACL para uma fonte de dados do Google Drive, `aclEnabled` defina `true` como `connectorParameters` e use o tipo de `SERVICE_ACCOUNT` autenticação. A conta de serviço precisa ter a delegação em todo o domínio ativada no console de administração do Google Workspace.

**Importante**  
A configuração da ACL é permanente. Você não pode habilitar ACLs em uma fonte de dados criada sem suporte a ACL e não pode desabilitar ACLs depois de ativadas.

O AWS Secrets Manager segredo deve incluir `adminAccountEmail``clientEmail`, `privateKey` e. Para obter instruções passo a passo sobre como criar a conta de serviço, configurar a delegação em todo o domínio e obter esses valores, consulte. [Configurar a autenticação da conta de serviço para o Google Drive](kb-managed-googledrive-service-account-setup.md)

```
"connectorParameters": {
    "type": "GOOGLEDRIVE",
    "version": "1",
    "aclEnabled": true,
    "connectionConfiguration": {
        "authType": "SERVICE_ACCOUNT",
        "secretArn": "{{arn:aws:secretsmanager:region:account-id:secret:secret-name}}"
    },
    "dataEntityConfiguration": {
        "crawlMyDrive": true,
        "crawlSharedWithMe": false,
        "crawlSharedDrives": false
    }
}
```

**nota**  
O tipo de `OAUTH2` autenticação não é compatível com fontes de dados ACL-enabled do Google Drive. Você deve usar `SERVICE_ACCOUNT` com delegação em todo o domínio.

## Real-time verificação de acesso
<a name="kb-managed-ds-googledrive-acl-realtime"></a>

A Base de Conhecimento Gerenciada da Bedrock usa a delegação de todo o domínio da conta de serviço para verificar o acesso aos documentos em tempo real com base na API do Google Drive, confirmando que o usuário consultor ainda tem acesso a cada documento candidato.

## Verificar sua configuração.
<a name="kb-managed-ds-googledrive-acl-verify"></a>

Você pode validar a configuração da sua conta de serviço independentemente de uma solicitação de recuperação. Execute cada uma das seguintes verificações:

1. **Domain-wide delegação**:
   + No Admin Console do Google Workspace, confirme se o ID do cliente da conta de serviço está autorizado para os escopos necessários (somente leitura do Google Drive e escopos de leitura do SDK directory/group Admin).

1. **Acesso ao Drive (rastreamento e verificação**):
   + Usando a conta de serviço (`clientEmail`e`privateKey`) personificando`adminAccountEmail`, chame a API do Google Drive para listar os arquivos de um usuário e confirmar se a identidade foi bem-sucedida.

1. **Resolução do grupo**:
   + Chame a API Admin SDK Directory para listar as associações de grupos de um usuário e confirmar se ela retorna os grupos esperados.

## Solução de problemas
<a name="kb-managed-ds-googledrive-acl-troubleshooting"></a>

**nota**  
As configurações incorretas da ACL não produzem erros explícitos durante a recuperação. Falha na recuperação: os documentos afetados são omitidos silenciosamente, então uma consulta retorna menos ou zero resultados em vez de um erro. Use as verificações de verificação acima para diagnosticar esses problemas.


**ACL-enabled Sintomas, causas e correções do Google Drive**  

| Sintomas | Causa provável | Correção | 
| --- | --- | --- | 
| Recuperar retorna 0 resultados, mas o usuário tem acesso no Google Drive. | Domain-wide a delegação não está configurada ou a conta de serviço não tem os escopos necessários, portanto, o acesso não pode ser verificado. | Autorize o ID do cliente da conta de serviço para os escopos necessários do Drive e do SDK Admin no Admin Console do Google Workspace. | 
| Group-based o acesso não é honrado. | O escopo de directory/group leitura do SDK Admin está ausente da delegação. | Adicione o escopo de leitura do grupo Admin SDK à delegação de todo o domínio da conta de serviço. | 
| Falha no rastreamento ou na sincronização. | OclientEmail/privateKeyé inválido ou não adminAccountEmail é um administrador do Workspace. | Verifique as credenciais da conta de serviço e se adminAccountEmail é um administrador do Workspace. | 
| Todos os usuários são negados depois de trabalharem anteriormente. | A chave da conta de serviço foi rotacionada ou revogada. | Atualize o privateKey em segredo. | 