As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Pré-requisitos e permissões necessários para usar clusters OpenSearch gerenciados com as bases de conhecimento Amazon Bedrock
Esta seção mostra como configurar permissões se você estiver criando seu próprio banco de dados vetoriais com Amazon OpenSearch Service Managed Clusters. Essa configuração deve ser executada antes de você criar a base de conhecimento. As etapas pressupõem que você já tenha criado um domínio e um índice vetorial no Amazon OpenSearch Service. Para obter mais informações, consulte [Criação e gerenciamento OpenSearch de domínios de serviço](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) no *guia do desenvolvedor do Amazon OpenSearch Service*.
## Considerações importantes
A seguir estão algumas considerações importantes sobre o uso das bases de conhecimento do Amazon Bedrock com os clusters gerenciados do Amazon OpenSearch Service.
+ Antes de usar qualquer recurso de domínio em clusters OpenSearch gerenciados, você precisa configurar determinadas permissões e políticas de acesso do IAM. Para a integração das bases de conhecimento com clusters gerenciados, antes de executar as etapas desta seção, se seu domínio tiver uma política de acesso restritiva, você deverá conceder o acesso necessário ao IAM e configurar as políticas baseadas em recursos. Também recomendamos que você configure um controle de acesso refinado para reduzir o escopo das permissões.
+ Ao ingerir os dados da sua base de conhecimento, se você encontrar falhas, isso pode indicar uma capacidade insuficiente do OpenSearch domínio para lidar com a velocidade da ingestão. Para resolver esse problema, aumente a capacidade do seu domínio provisionando IOPS (operações de entrada/saída por segundo) mais altas e aumentando as configurações de throughput. Aguarde alguns minutos até que a nova capacidade seja provisionada e, em seguida, repita o processo de ingestão. Para verificar se o problema foi resolvido, você pode monitorar o desempenho durante o processo de nova tentativa. Se o controle de utilização ainda persistir, talvez seja necessário ajustar ainda mais a capacidade para melhorar a eficiência. Para obter mais informações, consulte [Melhores práticas operacionais para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/bp.html).
## Visão geral da configuração de permissões
Para a integração da base de conhecimento com clusters gerenciados, você precisa configurar as permissões de acesso do IAM e políticas baseadas em recursos a seguir. Recomendamos que você habilite políticas de acesso refinadas para controlar ainda mais o acesso do usuário e a granularidade de acordo com a qual o escopo do acesso deve ser reduzido em nível de propriedade.
As etapas a seguir apresentam uma visão geral abrangente sobre como configurar permissões.
1.
**Criar e usar um perfil de serviço da base de conhecimento**
Para as permissões que você deseja configurar, embora ainda possa fornecer um perfil personalizado, recomendamos que você especifique a opção para que as Bases de Conhecimento do Amazon Bedrock criem o perfil de serviço da base de conhecimento para você.
1.
**Configurar uma política baseada em recursos**
O OpenSearch domínio oferece suporte a políticas baseadas em recursos, que determinam quais diretores podem acessar e atuar no domínio. Para uso com as bases de conhecimento, garanta a configuração adequada da política baseada em recursos para seu domínio.
1.
***(Altamente recomendado)* Fornecer mapeamento de perfis para controle de acesso refinado**
Embora o controle de acesso refinado seja opcional, recomendamos que você o habilite para controlar a granularidade de acordo com a qual o escopo das permissões deve ser reduzido em nível de propriedade.
## Configurar políticas do IAM
A política de acesso do seu domínio deve conceder as permissões para realizar as ações de OpenSearch API necessárias pelas funções em sua conta.
Se o domínio tiver uma política de acesso restritivo, talvez seja necessário atualizá-lo da seguinte forma:
+ Ele deve conceder acesso ao serviço Amazon Bedrock e incluir as ações HTTP necessárias: `GET`, `POST`, `PUT` e `DELETE`.
+ Ele também deve conceder permissões ao Amazon Bedrock para realizar a ação `es:DescribeDomain` em seu recurso de índice. Isso permite que as Bases de Conhecimento do Amazon Bedrock realizem as validações necessárias ao configurar uma base de conhecimento.
## (Opcional) Controle de acesso refinado
O controle de acesso refinado pode controlar a granularidade de acordo com a qual o escopo das permissões deve ser reduzido em nível de propriedade. Você pode configurar as políticas de acesso refinadas para conceder as permissões de leitura e gravação necessárias ao perfil de serviço criado pelas bases de conhecimento.
Para configurar o controle de acesso refinado e fornecer o mapeamento de perfis:
1. Certifique-se de que o OpenSearch domínio que você criou tenha um controle de acesso refinado ativado.
1. Crie uma OpenSearch interface de usuário (painéis), caso ainda não tenha feito isso. Ela será usada para configurar o mapeamento de perfis.
1. Em seus OpenSearch painéis, crie uma OpenSearch função e especifique o nome do índice vetorial e as permissões do cluster e do índice. Para adicionar as permissões, você deve criar grupos de permissões e, em seguida, adicionar as permissões necessárias que concedem acesso ao perfil para realizar um conjunto de operações, como `delete`, `search`, `get` e `index`.
1. Depois de adicionar as permissões necessárias, você deve inserir o ARN da sua função de serviço da base de conhecimento para a função de OpenSearch back-end. A execução dessa etapa concluirá o mapeamento entre sua função de Serviço da Base de Conhecimento e a OpenSearch função, que então concede às Bases de Conhecimento Amazon Bedrock permissões para acessar o índice vetorial no OpenSearch domínio e realizar as operações necessárias.
**Topics**
+ [Considerações importantes](#kb-osm-permissions-prereq-considerations)
+ [Visão geral da configuração de permissões](#kb-osm-permissions-prereq-overview)
+ [Configurar políticas do IAM](#kb-osm-permissions-iam)
+ [(Opcional) Controle de acesso refinado](#kb-osm-permissions-console-fgap)
+ [Configurando políticas baseadas em recursos para clusters gerenciados OpenSearch](kb-osm-permissions-slr-rbp.md)
+ [Configurando OpenSearch permissões com controle de acesso refinado](kb-osm-permissions-console-fgap.md)
# Configurando políticas baseadas em recursos para clusters gerenciados OpenSearch
Ao criar sua base de conhecimento, você pode criar um perfil personalizado ou deixar o Amazon Bedrock criar um para você. A forma como você configura as permissões depende de você estar criando um perfil ou usando um perfil existente. Se você já tem uma função do IAM, deve garantir que a política de acesso do seu domínio não impeça que as funções em sua conta executem as ações de OpenSearch API necessárias.
Se você optar por permitir que o Amazon Bedrock Knowledge Bases crie a função do IAM para você, você deve garantir que a política de acesso do seu domínio conceda as permissões para realizar as ações de OpenSearch API necessárias pelas funções em sua conta. Se seu domínio tiver uma política de acesso restritiva, isso poderá impedir que seu perfil execute essas ações. A seguir é apresentado um exemplo de política baseada em recursos restritiva.
Nesse caso, você pode:
+ Crie sua base de conhecimento usando uma função do IAM existente para que seu OpenSearch domínio possa conceder acesso a essa função para realizar as operações necessárias.
+ Ou você pode deixar o Amazon Bedrock criar um perfil para você. Nesse caso, você deve garantir que a política de acesso do domínio conceda as permissões para realizar as ações de OpenSearch API necessárias pelas funções em sua conta.
As seções a seguir mostram um exemplo de política do IAM que concede as permissões necessárias e como você pode atualizar a política de acesso do domínio para que ela conceda permissões para realizar as operações de OpenSearch API necessárias.
**Topics**
+ [Exemplo de políticas do IAM baseadas em identidade e em recursos](#kb-osm-permissions-iam)
+ [Criar um perfil de serviço para as Bases de Conhecimento do Amazon Bedrock](#kb-osm-permissions-slr)
+ [Atualizar as políticas baseadas em recursos](#kb-osm-permissions-console-rbp)
## Exemplo de políticas do IAM baseadas em identidade e em recursos
Esta seção fornece um exemplo de política de identidade e uma política baseada em recursos que você pode configurar para seu OpenSearch domínio ao fazer a integração com as Bases de Conhecimento Amazon Bedrock. Você deve conceder permissões ao Amazon Bedrock para realizar essas ações no índice que você fornece à sua base de conhecimento.
****
| Ação | Recurso | Description |
| --- | --- | --- |
| es:ESHttpPost | arn::es:::domain// | Como inserir informações no índice |
| es:ESHttpGet | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Para pesquisar informações do índice. Essa ação é configurada tanto no nível domain/index quanto no nível domain/index/\$1. No nível domain/index, é possível obter detalhes abrangentes sobre o índice, como o tipo de mecanismo. Para recuperar detalhes armazenados no índice, são necessárias permissões no nível domain/index/\$1. |
| es:ESHttpHead | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/kb-osm-permissions-slr-rbp.html) | Para obter informações do índice. Essa ação é configurada tanto no nível domain/index quanto no nível domain/index/\$1, caso as informações precisem ser obtidas em um nível superior; por exemplo, saber se um índice específico existe. |
| es:ESHttpDelete | arn::es:::domain// | Para excluir informações do índice. |
| es:DescribeDomain | arn::es:::domain/ | Para realizar validações no domínio, como a versão do mecanismo usada. |
### Exemplo de política baseada em identidade
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OpenSearchIndexAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut",
"es:ESHttpDelete"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName/*"
]
},
{
"Sid": "OpenSearchIndexGetAccess",
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpHead"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
]
},
{
"Sid": "OpenSearchDomainValidation",
"Effect": "Allow",
"Action": [
"es:DescribeDomain"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName"
]
}
]
}
```
------
### Exemplo de política baseada em recursos
**nota**
O perfil de serviço deve ter sido criado para ser usado na política baseada em recursos.
## Criar um perfil de serviço para as Bases de Conhecimento do Amazon Bedrock
Ao criar a base de conhecimento, é possível escolher a opção de criar e usar outro perfil de serviço. Esta seção explica como criar um perfil de serviço das Bases de Conhecimento do Amazon Bedrock. Ao mapear as políticas baseadas em recursos e as políticas de acesso refinadas a essa função, ele concederá ao Amazon Bedrock as permissões para fazer solicitações ao domínio. OpenSearch
**Para especificar o perfil de serviço das Bases de Conhecimento do Amazon Bedrock:**
1. No console do Amazon Bedrock, acesse [Bases de conhecimento](https://console.aws.amazon.com/bedrock/home#/knowledge-bases).
1. Escolha **Criar** e selecione **Base de conhecimento com armazenamento vetorial**.
1. Escolha **Criar e usar um novo perfil de serviço**. Quer você use o padrão ou forneça um nome de perfil personalizado, o Amazon Bedrock criará automaticamente o perfil de serviço da base de conhecimento para você.
1. Continue acessando o console para configurar a fonte de dados e estratégias de análise e fragmentação.
1. Escolha um modelo de incorporação e, em **Escolha um armazenamento vetorial existente**, escolha **Amazon OpenSearch Managed Cluster**.
**Importante**
Para continuar a criar a base de conhecimento, primeiro conclua as etapas a seguir para configurar as políticas baseadas em recursos e as políticas de acesso refinadas. Para ver as etapas detalhadas sobre como criar a base de conhecimento, consulte [Crie uma base de conhecimento conectando-se a uma fonte de dados nas Bases de Conhecimento do Amazon Bedrock](knowledge-base-create.md).
## Atualizar as políticas baseadas em recursos
Se seu OpenSearch domínio tiver uma política de acesso restritiva, você poderá seguir as instruções nesta página para atualizar a política baseada em recursos. Essas permissões permitem que as Bases de Conhecimento usem o índice que você fornece e recuperem a definição do OpenSearch domínio para realizar a validação necessária no domínio.
**Para configurar as políticas baseadas em recursos do Console de gerenciamento da AWS**
1. Acesse o [console do Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home?region=us-east-1#opensearch/dashboard).
1. Vá para o domínio que você criou e acesse **Configurações de segurança**, onde a política baseada em recursos está configurada.
1. Edite a política na guia **JSON** e atualize a política tal como em [Exemplo de política baseada em recursos](#kb-osm-permissions-rbp).
1. Agora você pode voltar ao console do Amazon Bedrock e fornecer os detalhes do seu OpenSearch domínio e índice, conforme descrito na [configuração da base de conhecimento para clusters gerenciados](knowledge-base-setup.md#knowledge-base-setup-osm).
# Configurando OpenSearch permissões com controle de acesso refinado
Embora opcional, é altamente recomendável que você ative um controle de acesso refinado para seu domínio. OpenSearch Usando o controle de acesso refinado, você pode usar o controle de acesso baseado em funções, que permite criar uma OpenSearch função com permissões específicas e mapeá-la para a função de serviço da Base de Conhecimento. O mapeamento concede à sua base de conhecimento as permissões mínimas necessárias que permitem acessar e realizar operações no OpenSearch domínio e no índice.
Para configurar e usar o controle de acesso refinado:
1. Certifique-se de que o OpenSearch domínio que você está usando tenha um controle de acesso refinado ativado.
1. Para seu domínio que usa controle de acesso refinado, configure as permissões com políticas de escopo reduzido na forma de uma função. OpenSearch
1. Para o domínio para o qual você cria um perfil, adicione um mapeamento de perfis ao perfil de serviço da base de conhecimento.
As etapas a seguir mostram como configurar sua OpenSearch função e garantir o mapeamento correto entre a OpenSearch função e a função de serviço da Base de Conhecimento.
**Para criar uma OpenSearch função e configurar permissões**
Depois de habilitar o controle de acesso refinado e configurar o Amazon Bedrock para se conectar ao OpenSearch Serviço, você pode configurar as permissões usando o link OpenSearch Dashboards para cada domínio. OpenSearch
**Para configurar permissões para um domínio permitir acesso ao Amazon Bedrock:**
1. Abra o OpenSearch Painel do OpenSearch domínio com o qual você deseja trabalhar. Para encontrar o link para os painéis, acesse o domínio que você criou no console OpenSearch de serviços. Para domínios em execução OpenSearch, o URL tem o formato,`domain-endpoint/_dashboards/`. Para obter mais informações, consulte [Painéis](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/dashboards.html) no *guia do desenvolvedor do Amazon OpenSearch Service*.
1. No OpenSearch Painel, escolha **Segurança** e, em seguida, escolha **Funções**.
1. Selecione **Criar perfil**.
1. Forneça qualquer nome para o perfil; por exemplo, **kb\$1opensearch\$1role**.
1. Em **Permissões de cluster**, adicione as seguintes permissões:
+ `indices:data/read/msearch`
+ `indices:data/write/bulk*`
+ `indices:data/read/mget*`
1. Em **Permissões de índice**, forneça um nome para o índice de vetores. Escolha **Criar grupo de permissões** e selecione **Criar grupo de ação**. Adicione as seguintes permissões a um grupo de ação, como `KnowledgeBasesActionGroup`. Adicione as seguintes permissões a um grupo de ação.
+ `indices:admin/get`
+ `indices:data/read/msearch`
+ `indices:data/read/search`
+ `indices:data/write/index`
+ `indices:data/write/update`
+ `indices:data/write/delete`
+ `indices:data/write/delete/byquery`
+ `indices:data/write/bulk*`
+ `indices:admin/mapping/put`
+ `indices:data/read/mget*`
![\[Os grupos de ação a serem criados em OpenSearch painéis para adicionar permissões de cluster e índice.\]](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/images/kb/kb-test-os-action-groups.png)
1. Escolha **Criar** para criar a OpenSearch função.
Veja a seguir um exemplo de OpenSearch função com as permissões adicionadas.
![\[Um exemplo de OpenSearch função em OpenSearch painéis com as permissões adicionadas.\]](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/images/kb/kb-test-os-dashboards-permissions.png)
**Noções básicas sobre mapeamento de perfis para o perfil de serviço da base de conhecimento**
1. Identifique um perfil do IAM que precisará ser mapeado.
+ Se você tiver criado seu perfil do IAM personalizado, poderá copiar o ARN do perfil para esse perfil do console do IAM.
+ Se estiver permitindo que as bases de conhecimento criem o perfil para você, você pode anotar o ARN do perfil ao criar a base de conhecimento e, em seguida, copiar o respectivo ARN.
1. Abra o OpenSearch Painel do OpenSearch domínio com o qual você deseja trabalhar. O formato do URL é `domain-endpoint/_dashboards/`.
1. No painel de navegação, escolha **Segurança**.
1. Pesquise o perfil que você acabou de criar na lista (por exemplo, **kb\$1opensearch\$1role**) e abra-o.
1. Na guia **Usuários mapeados**, selecione **Gerenciar mapeamento**.
1. Na seção **Funções de back-end**, insira o ARN da função gerenciada AWS do IAM para bases de conhecimento. Dependendo se você criou sua própria função personalizada ou permitiu que as bases de conhecimento criassem a função para você, copie as informações de ARN da função do console do IAM ou do console Amazon Bedrock e insira essas informações para as **funções de back-end no** console. OpenSearch Veja um exemplo a seguir.
```
arn:aws:iam:::role/service-role/
```
1. Escolha **Mapear**.
A função Knowledge Base Service agora pode se conectar à OpenSearch função e realizar as operações necessárias no domínio e no índice.