

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# ACL-aware recuperação em bases de conhecimento gerenciadas
<a name="kb-test-retrieve-acl"></a>

Quando o reconhecimento de ACL é ativado em uma fonte de dados gerenciada da base de conhecimento, você filtra os resultados da consulta transmitindo um contexto de usuário em sua solicitação de [recuperação](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html). A Base de Conhecimento Gerenciada da Bedrock retorna somente os documentos que o usuário fornecido tem permissão para acessar. Para obter uma visão geral de como o reconhecimento de ACL funciona, o modelo de identidade, o suporte do conector e suas responsabilidades ao ativá-lo, consulte[Ativação de conscientização de listas de controle de acesso](kb-managed-acl.md).

**Importante**  
O reconhecimento da ACL fornece ACL-aware filtragem, não autorização. A Base de Conhecimento Gerenciada da Bedrock não autentica usuários finais — seu aplicativo deve autenticar usuários e passar por um contexto de identidade verificado. Para obter detalhes, consulte [Ativação de conscientização de listas de controle de acesso](kb-managed-acl.md).

## Usando UserContext em solicitações de recuperação
<a name="kb-test-retrieve-acl-api"></a>

Para realizar a ACL-aware recuperação, inclua o `userContext` campo em sua solicitação de [recuperação](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html). O `userContext` especifica a identidade do usuário. `userId`É sempre o endereço de e-mail universal do usuário associado à fonte de dados subjacente.

```
{
    "knowledgeBaseId": "{{your-knowledge-base-id}}",
    "retrievalQuery": {
        "text": "{{your query}}"
    },
    "userContext": {
        "userId": "{{user@example.com}}"
    }
}
```

Se você não fornecer uma solicitação `userContext` de recuperação, as fontes de ACL-enabled dados retornarão zero resultados. Non-ACL fontes de dados na mesma base de conhecimento retornam os resultados normalmente.

## Comportamento de recuperação com ACLs
<a name="kb-test-retrieve-acl-behavior"></a>

Quando o reconhecimento de ACL está ativado, os seguintes comportamentos se aplicam:
+ **Contexto do usuário necessário para fontes de ACL-enabled dados** — Se você não fornecer o contexto do usuário em uma solicitação de recuperação, as fontes de ACL-enabled dados retornarão zero resultados. Non-ACL fontes de dados na mesma base de conhecimento retornam os resultados normalmente.
+ **Metadados de ACL ausentes significam inacessível** — se um documento em uma fonte de ACL-enabled dados não tiver ACL (por exemplo, o conector falhou ao extrair permissões ou o documento é público), esse documento não será devolvido a nenhum usuário. As permissões ausentes são tratadas como restritas, não públicas.
+ **Fontes de dados mistas** — você pode ter fontes de dados ambas ACL-enabled e fontes de dados não ACL na mesma base de conhecimento. Documentos de fontes de dados não ACL são devolvidos a todos os usuários, independentemente do contexto do usuário.
+ **Resultados parciais** — Quando a verificação da ACL em tempo real nega o acesso a alguns documentos, a resposta pode conter menos resultados do que a solicitada. `maxResults` A Base de Conhecimento Gerenciada da Bedrock não é preenchida com documentos adicionais. Seu aplicativo deve lidar com respostas com menos resultados do que o solicitado.
+ **Negar substitui permissão** — Se um usuário aparecer na lista de permissões e na lista de negação de um documento, o acesso será negado.

**nota**  
Third-party as credenciais do provedor de identidade são armazenadas em cache por até 1 hora. O acesso pode continuar até que o cache seja atualizado.  
Eventualmente, as alterações nas permissões de controle de acesso são consistentes. Normalmente, as atualizações entram em vigor em alguns minutos.

## Solução de problemas
<a name="kb-test-retrieve-acl-troubleshooting"></a>

Se a ACL-aware recuperação não retornar resultados ou resultados inesperados, a causa geralmente é específica do conector — permissões, credenciais ou configuração de ACL. Consulte a orientação de solução de problemas do seu conector:
+ [SharePoint](kb-managed-ds-sharepoint-acl.md#kb-managed-ds-sharepoint-acl-troubleshooting)
+ [OneDrive](kb-managed-ds-onedrive-acl.md#kb-managed-ds-onedrive-acl-troubleshooting)
+ [Google Drive](kb-managed-ds-googledrive-acl.md#kb-managed-ds-googledrive-acl-troubleshooting)
+ [Confluence](kb-managed-ds-confluence-acl.md#kb-managed-ds-confluence-acl-troubleshooting)
+ [Amazon S3](kb-managed-ds-s3-acl.md#kb-managed-ds-s3-acl-troubleshooting)
+ [Personalizado](kb-managed-ds-custom-acl.md#kb-managed-ds-custom-acl-troubleshooting)