Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivierung des Bewusstseins für Zugriffskontrolllisten
Bedrock Managed Knowledge Base unterstützt den ACL-aware Abruf, d. h. die Möglichkeit, Abfrageergebnisse anhand von Zugriffskontrolllisten (ACLs) auf Dokumentebene zu filtern, die aus Ihren verbundenen Datenquellen gecrawlt wurden. Wenn ACL Awareness für eine Datenquelle aktiviert ist, erfasst Bedrock Managed Knowledge Base neben dem Dokumentinhalt auch die Berechtigungen (erlaubte Benutzer, verweigerte Benutzer, erlaubte Gruppen, verweigerte Gruppen). Bei der Abfrage geben Sie einen Benutzerkontext an und Bedrock Managed Knowledge Base gibt nur die Dokumente zurück, auf die der Benutzer zugreifen darf. Informationen zur Anforderungssyntax, die verwendet wird, um den Benutzerkontext beim Abrufen zu übergeben, finden Sie unter. ACL-aware Abruf auf verwalteten Wissensdatenbanken
ACL-Awareness ist keine Autorisierung
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Da Bedrock Managed Knowledge Base die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen kann, filtert diese Funktion die Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.
Wie funktioniert der ACL-aware Abruf
ACL-aware Der Abruf erfolgt in zwei Phasen:
-
Pre-retrieval Filterung — Während der Aufnahme durchsucht Bedrock Managed Knowledge Base die Dokumentenberechtigungen aus der Datenquelle. Bei der Abfrage verwendet Bedrock Managed Knowledge Base den von Ihnen angegebenen Benutzerkontext, um die Suchergebnisse zu filtern. Dabei werden nur Dokumente zurückgegeben, bei denen der Benutzer (oder seine Gruppen) in der Zulassungsliste und nicht in der Ablehnungsliste aufgeführt ist.
-
Real-time ACL-Überprüfung — Bei Konnektoren, die dies unterstützen (SharePoint, OneDrive, Google Drive, Confluence), ruft Bedrock Managed Knowledge Base in Echtzeit die Datenquelle auf, um zu überprüfen, ob der Benutzer weiterhin Zugriff auf jedes zurückgegebene Dokument hat. Dadurch werden Berechtigungsänderungen erfasst, die zwischen Synchronisierungen aufgetreten sind. S3- und Custom-Konnektoren unterstützen keine Echtzeitverifizierung, da ihre ACL-Metadaten vom Kunden über Konfigurationsdateien bereitgestellt werden und nicht über ein Live-Berechtigungssystem gecrawlt werden.
In beiden Phasen wird dieselbe Bewertungslogik verwendet: Wenn ein Benutzer sowohl in einer Zulassungsliste als auch in einer Ablehnungsliste für ein Dokument erscheint, wird der Zugriff verweigert. Verweigern hat immer Vorrang vor Zulassen.
Identitätsmodell
Die Bedrock Managed Knowledge Base verwendet E-Mail als universelle Benutzerkennung für den ACL-Matching. Der Benutzer wird immer anhand seiner universellen E-Mail-Adresse identifiziert — die E-Mail, die Sie im Benutzerkontext weitergeben, muss genau mit der E-Mail-Adresse übereinstimmen, die dem Benutzer in jeder verbundenen Datenquelle zugeordnet ist. Es gibt keine Aliasauflösung oder identitätsanbieterübergreifende Zuordnung. Gruppen hingegen werden anhand der Art und Weise identifiziert, wie der Quell-Connector sie repräsentiert — ein Gruppenname, eine Gruppen-ID oder eine andere Kennung — und sie werden mit den Gruppenmitgliedschaften abgeglichen, die aus dieser Datenquelle gecrawlt wurden.
Gruppenmitgliedschaften werden von der Datenquelle aus aufgelöst. Während der Aufnahme durchsucht Bedrock Managed Knowledge Base Gruppenmitgliedschaften aus jeder Datenquelle und speichert sie intern. Bei der Abfrage ermittelt Bedrock Managed Knowledge Base anhand dieser gecrawlten Daten automatisch, zu welchen Gruppen ein Benutzer gehört.
Anmerkung
Gruppenmitgliedschaften sind so aktuell wie bei der letzten Synchronisierung. Berechtigungsänderungen zwischen Synchronisierungen werden erst übernommen, wenn der nächste Aufnahmejob abgeschlossen ist. Bei Konnektoren, die die ACL-Überprüfung in Echtzeit unterstützen, werden bei dieser Prüfung die seit der letzten Synchronisierung erfolgten Berechtigungsänderungen erfasst.
Matrix zur Unterstützung von Konnektoren
Nicht alle Konnektoren unterstützen ACL Awareness. Die folgende Tabelle zeigt, welche Konnektoren die Filterung vor dem Abruf und die ACL-Überprüfung in Echtzeit unterstützen.
| Konnektor | Pre-retrieval filtern | Real-time ACL | Hinweise |
|---|---|---|---|
| SharePoint | Unterstützt | Unterstützt | Verwendet Berechtigungen auf Anwendungsebene (2LO). Erfordert ENTRA_ID_APP_ONLY den Authentifizierungstyp. |
| OneDrive | Unterstützt | Unterstützt | Verwendet Berechtigungen auf Anwendungsebene (2LO). Erfordert ENTRA_APP_ID den Authentifizierungstyp. |
| Google Drive | Unterstützt | Unterstützt | Verwendet domänenweite Delegierung (2LO). Erfordert SERVICE_ACCOUNT den Authentifizierungstyp. |
| Konfluenz | Unterstützt | Unterstützt | Verwendet das Admin-API-Token für Echtzeitprüfungen. Erfordert BASIC den Authentifizierungstyp. |
| Amazon S3 | Unterstützt | Nicht unterstützt | ACLs, die über eine vom Kunden bereitgestellte ACL-Konfigurationsdatei in Amazon S3 definiert wurden. Keine Überprüfung in Echtzeit, da die vom Kunden bereitgestellte Metadatendatei die Quelle der Wahrheit ist. |
| Custom (Benutzerdefiniert) | Unterstützt | Nicht unterstützt | ACLs, die über vom Kunden bereitgestellte Metadaten definiert werden. Keine Überprüfung in Echtzeit, da die vom Kunden bereitgestellten Metadaten die Quelle der Wahrheit sind. |
| Webcrawler | Nicht unterstützt | N/A | Für Webinhalte gibt es kein Berechtigungsmodell. ACL Awareness kann für diesen Connector nicht aktiviert werden. |
Einzelheiten zur konnektorspezifischen ACL-Konfiguration finden Sie unter:
Verhalten bei Fehlern
ACL-aware Der Abruf ist fehlgeschlagen. Wenn in einem Teil der ACL-Evaluierungspipeline ein Fehler auftritt — ein Fehler bei der Gruppenauflösung, eine Zeitüberschreitung bei der Echtzeitüberprüfung oder ein interner Dienstfehler — gibt Bedrock Managed Knowledge Base die betroffenen Dokumente nicht zurück. Ein vorübergehender Fehler führt niemals dazu, dass Dokumente an nicht autorisierte Benutzer zurückgegeben werden.
Wenn ein ACL-Fehler auftritt, enthält die Antwort möglicherweise keine Ergebnisse oder weniger Ergebnisse als erwartet. Fehlerantworten deuten auf einen Fehler bei der ACL-Auflösung hin, sodass Sie ihn von einer Abfrage unterscheiden können, bei der wirklich keine Dokumente gefunden wurden.
Ihre Aufgaben
Da Bedrock Managed Knowledge Base ACL-aware Filter und keine vollständige Autorisierungslösung bietet, sind Sie für Folgendes verantwortlich:
-
Authentifizierung von Endbenutzern — Sie müssen Benutzer in Ihrer Anwendung authentifizieren, bevor Sie ihre Identität an die Bedrock Managed Knowledge Base weitergeben. Die Bedrock Managed Knowledge Base überprüft nicht, ob der von Ihnen angegebene Benutzerkontext authentisch ist.
-
Konsistente E-Mail-Identität — Die von Ihnen übergebene E-Mail-Adresse muss mit der E-Mail-Adresse übereinstimmen, die in jeder verbundenen Datenquelle verwendet wird. Wenn sich die E-Mails von System zu System unterscheiden, schlägt der ACL-Abgleich unbemerkt fehl und der Benutzer erhält keine Ergebnisse aus dieser Datenquelle.
-
E-Mail-Lebenszyklusmanagement — Wenn eine E-Mail-Adresse einer anderen Person zugewiesen wird (z. B. nach dem Ausscheiden eines Mitarbeiters), müssen Sie dies erkennen, bevor Sie die Identität an die Bedrock Managed Knowledge Base weitergeben. Real-time Die ACL-Überprüfung dient als Sicherheitsnetz für Konnektoren, die sie unterstützen, ist jedoch kein Ersatz für ein ordnungsgemäßes Identitätslebenszyklusmanagement.