View a markdown version of this page

Document-level Zugriffskontrollen - Amazon Bedrock
FunktionsweiseWas wird gecrawltAktivieren Sie ACL AwarenessReal-time Verifizierung des ZugriffsÜberprüfen Ihrer KonfigurationFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Document-level Zugriffskontrollen

ACL-Awareness ist keine Autorisierung

Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Da Bedrock Managed Knowledge Base die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen kann, filtert diese Funktion die Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.

Confluence-Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentenebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base bei jedem Crawl die Zugriffskontrolllisten (ACLs) von Confluence und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Ergebnisse von Dokumenten sehen, für deren Zugriff sie in Confluence berechtigt sind. Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. Aktivierung des Bewusstseins für Zugriffskontrolllisten

Funktionsweise

Wenn ein Benutzer eine Wissensdatenbank abfragt, die eine ACL-enabled Confluence-Datenquelle verwendet, erzwingt Bedrock Managed Knowledge Base Zugriffskontrollen in zwei Schritten:

  • Pre-retrieval Filterung — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die während des letzten Crawls von Confluence aus synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Benutzer (oder seine Gruppen) zugreifen darf.

  • Real-time Überprüfung — Die Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Benutzers in Confluence überprüft. Nur Dokumente, auf die der Benutzer derzeit zugreifen darf, sind in der Antwort enthalten.

Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die Confluence-Berechtigungen zwischen den Synchronisierungen ändern.

Was wird gecrawlt

Wenn ACLs aktiviert sind, crawlt Bedrock Managed Knowledge Base die folgenden Berechtigungsstrukturen von Confluence aus:

  • Bereiche — Bereichsberechtigungen gelten standardmäßig für alle Dokumente im Bereich.

  • Seiten — Seiten können auf bestimmte Benutzer und Gruppen beschränkt werden. Verschachtelte Seiten übernehmen Einschränkungen von der übergeordneten Seite.

  • Blogs — Blogbeiträge können auf bestimmte Benutzer und Gruppen beschränkt werden.

  • Anlagen — Dateien, die an Seiten oder Blogbeiträge angehängt sind, übernehmen die Zugriffskontrollen des übergeordneten Dokuments.

Aktivieren Sie ACL Awareness

Um ACL Awareness für eine Confluence-Datenquelle zu aktivieren, setzen Sie true in der aclEnabled auf connectorParameters und verwenden Sie den BASIC Authentifizierungstyp. Der geheime Schlüssel muss neben der Standard-E-Mail und dem API-Token auch die Administratoranmeldedaten der Atlassian-Organisation enthalten. Diese Administratoranmeldedaten sind für das Identitäts-Crawling erforderlich.

Wichtig

Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.

Zusätzlich zum Standard username password (API-Token) und den hostUrl Feldern muss das AWS Secrets Manager Geheimnis die folgenden Administratorfelder der Organisation enthalten. Eine schrittweise Anleitung zum Abrufen dieser Werte finden Sie unterStandardauthentifizierung für Confluence einrichten.

  • adminApiKey— Ein API-Schlüssel für eine Organisation von Atlassian mit den Bereichen read:directories:admin undread:workspaces:admin.

  • organizationId— Die UUID deiner Atlassian-Organisation.

  • directoryId— Die UUID des Benutzerverzeichnisses für deinen Confluence-Workspace.

Anmerkung

Der OAUTH2 Authentifizierungstyp wird für Confluence-Datenquellen nicht unterstützt. ACL-enabled Du musst die BASIC Administratoranmeldedaten der Atlassian-Organisation in The Secret verwenden.

Real-time Verifizierung des Zugriffs

Bedrock Managed Knowledge Base verifiziert jedes Kandidatendokument bei der Abfrage vollständig serverseitig anhand von Confluence. Dabei wird das im Secret konfigurierte Atlassian Admin-API-Token verwendet — es gibt keine Endbenutzer-Anmeldung. Das Admin-Token überprüft die aktuellen Speicherplatz-, Seiten- und Blog-Einschränkungen des anfragenden Benutzers, sodass Zugriffsänderungen, die seit dem letzten Crawl vorgenommen wurden, berücksichtigt werden.

Überprüfen Ihrer Konfiguration

Sie können Ihre Anmeldeinformationen unabhängig von einer Abrufanforderung überprüfen. Führen Sie jede der folgenden Prüfungen durch:

  1. Zugriff auf Confluence-Inhalte (Crawl):

    • Rufen Sie mit dem username und API-Token (password) aus dem Secret die Confluence-REST-API auf (z. B. Listspaces) und bestätigen Sie, dass sie HTTP 200 zurückgibt.

  2. Atlassian Admin-API (Identitäts-Crawling und Überprüfung in Echtzeit):

    • Vergewissere dich, dass der den Geltungsbereich und den adminApiKey read:directories:admin Geltungsbereich hat. read:workspaces:admin

    • Rufe mit dem die adminApiKey Atlassian Admin-Verzeichnis-API für dein organizationId und auf directoryId und bestätige, dass sie die Benutzer und Gruppen deiner Organisation zurückgibt.

Fehlerbehebung

Anmerkung

ACL-Fehlkonfigurationen führen nicht zu expliziten Fehlern beim Abrufen. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.

ACL-enabled Symptome, Ursachen und Lösungen von Confluence
Symptom Wahrscheinliche Ursache Reparieren
Retrieve gibt 0 Ergebnisse zurück, aber der Benutzer hat Zugriff in Confluence. Im Atlassian Admin-API-Schlüssel fehlen Bereiche oder dasorganizationId/directoryIdist falsch, sodass Benutzer- und Gruppeneinschränkungen nicht aufgehoben werden können. Bestätigeread:workspaces:admin, dass „adminApiKeyhat“ read:directories:admin und „und“ und „und“ richtig organizationId sind. directoryId
Das Crawlen oder Synchronisieren schlägt fehl. Das username oder API-Token (password) ist ungültig. Überprüfen Sie den BASIC Benutzernamen und das API-Token im Secret.
Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. Das API-Token oder der Admin-API-Schlüssel ist abgelaufen oder wurde gesperrt. Wechseln Sie die betroffenen Anmeldeinformationen im Secret ab.