View a markdown version of this page

Habilitación del conocimiento de las listas de control de acceso - Amazon Bedrock
¿Cómo funciona ACL-aware la recuperaciónModelo de identidadMatriz de soporte de conectoresComportamiento de errorSus responsabilidades

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del conocimiento de las listas de control de acceso

La base de conocimientos gestionada de Bedrock admite la ACL-aware recuperación, es decir, la capacidad de filtrar los resultados de las consultas en función de las listas de control de acceso (ACL) a nivel de documento rastreadas desde las fuentes de datos conectadas. Cuando se habilita el reconocimiento de las ACL en una fuente de datos, Bedrock Managed Knowledge Base incorpora los permisos (usuarios permitidos, usuarios denegados, grupos permitidos, grupos denegados) junto con el contenido del documento. En el momento de la consulta, usted proporciona un contexto de usuario y Bedrock Managed Knowledge Base devuelve solo los documentos a los que el usuario puede acceder. Para ver la sintaxis de solicitud utilizada para transmitir el contexto de usuario en el momento de la recuperación, consulte. ACL-aware recuperación en bases de conocimiento gestionadas

El conocimiento de la ACL no es una autorización

La base de conocimientos gestionada de Bedrock proporciona ACL-aware filtros, no un límite de seguridad. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación es responsable de autenticar a los usuarios y de transmitir el contexto de identidad verificado. Dado que Bedrock Managed Knowledge Base no puede verificar la autenticidad del contexto de usuario que usted proporciona, esta función filtra los resultados en función de la identidad que proporciona, pero no constituye una autorización verdadera. No debe confiar en esta función como único mecanismo de control de acceso sin una autenticación previa.

¿Cómo funciona ACL-aware la recuperación

ACL-aware La recuperación se lleva a cabo en dos etapas:

  • Pre-retrieval filtrado: durante la ingesta, la base de conocimiento gestionada por Bedrock rastrea los permisos de los documentos desde la fuente de datos. En el momento de la consulta, Bedrock Managed Knowledge Base utiliza el contexto de usuario que usted proporciona para filtrar los resultados de la búsqueda y muestra solo los documentos en los que el usuario (o sus grupos) aparecen en la lista de permitidos y no aparecen en la lista de denegados.

  • Real-time Verificación de ACL: en el caso de los conectores compatibles (SharePointGoogle Drive, Confluence), Bedrock Managed Knowledge Base realiza una llamada en tiempo real a la fuente de datos para comprobar que el usuario sigue teniendo acceso a todos los documentos devueltos. OneDrive Esto detecta los cambios de permisos que se produjeron entre las sincronizaciones. Los conectores S3 y Custom no admiten la verificación en tiempo real porque el cliente proporciona sus metadatos de ACL a través de archivos de configuración, en lugar de rastrearlos desde un sistema de permisos activo.

En ambas etapas se utiliza la misma lógica de evaluación: si un usuario aparece en una lista de documentos permitidos o rechazados, se deniega el acceso. Denegar siempre anula el permiso.

Modelo de identidad

La base de conocimientos gestionada por Bedrock utiliza el correo electrónico como identificador de usuario universal para la comparación de las ACL. El usuario siempre se identifica por su correo electrónico universal: el correo electrónico que se transmita en el contexto de usuario debe coincidir exactamente con el correo electrónico asociado al usuario en cada fuente de datos conectada. No existe una resolución de alias ni un mapeo entre proveedores de identidades cruzadas. Los grupos, por el contrario, se identifican por la forma en que los representa el conector de origen (un nombre de grupo, un ID de grupo u otro identificador) y se comparan con las pertenencias a grupos rastreadas desde esa fuente de datos.

Las pertenencias a los grupos se resuelven a partir de la fuente de datos. Durante la ingesta, la base de conocimientos gestionada de Bedrock rastrea las pertenencias a los grupos de cada fuente de datos y las almacena internamente. En el momento de la consulta, la base de conocimiento gestionada de Bedrock resuelve automáticamente a qué grupos pertenece un usuario en función de estos datos rastreados.

nota

Las membresías de los grupos están tan actualizadas como la última sincronización. Los cambios de permisos entre las sincronizaciones no se reflejan hasta que se complete el siguiente trabajo de ingestión. En el caso de los conectores que admiten la verificación de ACL en tiempo real, esta comprobación detecta los cambios de permisos que se han producido desde la última sincronización.

Matriz de soporte de conectores

No todos los conectores admiten el reconocimiento de ACL. En la siguiente tabla se muestran los conectores que admiten el filtrado previo a la recuperación y la verificación de la ACL en tiempo real.

Soporte de ACL por conector
Connector Pre-retrieval filtro Real-time ACL Notas
SharePoint Soportado compatible Utiliza permisos a nivel de aplicación (2LO). Requiere un tipo ENTRA_ID_APP_ONLY de autenticación.
OneDrive Soportado compatible Utiliza permisos a nivel de aplicación (2LO). Requiere un tipo ENTRA_APP_ID de autenticación.
Google Drive Soportado compatible Utiliza la delegación en todo el dominio (2LO). Requiere un tipo SERVICE_ACCOUNT de autenticación.
Confluence Soportado compatible Utiliza el token de la API de administración para las comprobaciones en tiempo real. Requiere un tipo BASIC de autenticación.
Amazon S3 compatible No compatible Las ACL se definen mediante un archivo de configuración de ACL proporcionado por el cliente en Amazon S3. No hay verificación en tiempo real porque el archivo de metadatos proporcionado por el cliente es la fuente de la verdad.
Personalizada compatible No compatible Las ACL se definen mediante metadatos proporcionados por el cliente. No hay verificación en tiempo real porque los metadatos proporcionados por el cliente son la fuente de la verdad.
Web Crawler de No compatible N/A El contenido web no tiene un modelo de permisos. No se puede habilitar el reconocimiento de ACL para este conector.

Para obtener detalles de la configuración de ACL específicos del conector, consulte:

Comportamiento de error

ACL-aware Se cierra la recuperación fallida. Si alguna parte del proceso de evaluación de la ACL detecta un error (fallo en la resolución del grupo, tiempo de espera de la verificación en tiempo real o error de servicio interno), Bedrock Managed Knowledge Base no devuelve los documentos afectados. Un error transitorio nunca provoca que los documentos se devuelvan a usuarios no autorizados.

Cuando se produce una falla en la ACL, la respuesta puede contener cero o menos resultados de los esperados. Las respuestas de error indican una falla en la resolución de la ACL, por lo que puede distinguirla de una consulta que realmente no coincide con ningún documento.

Sus responsabilidades

Dado que la base de conocimientos gestionada de Bedrock proporciona ACL-aware filtros y no una solución de autorización completa, usted es responsable de lo siguiente:

  • Autenticación de los usuarios finales: debe autenticar a los usuarios de su aplicación antes de transmitir su identidad a Bedrock Managed Knowledge Base. La base de conocimientos gestionada por Bedrock no verifica que el contexto de usuario que proporciona sea auténtico.

  • Identidad de correo electrónico coherente: la dirección de correo electrónico que pase debe coincidir con el correo electrónico utilizado en cada fuente de datos conectada. Si los correos electrónicos difieren de un sistema a otro, la coincidencia de las ACL falla silenciosamente y el usuario no recibe ningún resultado de esa fuente de datos.

  • Gestión del ciclo de vida del correo electrónico: si una dirección de correo electrónico se reasigna a otra persona (por ejemplo, después de la partida de un empleado), debe detectarlo antes de pasar la identidad a Bedrock Managed Knowledge Base. Real-time La verificación de la ACL actúa como una red de seguridad para los conectores que la admiten, pero no sustituye a una gestión adecuada del ciclo de vida de la identidad.