View a markdown version of this page

Document-level controles de acceso - Amazon Bedrock
Funcionamiento¿Qué se rastreaHabilite el reconocimiento de ACLReal-time verificación de accesoVerificación de la configuraciónResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Document-level controles de acceso

SharePoint Las fuentes de datos admiten opcionalmente el control de acceso a nivel de documento. Cuando está habilitada, Bedrock Managed Knowledge Base sincroniza las listas de control de acceso (ACL) de SharePoint cada rastreo y verifica los permisos de cada usuario en el momento de la consulta, de modo que los usuarios solo vean los resultados de los documentos a los que están autorizados a acceder. SharePoint Para obtener información general sobre el reconocimiento de las ACL en todos los conectores, consulte. Habilitación del conocimiento de las listas de control de acceso

El conocimiento de la ACL no es una autorización

La base de conocimientos gestionada de Bedrock proporciona ACL-aware filtros, no un límite de seguridad. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación es responsable de autenticar a los usuarios y de transmitir el contexto de identidad verificado. Dado que Bedrock Managed Knowledge Base no puede verificar la autenticidad del contexto de usuario que usted proporciona, esta función filtra los resultados en función de la identidad que proporciona, pero no constituye una autorización verdadera. No debe confiar en esta función como único mecanismo de control de acceso sin una autenticación previa.

Funcionamiento

Cuando un usuario consulta una base de conocimientos que utiliza una fuente de ACL-enabled SharePoint datos, Bedrock Managed Knowledge Base aplica los controles de acceso en dos etapas:

  • Pre-retrieval filtrado: la base de conocimiento gestionada por Bedrock aplica las listas de control de acceso que se sincronizaron SharePoint durante el último rastreo y solo muestra los documentos candidatos a los que el usuario (o sus grupos) pueden acceder.

  • Real-time verificación: la base de conocimientos gestionada por Bedrock verifica los documentos candidatos en tiempo real comprobando el acceso actual del usuario que realiza la consulta. SharePoint En la respuesta solo se incluyen los documentos a los que el usuario está autorizado actualmente a acceder.

Este enfoque de dos etapas proporciona un control de acceso a nivel de documento que se mantiene actualizado incluso cuando SharePoint los permisos cambian entre las sincronizaciones.

¿Qué se rastrea

Cuando las ACL están habilitadas, la base de conocimiento gestionada de Bedrock rastrea las siguientes estructuras de permisos: SharePoint

  • Site-level membresías y asignaciones de funciones

  • Permisos a nivel de biblioteca de documentos

  • Item-level permisos (de archivo y página), incluidos los permisos únicos que anulan la herencia

  • Pertenencias a grupos de seguridad, incluidos los grupos de seguridad de Microsoft Entra ID (Azure AD), los grupos de seguridad habilitados para correo y los grupos de distribución. También se resuelve la pertenencia a grupos anidados (transitivos).

En el momento de la consulta, pasas la dirección de correo electrónico del usuario (no la de un grupo). La base de conocimientos gestionada por Bedrock resuelve la pertenencia a un grupo de ese usuario a partir de los datos que ha rastreado y los aplica al filtrar los resultados. Para obtener más información sobre el modelo de identidad, consulte. Habilitación del conocimiento de las listas de control de acceso

Habilite el reconocimiento de ACL

Para habilitar el reconocimiento de la ACL en una fuente de SharePoint datos, aclEnabled true configúrelo en connectorParameters y utilice el tipo de ENTRA_ID_APP_ONLY autenticación. Este tipo de autenticación utiliza permisos de aplicación basados en certificados que permiten a Bedrock Managed Knowledge Base rastrear la información de identidad y verificar el acceso a los documentos en el momento de la consulta.

importante

La configuración de ACL es permanente. No puede habilitar las ACL en una fuente de datos creada sin soporte para las ACL y no puede deshabilitar las ACL una vez habilitadas.

El registro de la aplicación Entra ID debe tener los siguientes permisos de aplicación:

  • User.Read.Ally GroupMember.Read.All en Microsoft Graph (para rastrear identidades)

  • Sites.FullControl.Allen SharePoint o Sites.Selected con permisos por sitio concedidos (para verificar el acceso a los documentos)

connectionConfigurationDeben incluir un certificateS3Path apunte a un archivo de certificado PKCS #12 (.p12) en Amazon S3.

nota

El certificatePassword campo del secreto es opcional. Si lo omite, Bedrock Managed Knowledge Base abre el archivo PKCS #12 (.p12) con el ID de cliente de la aplicación como contraseña, por lo que el certificado debe haberse creado con esa contraseña. Le recomendamos que establezca siempre una entropía explícita y de alta entropía certificatePassword para proteger la clave privada del certificado en reposo.

"connectorParameters": {
    "type": "SHAREPOINT",
    "version": "1",
    "aclEnabled": true,
    "connectionConfiguration": {
        "tenantId": "your-tenant-id",
        "authType": "ENTRA_ID_APP_ONLY",
        "secretArn": "arn:aws:secretsmanager:region:account-id:secret:secret-name",
        "certificateS3Path": {
            "s3BucketName": "your-certificate-bucket",
            "s3KeyName": "certs/certificate.p12"
        }
    },
    "dataEntityConfiguration": {
        "siteUrls": [
            "https://contoso.sharepoint.com/sites/engineering"
        ],
        "crawlFiles": true,
        "crawlPages": true
    }
}
nota

El tipo de OAUTH2_APP autenticación no es compatible con las fuentes de ACL-enabled SharePoint datos. Se debe utilizar ENTRA_ID_APP_ONLY.

Real-time verificación de acceso

La base de conocimientos gestionada por Bedrock verifica cada documento candidato SharePoint en el momento de la consulta mediante los permisos basados en certificados de la aplicación (el registro de la ENTRA_ID_APP_ONLY aplicación está configurado para su rastreo). A diferencia de un flujo de inicio de sesión de usuario delegado, no se requiere el inicio de sesión interactivo ni el consentimiento de cada usuario; la verificación utiliza el mismo registro y certificado de la aplicación, a través del Sites.Selected permiso Sites.FullControl.All o permiso, para confirmar que el usuario que realiza la consulta sigue teniendo acceso a cada documento.

Verificación de la configuración

Puede validar los permisos de la aplicación Entra independientemente de una solicitud de recuperación. Realice cada una de las siguientes comprobaciones:

  1. Microsoft Graph (rastreo):

    • Adquiera un token de aplicación con el alcance https://graph.microsoft.com/.default y confirme que la roles reclamación incluye User.Read.All yGroupMember.Read.All.

    • Llame al punto final de un sitio de Microsoft Graph (por ejemploGET https://graph.microsoft.com/v1.0/sites/{site}) y confirme que devuelve el sitio.

  2. SharePoint REST (verificación en tiempo real):

    • Adquiera un token utilizando la afirmación del cliente de certificados con alcancehttps://{tenant}.sharepoint.com/.default.

    • Confirma que la roles afirmación del token incluye el SharePoint Sites.FullControl.All (oSites.Selected) permiso. Un roles: null valor significa que falta el permiso o el consentimiento del administrador.

    • Llama GET https://{tenant}.sharepoint.com/_api/web y confirma que se ha realizado correctamente (HTTP 200). Una respuesta fallida o no autorizada significa que falta el SharePoint permiso o el consentimiento del administrador, lo que provoca que se denieguen todos los documentos.

Resolución de problemas

nota

Las configuraciones incorrectas de las ACL no producen errores explícitos durante la recuperación. Se produce un error al cerrar la recuperación: los documentos afectados se omiten de forma silenciosa, por lo que la consulta arroja menos resultados o no arroja ningún resultado en lugar de un error. Utilice las comprobaciones de verificación anteriores para diagnosticar estos problemas.

ACL-enabled SharePoint síntomas, causas y soluciones
Síntoma Causa probable Fix
Retrieve devuelve 0 resultados, pero el usuario tiene acceso a ellos SharePoint. Falta el SharePoint Sites.FullControl.All (oSites.Selected) permiso o el consentimiento del administrador, por lo que se rechaza la llamada SharePoint REST y se deniegan todos los documentos. Concede el SharePoint Sites.FullControl.All permiso (o Sites.Selected con concesiones por sitio) con el consentimiento del administrador. Como estas credenciales de la aplicación se almacenan en caché, espere hasta una hora para que el cambio surta efecto o pruébelas con un usuario que aún no haya sido consultado para confirmarlo antes posible.
Se modificó el acceso de un usuario SharePoint, pero el nuevo resultado no se refleja inmediatamente. Per-user En última instancia, los resultados de acceso son coherentes entre la fuente de datos y la base de conocimientos gestionada por Bedrock (normalmente en unos dos minutos), por lo que es posible que un cambio de acceso reciente no se refleje de inmediato. Una vez que la fuente de datos refleje el cambio, espere unos dos minutos y vuelva a intentarlo.
Se deniega el acceso a todos los usuarios después de haber trabajado previamente. El certificado ha caducado o se ha revocado el consentimiento del administrador. Renueve el certificado en el registro de la aplicación Entra y en Amazon S3 y vuelva a conceder el consentimiento del administrador.
El rastreo o la sincronización fallan aunque la configuración parece correcta. Falta un permiso de aplicación de Microsoft Graph obligatorio. Otorgar User.Read.All yGroupMember.Read.All.
Errores al acuñar el token o la contraseña del certificado. La .p12 contraseña no coincide. certificatePassword certificatePasswordDefina la contraseña utilizada para crear el .p12 archivo.