Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
ACL-aware recuperación en bases de conocimiento gestionadas
Cuando se habilita el reconocimiento de las ACL en una fuente de datos de base de conocimientos gestionada, se filtran los resultados de las consultas introduciendo un contexto de usuario en la solicitud de recuperación. La base de conocimientos gestionada de Bedrock devuelve solo los documentos a los que el usuario proporcionado puede acceder. Para obtener una descripción general de cómo funciona el reconocimiento de la ACL, el modelo de identidad, el soporte de los conectores y sus responsabilidades a la hora de habilitarla, consulteHabilitación del conocimiento de las listas de control de acceso.
importante
El reconocimiento de la ACL proporciona ACL-aware filtrado, no autorización. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación debe autenticar a los usuarios y pasar por un contexto de identidad verificado. Para obtener más información, consulte Habilitación del conocimiento de las listas de control de acceso.
Uso de UserContext en las solicitudes de recuperación
Para realizar la ACL-aware recuperación, incluye el userContext campo en tu solicitud de recuperación. userContextEspecifica la identidad del usuario. userIdEs siempre la dirección de correo electrónico universal del usuario asociada a la fuente de datos subyacente.
{ "knowledgeBaseId": "your-knowledge-base-id", "retrievalQuery": { "text": "your query" }, "userContext": { "userId": "user@example.com" } }
Si no proporciona una solicitud userContext de recuperación, las fuentes de ACL-enabled datos no arrojan ningún resultado. Non-ACL las fuentes de datos de la misma base de conocimientos devuelven los resultados normalmente.
Comportamiento de recuperación con ACL
Cuando se habilita el reconocimiento de la ACL, se aplican los siguientes comportamientos:
-
Se requiere el contexto de usuario para las fuentes de ACL-enabled datos: si no proporciona el contexto de usuario en una solicitud de recuperación, las fuentes de ACL-enabled datos no arrojan ningún resultado. Non-ACL Las fuentes de datos de la misma base de conocimientos devuelven los resultados normalmente.
-
La falta de metadatos de la ACL significa que es inaccesible: si un documento de una fuente de ACL-enabled datos no tiene una ACL (por ejemplo, el conector no pudo extraer los permisos o el documento es público), ese documento no se devuelve a ningún usuario. Los permisos faltantes se consideran restringidos, no públicos.
-
Fuentes de datos mixtas: puede tener tanto ACL-enabled fuentes de datos como fuentes de datos ajenas a ACL en la misma base de conocimientos. Los documentos de fuentes de datos ajenas a ACL se devuelven a todos los usuarios, independientemente del contexto del usuario.
-
Resultados parciales: cuando la verificación de la ACL en tiempo real deniega el acceso a algunos documentos, la respuesta puede contener menos resultados de los solicitados
maxResults. La base de conocimientos gestionada de Bedrock no se rellena con documentos adicionales. Su solicitud debe gestionar las respuestas con menos resultados de los solicitados. -
Denegar las anulaciones: si un usuario aparece tanto en una lista de documentos permitidos como en una lista de rechazados, se deniega el acceso.
nota
Third-party las credenciales del proveedor de identidad se almacenan en caché durante un máximo de 1 hora. El acceso puede continuar hasta que se actualice la memoria caché.
Con el tiempo, los cambios en los permisos de control de acceso son consistentes. Las actualizaciones suelen surtir efecto en unos minutos.
Resolución de problemas
Si la ACL-aware recuperación no arroja resultados o los resultados son inesperados, la causa suele ser específica del conector: permisos, credenciales o configuración de ACL. Consulte la guía de solución de problemas de su conector: