Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Akses Kontrol Daftar pemberdayaan kesadaran
Basis Pengetahuan Terkelola Bedrock mendukung *ACL-aware pengambilan* — kemampuan untuk memfilter hasil kueri berdasarkan daftar kontrol akses tingkat dokumen (ACL) yang dirayapi dari sumber data Anda yang terhubung. Ketika kesadaran ACL diaktifkan pada sumber data, Basis Pengetahuan Terkelola Bedrock menyerap izin (pengguna yang diizinkan, pengguna yang ditolak, grup yang diizinkan, grup yang ditolak) di samping konten dokumen. Pada saat kueri, Anda menyediakan konteks pengguna dan Basis Pengetahuan Terkelola Batuan Dasar hanya mengembalikan dokumen yang diizinkan untuk diakses pengguna. Untuk sintaks permintaan yang digunakan untuk meneruskan konteks pengguna pada waktu pengambilan, lihat. [ACL-aware pengambilan pada basis pengetahuan yang dikelola](kb-test-retrieve-acl.md)
**Kesadaran ACL bukanlah otorisasi**
Basis Pengetahuan Terkelola Batuan Dasar menyediakan *ACL-aware penyaringan*, bukan batas keamanan. Basis Pengetahuan Terkelola Bedrock tidak mengautentikasi pengguna akhir — aplikasi Anda bertanggung jawab untuk mengautentikasi pengguna dan meneruskan konteks identitas terverifikasi. Karena Basis Pengetahuan Terkelola Bedrock tidak dapat memverifikasi keaslian konteks pengguna yang Anda berikan, fitur ini memfilter hasil berdasarkan identitas yang Anda berikan tetapi bukan merupakan otorisasi yang benar. Anda tidak boleh mengandalkan fitur ini sebagai mekanisme kontrol akses tunggal tanpa otentikasi hulu.
## Cara ACL-aware kerja pengambilan
ACL-aware pengambilan beroperasi dalam dua tahap:
+ **Pre-retrieval pemfilteran** — Selama konsumsi, Basis Pengetahuan Terkelola Batuan Dasar merayapi izin dokumen dari sumber data. Pada saat kueri, Pangkalan Pengetahuan Terkelola Bedrock menggunakan konteks pengguna yang Anda berikan untuk memfilter hasil pencarian, hanya menampilkan dokumen tempat pengguna (atau grup mereka) muncul dalam daftar izinkan dan tidak muncul dalam daftar tolak.
+ **Real-time Verifikasi ACL** — Untuk konektor yang mendukungnya (SharePoint, OneDrive, Google Drive, Confluence), Bedrock Managed Knowledge Base membuat panggilan real-time ke sumber data untuk memverifikasi bahwa pengguna masih memiliki akses ke setiap dokumen yang dikembalikan. Ini menangkap perubahan izin yang terjadi di antara sinkronisasi. Konektor S3 dan Kustom tidak mendukung verifikasi real-time karena metadata ACL mereka disediakan oleh pelanggan melalui file konfigurasi daripada dirayapi dari sistem izin langsung.
Kedua tahap menggunakan logika evaluasi yang sama: jika pengguna muncul di daftar izinkan dan daftar penolakan untuk dokumen, akses ditolak. Tolak selalu mengesampingkan izinkan.
## Model identitas
Basis Pengetahuan Terkelola Bedrock menggunakan *email* sebagai pengenal pengguna universal untuk pencocokan ACL. Pengguna *selalu* diidentifikasi oleh email universal mereka — email yang Anda kirimkan dalam konteks pengguna harus sama persis dengan email yang terkait dengan pengguna di setiap sumber data yang terhubung. Tidak ada resolusi alias atau pemetaan lintas-penyedia identitas. Grup, sebaliknya, diidentifikasi oleh konektor sumber mewakili mereka — nama grup, ID grup, atau pengidentifikasi lain — dan dicocokkan dengan keanggotaan grup yang dirayapi dari sumber data tersebut.
Keanggotaan grup diselesaikan dari sumber data. Selama konsumsi, Bedrock Managed Knowledge Base merayapi keanggotaan grup dari setiap sumber data dan menyimpannya secara internal. Pada saat kueri, Basis Pengetahuan Terkelola Bedrock menyelesaikan grup mana yang dimiliki pengguna berdasarkan data yang dirayapi ini secara otomatis.
**catatan**
Keanggotaan grup sama segar seperti sinkronisasi terakhir. Perubahan izin antar sinkronisasi tidak tercermin sampai pekerjaan konsumsi berikutnya selesai. Untuk konektor yang mendukung verifikasi ACL real-time, pemeriksaan ini menangkap perubahan izin yang terjadi sejak sinkronisasi terakhir.
## Matriks dukungan konektor
Tidak semua konektor mendukung kesadaran ACL. Tabel berikut menunjukkan konektor mana yang mendukung penyaringan pra-pengambilan dan verifikasi ACL waktu nyata.
**Dukungan ACL dengan konektor**
| Konektor | Pre-retrieval menyaring | Real-time ACL | Catatan |
| --- | --- | --- | --- |
| [SharePoint](kb-managed-ds-sharepoint-acl.md) | Didukung | Didukung | Menggunakan izin tingkat aplikasi (2LO). Membutuhkan jenis ENTRA\_ID\_APP\_ONLY autentikasi. |
| [OneDrive](kb-managed-ds-onedrive-acl.md) | Didukung | Didukung | Menggunakan izin tingkat aplikasi (2LO). Membutuhkan jenis ENTRA\_APP\_ID autentikasi. |
| [Google Drive](kb-managed-ds-googledrive-acl.md) | Didukung | Didukung | Menggunakan delegasi seluruh domain (2LO). Membutuhkan jenis SERVICE\_ACCOUNT autentikasi. |
| [Pertemuan](kb-managed-ds-confluence-acl.md) | Didukung | Didukung | Menggunakan token API admin untuk pemeriksaan waktu nyata. Membutuhkan jenis BASIC autentikasi. |
| [Amazon S3](kb-managed-ds-s3-acl.md) | Didukung | Tidak Support | ACL didefinisikan melalui file konfigurasi ACL yang disediakan pelanggan di Amazon S3. Tidak ada verifikasi real-time karena file metadata yang disediakan pelanggan adalah sumber kebenaran. |
| [Kustom](kb-managed-ds-custom-acl.md) | Didukung | Tidak Support | ACL didefinisikan melalui metadata yang disediakan pelanggan. Tidak ada verifikasi real-time karena metadata yang disediakan pelanggan adalah sumber kebenaran. |
| Perayap Web | Tidak didukung | N/A | Konten web tidak memiliki model izin. Kesadaran ACL tidak dapat diaktifkan untuk konektor ini. |
Untuk detail konfigurasi ACL khusus konektor, lihat:
+ [Kesadaran ACL untuk SharePoint](kb-managed-ds-sharepoint-acl.md)
+ [Kesadaran ACL untuk OneDrive](kb-managed-ds-onedrive-acl.md)
+ [Kesadaran ACL untuk Google Drive](kb-managed-ds-googledrive-acl.md)
+ [Kesadaran ACL untuk Confluence](kb-managed-ds-confluence-acl.md)
+ [Kesadaran ACL untuk Amazon S3](kb-managed-ds-s3-acl.md)
+ [Kesadaran ACL untuk Custom](kb-managed-ds-custom-acl.md)
## Perilaku kegagalan
ACL-aware pengambilan gagal ditutup. Jika ada bagian dari pipeline evaluasi ACL yang mengalami kesalahan — kegagalan resolusi grup, batas waktu verifikasi waktu nyata, atau kesalahan layanan internal — Pangkalan Pengetahuan Terkelola Batuan Dasar tidak mengembalikan dokumen yang terpengaruh. Kegagalan sementara tidak pernah mengakibatkan dokumen dikembalikan ke pengguna yang tidak sah.
Ketika kegagalan ACL terjadi, respons mungkin berisi hasil nol atau hasil yang lebih sedikit dari yang diharapkan. Tanggapan kesalahan menunjukkan kegagalan resolusi ACL sehingga Anda dapat membedakannya dari kueri yang benar-benar tidak cocok dengan dokumen.
## Tanggung jawab Anda
Karena Basis Pengetahuan Terkelola Bedrock menyediakan ACL-aware pemfilteran dan bukan solusi otorisasi lengkap, Anda bertanggung jawab untuk hal-hal berikut:
+ **Mengautentikasi pengguna akhir** — Anda harus mengautentikasi pengguna dalam aplikasi Anda sebelum meneruskan identitas mereka ke Basis Pengetahuan Terkelola Batuan Dasar. Basis Pengetahuan Terkelola Bedrock tidak memverifikasi bahwa konteks pengguna yang Anda berikan adalah otentik.
+ **Identitas email yang konsisten** — Alamat email yang Anda lewati harus sesuai dengan email yang digunakan di setiap sumber data yang terhubung. Jika email berbeda di seluruh sistem, pencocokan ACL gagal secara diam-diam dan pengguna tidak menerima hasil dari sumber data tersebut.
+ **Manajemen siklus hidup email** - Jika alamat email dipindahkan ke orang lain (misalnya, setelah keberangkatan karyawan), Anda harus mendeteksi ini sebelum meneruskan identitas ke Pangkalan Pengetahuan Terkelola Batuan Dasar. Real-time Verifikasi ACL bertindak sebagai jaring pengaman untuk konektor yang mendukungnya, tetapi bukan pengganti manajemen siklus hidup identitas yang tepat.