View a markdown version of this page

Document-level controlli di accesso - Amazon Bedrock
Come funzionaCosa viene sottoposto a scansioneAbilita il riconoscimento ACLReal-time verifica dell'accessoVerifica la tua configurazioneRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Document-level controlli di accesso

La consapevolezza ACL non è un'autorizzazione

Bedrock Managed Knowledge Base fornisce un ACL-aware filtro, non un limite di sicurezza. Bedrock Managed Knowledge Base non autentica gli utenti finali: l'applicazione è responsabile dell'autenticazione degli utenti e del passaggio del contesto di identità verificato. Poiché Bedrock Managed Knowledge Base non è in grado di verificare l'autenticità del contesto utente fornito, questa funzione filtra i risultati in base all'identità fornita ma non costituisce una vera autorizzazione. Non devi fare affidamento su questa funzionalità come unico meccanismo di controllo degli accessi senza l'autenticazione a monte.

Le fonti di dati Confluence supportano opzionalmente il controllo degli accessi a livello di documento. Se abilitata, Bedrock Managed Knowledge Base sincronizza gli elenchi di controllo degli accessi (ACL) di Confluence durante ogni scansione e verifica le autorizzazioni di ciascun utente al momento della query, in modo che gli utenti vedano solo i risultati dei documenti a cui sono autorizzati ad accedere in Confluence. Per una panoramica del riconoscimento ACL su tutti i connettori, consulta. Attivazione del riconoscimento delle liste di controllo degli accessi

Come funziona

Quando un utente esegue una query su una knowledge base che utilizza un'origine dati ACL-enabled Confluence, Bedrock Managed Knowledge Base applica i controlli di accesso in due fasi:

  • Pre-retrieval filtraggio: Bedrock Managed Knowledge Base applica gli elenchi di controllo degli accessi sincronizzati da Confluence durante l'ultima scansione, restituendo solo i documenti candidati a cui l'utente (o i relativi gruppi) è autorizzato a accedere.

  • Real-time verifica: Bedrock Managed Knowledge Base verifica i documenti candidati in tempo reale controllando l'accesso corrente dell'utente che effettua la query in Confluence. Nella risposta sono inclusi solo i documenti a cui l'utente è attualmente autorizzato ad accedere.

Questo approccio in due fasi fornisce un controllo degli accessi a livello di documento che rimane aggiornato anche quando le autorizzazioni di Confluence cambiano tra le sincronizzazioni.

Cosa viene sottoposto a scansione

Quando gli ACL sono abilitati, Bedrock Managed Knowledge Base esegue la scansione delle seguenti strutture di autorizzazioni da Confluence:

  • Spazi: per impostazione predefinita, le autorizzazioni relative allo spazio si applicano a tutti i documenti nello spazio.

  • Pagine: le pagine possono essere limitate a utenti e gruppi specifici. Le pagine annidate ereditano le restrizioni dalla pagina principale.

  • Blog: i post del blog possono essere limitati a utenti e gruppi specifici.

  • Allegati: i file allegati alle pagine o ai post del blog ereditano i controlli di accesso del documento principale.

Abilita il riconoscimento ACL

Per abilitare il riconoscimento ACL per un'origine dati Confluence, imposta aclEnabled true in connectorParameters e utilizza il tipo di autenticazione. BASIC Il segreto deve includere le credenziali di amministratore dell'organizzazione Atlassian oltre all'e-mail e al token API standard. Queste credenziali di amministratore sono necessarie per la scansione delle identità.

Importante

La configurazione ACL è permanente. Non è possibile abilitare gli ACL su un'origine dati creata senza il supporto ACL e non è possibile disabilitare gli ACL una volta abilitati.

Oltre allo standardusername, password (token API) e ai hostUrl campi, il Gestione dei segreti AWS segreto deve includere i seguenti campi di amministrazione dell'organizzazione. Per istruzioni dettagliate su come ottenere questi valori, consulta. Configurare l'autenticazione di base per Confluence

  • adminApiKey— Una chiave API dell'organizzazione Atlassian con ambiti e. read:directories:admin read:workspaces:admin

  • organizationId— L'UUID della tua organizzazione Atlassian.

  • directoryId— L'UUID della directory utente per il tuo spazio di lavoro Confluence.

Nota

Il tipo di OAUTH2 autenticazione non è supportato per le fonti di dati Confluence. ACL-enabled È necessario utilizzare le credenziali BASIC di amministratore dell'organizzazione Atlassian in modalità segreta.

Real-time verifica dell'accesso

Bedrock Managed Knowledge Base verifica ogni documento candidato rispetto a Confluence al momento della query, interamente sul lato server, utilizzando il token API Atlassian Admin configurato in modo segreto: non è previsto l'accesso da parte dell'utente finale. Il token di amministrazione controlla lo spazio corrente, la pagina e le restrizioni del blog dell'utente che esegue l'interrogazione, quindi le modifiche di accesso apportate dopo l'ultima scansione vengono rispettate.

Verifica la tua configurazione

Puoi convalidare le tue credenziali indipendentemente da una richiesta di recupero. Eseguite ciascuno dei seguenti controlli:

  1. Accesso ai contenuti di Confluence (scansione):

    • Utilizzando il token username and API (password) del segreto, chiama l'API REST di Confluence (ad esempio, elenca gli spazi) e conferma che restituisca HTTP 200.

  2. API Atlassian Admin (scansione dell'identità e verifica in tempo reale):

    • Conferma che adminApiKey ha gli ambiti e. read:directories:admin read:workspaces:admin

    • UtilizzandoadminApiKey, richiama l'API di amministrazione della directory di amministrazione di Atlassian organizationId directoryId e conferma che restituisca gli utenti e i gruppi della tua organizzazione.

Risoluzione dei problemi

Nota

Le configurazioni errate dell'ACL non producono errori espliciti durante il recupero. Il recupero non riesce a essere chiuso: i documenti interessati vengono omessi automaticamente, quindi una query restituisce un numero inferiore o nullo di risultati anziché un errore. Utilizza i controlli di verifica sopra riportati per diagnosticare questi problemi.

ACL-enabled Sintomi, cause e correzioni della confluenza
Caratteristiche Causa probabile Correggere
Recupera restituisce 0 risultati, ma l'utente ha accesso in Confluence. Alla chiave API Atlassian Admin mancano gli ambiti oorganizationId/directoryIdè errato, quindi le restrizioni relative a utenti e gruppi non possono essere risolte. Conferma che i adminApiKey valori ha read:directories:admin e read:workspaces:admin che organizationId e directoryId sono corretti.
La scansione o la sincronizzazione non riescono. Il token username o API (password) non è valido. Verifica il BASIC nome utente e il token API nel codice segreto.
Tutti gli utenti vengono rifiutati dopo aver lavorato in precedenza. Il token API o la chiave API di amministrazione sono scaduti o sono stati revocati. Ruota le credenziali interessate nella cartella segreta.