기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
액세스 제어 목록 인식 활성화
Bedrock 관리형 지식 기반은 연결된 데이터 소스에서 크롤링된 문서 수준 액세스 제어 목록(ACLs ACL 인식 검색을 지원합니다. 데이터 소스에서 ACL 인식이 활성화되면 Bedrock 관리형 지식 기반은 문서 콘텐츠와 함께 권한(허용된 사용자, 거부된 사용자, 허용된 그룹, 거부된 그룹)을 수집합니다. 쿼리 시 사용자 컨텍스트를 제공하면 Bedrock 관리형 지식 기반은 사용자가 액세스할 수 있는 문서만 반환합니다. 검색 시 사용자 컨텍스트를 전달하는 데 사용되는 요청 구문은 섹션을 참조하세요관리형 지식 기반에서 ACL 인식 검색.
ACL 인식은 권한 부여가 아닙니다.
Bedrock 관리형 지식 기반은 보안 경계가 아닌 ACL 인식 필터링을 제공합니다. Bedrock 관리형 지식 기반은 최종 사용자를 인증하지 않습니다. 애플리케이션은 사용자를 인증하고 확인된 자격 증명 컨텍스트를 전달할 책임이 있습니다. Bedrock 관리형 지식 기반은 사용자가 제공한 사용자 컨텍스트의 신뢰성을 확인할 수 없으므로이 기능은 사용자가 제공한 자격 증명을 기반으로 결과를 필터링하지만 실제 권한 부여를 구성하지는 않습니다. 업스트림 인증 없이이 기능을 유일한 액세스 제어 메커니즘으로 사용해서는 안 됩니다.
ACL 인식 검색 작동 방식
ACL 인식 검색은 두 단계로 작동합니다.
-
검색 전 필터링 - 수집 중에 Bedrock 관리형 지식 기반은 데이터 소스에서 문서 권한을 크롤링합니다. 쿼리 시 Bedrock Managed Knowledge Base는 사용자가 제공한 사용자 컨텍스트를 사용하여 검색 결과를 필터링하여 사용자(또는 해당 그룹)가 허용 목록에 표시되고 거부 목록에 표시되지 않는 문서만 반환합니다.
-
실시간 ACL 확인 - 이를 지원하는 커넥터(SharePoint, OneDrive, Google Drive, Confluence)의 경우 Bedrock 관리형 지식 기반은 데이터 소스를 실시간으로 호출하여 사용자가 반환된 각 문서에 여전히 액세스할 수 있는지 확인합니다. 이렇게 하면 동기화 간에 발생한 권한 변경 사항이 포착됩니다. 라이브 권한 시스템에서 크롤링하지 않고 고객이 구성 파일을 통해 ACL 메타데이터를 제공하기 때문에 S3 및 사용자 지정 커넥터는 실시간 확인을 지원하지 않습니다.
두 단계 모두 동일한 평가 로직을 사용합니다. 사용자가 문서에 대한 허용 목록과 거부 목록 모두에 나타나면 액세스가 거부됩니다. 거부는 항상 허용을 재정의합니다.
자격 증명 모델
Bedrock Managed Knowledge Base는 이메일을 ACL 매칭을 위한 범용 사용자 식별자로 사용합니다. 사용자는 항상 범용 이메일로 식별됩니다. 사용자 컨텍스트에서 전달하는 이메일은 연결된 각 데이터 소스의 사용자와 연결된 이메일과 정확히 일치해야 합니다. 별칭 확인 또는 cross-identity-provider 매핑은 없습니다. 반대로 그룹은 로 식별되지만 소스 커넥터는 그룹 이름, 그룹 ID 또는 다른 식별자와 같은 그룹을 나타내며 해당 데이터 소스에서 크롤링된 그룹 멤버십과 일치합니다.
그룹 멤버십은 데이터 소스에서 확인됩니다. 수집 중에 Bedrock 관리형 지식 기반은 각 데이터 소스에서 그룹 멤버십을 크롤링하여 내부적으로 저장합니다. 쿼리 시 Bedrock 관리형 지식 기반은이 크롤링된 데이터를 기반으로 사용자가 속한 그룹을 자동으로 확인합니다.
참고
그룹 멤버십은 마지막 동기화만큼 최신입니다. 동기화 간 권한 변경은 다음 수집 작업이 완료될 때까지 반영되지 않습니다. 실시간 ACL 확인을 지원하는 커넥터의 경우이 검사는 마지막 동기화 이후 발생한 권한 변경을 포착합니다.
커넥터 지원 매트릭스
모든 커넥터가 ACL 인식을 지원하는 것은 아닙니다. 다음 표에는 검색 전 필터링 및 실시간 ACL 확인을 지원하는 커넥터가 나와 있습니다.
| 커넥터 | 검색 전 필터 | 실시간 ACL | 참고 |
|---|---|---|---|
| SharePoint | 지원됨 | 지원됨 | 애플리케이션 수준 권한(2LO)을 사용합니다. ENTRA_ID_APP_ONLY 인증 유형이 필요합니다. |
| OneDrive | 지원됨 | 지원됨 | 애플리케이션 수준 권한(2LO)을 사용합니다. ENTRA_APP_ID 인증 유형이 필요합니다. |
| Google Drive | 지원됨 | 지원됨 | 도메인 전체 위임(2LO)을 사용합니다. SERVICE_ACCOUNT 인증 유형이 필요합니다. |
| Confluence | 지원됨 | 지원됨 | 실시간 검사에 관리자 API 토큰을 사용합니다. BASIC 인증 유형이 필요합니다. |
| Amazon S3 | 지원됨 | 지원되지 않음 | Amazon S3에서 고객이 제공한 ACLs 정의된 ACL입니다. 고객이 제공한 메타데이터 파일이 사실의 출처이므로 실시간 확인이 없습니다. |
| 사용자 지정 | 지원됨 | 지원되지 않음 | 고객 제공 메타데이터를 통해 정의된 ACLs입니다. 고객이 제공한 메타데이터가 사실의 출처이기 때문에 실시간 확인이 없습니다. |
| 웹 크롤러 | 지원되지 않음 | 해당 사항 없음 | 웹 콘텐츠에는 권한 모델이 없습니다. 이 커넥터에 대해 ACL 인식을 활성화할 수 없습니다. |
커넥터별 ACL 구성 세부 정보는 다음을 참조하세요.
실패 특성
ACL 인식 검색이 닫히지 않습니다. ACL 평가 파이프라인에서 그룹 해결 실패, 실시간 확인 제한 시간 또는 내부 서비스 오류와 같은 오류가 발생하는 경우 Bedrock 관리형 지식 기반은 영향을 받는 문서를 반환하지 않습니다. 일시적인 장애로 인해 권한이 없는 사용자에게 문서가 반환되지 않습니다.
ACL 실패가 발생하면 응답에 결과가 0개이거나 예상보다 적은 결과가 포함될 수 있습니다. 오류 응답은 ACL 해결 실패를 나타내므로 문서와 전혀 일치하지 않는 쿼리와 구별할 수 있습니다.
귀하의 책임
Bedrock 관리형 지식 기반은 완전한 권한 부여 솔루션이 아닌 ACL 인식 필터링을 제공하므로 다음과 같은 책임은 사용자에게 있습니다.
-
최종 사용자 인증 - Bedrock 관리형 지식 기반에 자격 증명을 전달하기 전에 애플리케이션의 사용자를 인증해야 합니다. Bedrock 관리형 지식 기반은 사용자가 제공한 사용자 컨텍스트가 신뢰할 수 있는지 확인하지 않습니다.
-
일관된 이메일 자격 증명 - 전달하는 이메일 주소는 연결된 각 데이터 소스에 사용된 이메일과 일치해야 합니다. 시스템마다 이메일이 다르면 ACL 일치가 자동으로 실패하고 사용자는 해당 데이터 소스로부터 결과를 받지 못합니다.
-
이메일 수명 주기 관리 - 이메일 주소가 다른 사람에게 재할당된 경우(예: 직원 퇴사 후) Bedrock 관리형 지식 기반에 자격 증명을 전달하기 전에 이를 감지해야 합니다. 실시간 ACL 확인은 이를 지원하는 커넥터의 안전망 역할을 하지만 적절한 자격 증명 수명 주기 관리를 대체하지는 않습니다.