View a markdown version of this page

Ativação de conscientização de listas de controle de acesso - Amazon Bedrock
Como funciona a ACL-aware recuperaçãoModelo de identidadeMatriz de suporte de conectoresComportamento com falhaSuas responsabilidades

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ativação de conscientização de listas de controle de acesso

O Bedrock Managed Knowledge Base oferece suporte à ACL-aware recuperação — a capacidade de filtrar os resultados da consulta com base nas listas de controle de acesso (ACLs) em nível de documento rastreadas de suas fontes de dados conectadas. Quando o reconhecimento de ACL é ativado em uma fonte de dados, a Base de Conhecimento Gerenciada da Bedrock ingere as permissões (usuários permitidos, usuários negados, grupos permitidos, grupos negados) junto com o conteúdo do documento. No momento da consulta, você fornece um contexto de usuário e a Base de Conhecimento Gerenciada da Bedrock retorna somente os documentos que o usuário tem permissão para acessar. Para a sintaxe da solicitação usada para transmitir o contexto do usuário no momento da recuperação, consulte. ACL-aware recuperação em bases de conhecimento gerenciadas

O reconhecimento da ACL não é autorização

A Base de Conhecimento Gerenciada Bedrock fornece ACL-aware filtragem, não um limite de segurança. A Base de Conhecimento Gerenciada da Bedrock não autentica usuários finais — seu aplicativo é responsável por autenticar usuários e transmitir o contexto de identidade verificado. Como a Base de Conhecimento Gerenciada da Bedrock não pode verificar a autenticidade do contexto de usuário que você fornece, esse recurso filtra os resultados com base na identidade que você fornece, mas não constitui uma autorização verdadeira. Você não deve confiar nesse recurso como um único mecanismo de controle de acesso sem a autenticação upstream.

Como funciona a ACL-aware recuperação

ACL-aware a recuperação opera em duas etapas:

  • Pre-retrieval filtragem — Durante a ingestão, a Base de Conhecimento Gerenciada da Bedrock rastreia as permissões do documento a partir da fonte de dados. No momento da consulta, a Base de Conhecimento Gerenciada da Bedrock usa o contexto do usuário que você fornece para filtrar os resultados da pesquisa, retornando somente documentos nos quais o usuário (ou seus grupos) aparece na lista de permissões e não aparece na lista de negação.

  • Real-time Verificação de ACL — Para conectores que a suportam (SharePoint,, Google Drive OneDrive, Confluence), a Base de Conhecimento Gerenciada da Bedrock faz uma chamada em tempo real para a fonte de dados para verificar se o usuário ainda tem acesso a cada documento devolvido. Isso captura as alterações de permissão que ocorreram entre as sincronizações. Os conectores S3 e Custom não oferecem suporte à verificação em tempo real porque seus metadados de ACL são fornecidos pelo cliente por meio de arquivos de configuração, em vez de serem rastreados de um sistema de permissão ativo.

Ambos os estágios usam a mesma lógica de avaliação: se um usuário aparecer tanto na lista de permissões quanto na lista de negação de um documento, o acesso é negado. Negar sempre substitui a permissão.

Modelo de identidade

A Base de Conhecimento Gerenciada da Bedrock usa e-mail como identificador de usuário universal para correspondência de ACL. O usuário é sempre identificado por seu e-mail universal — o e-mail que você envia no contexto do usuário deve corresponder exatamente ao e-mail associado ao usuário em cada fonte de dados conectada. Não há resolução de alias nem mapeamento entre provedores de identidade. Os grupos, por outro lado, são identificados pela forma como o conector de origem os representa — um nome de grupo, uma ID de grupo ou outro identificador — e são comparados com as associações de grupos rastreadas dessa fonte de dados.

As associações ao grupo são resolvidas a partir da fonte de dados. Durante a ingestão, a Base de Conhecimento Gerenciada da Bedrock rastreia as associações de grupos de cada fonte de dados e as armazena internamente. No momento da consulta, a Base de Conhecimento Gerenciada da Bedrock resolve a quais grupos um usuário pertence com base nesses dados rastreados automaticamente.

nota

As associações de grupos são tão recentes quanto a última sincronização. As alterações de permissão entre as sincronizações não são refletidas até que o próximo trabalho de ingestão seja concluído. Para conectores que oferecem suporte à verificação de ACL em tempo real, essa verificação captura as alterações de permissão que ocorreram desde a última sincronização.

Matriz de suporte de conectores

Nem todos os conectores oferecem suporte ao reconhecimento de ACL. A tabela a seguir mostra quais conectores oferecem suporte à filtragem de pré-recuperação e à verificação de ACL em tempo real.

Suporte ACL por conector
Conector Pre-retrieval filtrar Real-time ACL Observações
SharePoint Compatível Compatível Usa permissões em nível de aplicativo (2LO). Requer tipo de ENTRA_ID_APP_ONLY autenticação.
OneDrive Compatível Compatível Usa permissões em nível de aplicativo (2LO). Requer tipo de ENTRA_APP_ID autenticação.
Google Drive Compatível Compatível Usa delegação em todo o domínio (2LO). Requer tipo de SERVICE_ACCOUNT autenticação.
Confluence Compatível Compatível Usa o token da API de administração para verificações em tempo real. Requer tipo de BASIC autenticação.
Amazon S3 Compatível Não compatível ACLs definidas por meio de um arquivo de configuração de ACL fornecido pelo cliente no Amazon S3. Não há verificação em tempo real porque o arquivo de metadados fornecido pelo cliente é a fonte da verdade.
Personalizado Compatível Não compatível ACLs definidas por meio de metadados fornecidos pelo cliente. Não há verificação em tempo real porque os metadados fornecidos pelo cliente são a fonte da verdade.
Web Crawler Não compatível N/A O conteúdo da Web não tem modelo de permissão. O reconhecimento de ACL não pode ser habilitado para esse conector.

Para obter detalhes de configuração de ACL específicos do conector, consulte:

Comportamento com falha

ACL-aware falha de recuperação fechada. Se alguma parte do pipeline de avaliação da ACL encontrar um erro — falha na resolução do grupo, tempo limite de verificação em tempo real ou erro de serviço interno — a Base de Conhecimento Gerenciada da Bedrock não retornará os documentos afetados. Uma falha transitória nunca resulta na devolução de documentos a usuários não autorizados.

Quando ocorre uma falha no ACL, a resposta pode conter zero resultados ou menos resultados do que o esperado. As respostas de erro indicam uma falha na resolução da ACL para que você possa diferenciá-la de uma consulta que realmente não correspondeu a nenhum documento.

Suas responsabilidades

Como a Base de Conhecimento Gerenciada da Bedrock fornece ACL-aware filtragem e não uma solução de autorização completa, você é responsável pelo seguinte:

  • Autenticação de usuários finais — Você deve autenticar os usuários em seu aplicativo antes de passar a identidade deles para a Base de Conhecimento Gerenciada da Bedrock. A Base de Conhecimento Gerenciada da Bedrock não verifica se o contexto do usuário que você fornece é autêntico.

  • Identidade de e-mail consistente — O endereço de e-mail que você envia deve corresponder ao e-mail usado em cada fonte de dados conectada. Se os e-mails forem diferentes entre os sistemas, a correspondência de ACL falhará silenciosamente e o usuário não receberá resultados dessa fonte de dados.

  • Gerenciamento do ciclo de vida do e-mail — Se um endereço de e-mail for reatribuído a uma pessoa diferente (por exemplo, após a saída de um funcionário), você deverá detectar isso antes de passar a identidade para a Base de Conhecimento Gerenciada da Bedrock. Real-time A verificação da ACL atua como uma rede de segurança para os conectores que a suportam, mas não substitui o gerenciamento adequado do ciclo de vida da identidade.