View a markdown version of this page

Document-level controles de acesso - Amazon Bedrock
Como funcionaO que é rastejadoHabilite o reconhecimento da ACLReal-time verificação de acessoVerificar sua configuração.Solução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Document-level controles de acesso

O reconhecimento da ACL não é autorização

A Base de Conhecimento Gerenciada Bedrock fornece ACL-aware filtragem, não um limite de segurança. A Base de Conhecimento Gerenciada da Bedrock não autentica usuários finais — seu aplicativo é responsável por autenticar usuários e transmitir o contexto de identidade verificado. Como a Base de Conhecimento Gerenciada da Bedrock não pode verificar a autenticidade do contexto de usuário que você fornece, esse recurso filtra os resultados com base na identidade que você fornece, mas não constitui uma autorização verdadeira. Você não deve confiar nesse recurso como um único mecanismo de controle de acesso sem a autenticação upstream.

As fontes de dados do Confluence oferecem suporte opcional ao controle de acesso em nível de documento. Quando ativada, a Base de Conhecimento Gerenciada do Bedrock sincroniza as listas de controle de acesso (ACLs) do Confluence durante cada rastreamento e verifica as permissões de cada usuário no momento da consulta, para que os usuários vejam apenas os resultados dos documentos que estão autorizados a acessar no Confluence. Para obter uma visão geral do reconhecimento de ACL em todos os conectores, consulte. Ativação de conscientização de listas de controle de acesso

Como funciona

Quando um usuário consulta uma base de conhecimento que usa uma fonte de dados do ACL-enabled Confluence, a Base de Conhecimento Gerenciada da Bedrock impõe controles de acesso em dois estágios:

  • Pre-retrieval filtragem — O Bedrock Managed Knowledge Base aplica as listas de controle de acesso que foram sincronizadas do Confluence durante o último rastreamento, retornando somente documentos candidatos que o usuário (ou seus grupos) tem permissão para acessar.

  • Real-time verificação — A Base de Conhecimento Gerenciada da Bedrock verifica os documentos candidatos em tempo real, verificando o acesso atual do usuário consultor no Confluence. Somente os documentos que o usuário está atualmente autorizado a acessar são incluídos na resposta.

Essa abordagem de dois estágios fornece controle de acesso em nível de documento que permanece atualizado mesmo quando as permissões do Confluence mudam entre as sincronizações.

O que é rastejado

Quando as ACLs estão habilitadas, a Base de Conhecimento Gerenciada da Bedrock rastreia as seguintes estruturas de permissão do Confluence:

  • Espaços — As permissões de espaço se aplicam a todos os documentos no espaço por padrão.

  • Páginas — As páginas podem ser restritas a usuários e grupos específicos. As páginas aninhadas herdam as restrições da página principal.

  • Blogs — As postagens do blog podem ser restritas a usuários e grupos específicos.

  • Anexos — Os arquivos anexados às páginas ou publicações do blog herdam os controles de acesso do documento principal.

Habilite o reconhecimento da ACL

Para habilitar o reconhecimento de ACL para uma fonte de dados do Confluence, aclEnabled defina true como connectorParameters e use o BASIC tipo de autenticação. O segredo deve incluir as credenciais de administrador da organização Atlassian, além do e-mail padrão e do token da API. Essas credenciais de administrador são necessárias para o rastreamento de identidade.

Importante

A configuração da ACL é permanente. Você não pode habilitar ACLs em uma fonte de dados criada sem suporte a ACL e não pode desabilitar ACLs depois de ativadas.

Além do padrão username password (token de API) e dos hostUrl campos, o AWS Secrets Manager segredo deve incluir os seguintes campos de administração da organização. Para obter instruções passo a passo para obter esses valores, consulte. Configurar a autenticação básica para o Confluence

  • adminApiKey— Uma chave de API organizacional da Atlassian com os escopos read:directories:admin e. read:workspaces:admin

  • organizationId— O UUID da sua organização Atlassian.

  • directoryId— O UUID do diretório de usuários do seu espaço de trabalho do Confluence.

nota

O tipo de OAUTH2 autenticação não é compatível com fontes de dados do ACL-enabled Confluence. Você deve usar BASIC as credenciais de administrador da organização Atlassian em segredo.

Real-time verificação de acesso

A Base de Conhecimento Gerenciada da Bedrock verifica cada documento candidato em relação ao Confluence no momento da consulta, inteiramente no lado do servidor, usando o token Atlassian Admin API configurado em segredo — não há login do usuário final. O token de administrador verifica as restrições atuais de espaço, página e blog do usuário consultor, para que as alterações de acesso feitas desde o último rastreamento sejam respeitadas.

Verificar sua configuração.

Você pode validar suas credenciais independentemente de uma solicitação de recuperação. Execute cada uma das seguintes verificações:

  1. Acesso ao conteúdo do Confluence (rastreamento):

    • Usando o token username e API (password) do segredo, chame a API REST do Confluence (por exemplo, espaços de lista) e confirme se ela retorna HTTP 200.

  2. API de administração da Atlassian (rastreamento de identidade e verificação em tempo real):

    • Confirme adminApiKey se tem read:directories:admin os read:workspaces:admin escopos e.

    • Usando oadminApiKey, chame a API do diretório administrativo da Atlassian para você organizationId directoryId e confirme se ela retorna os usuários e grupos da sua organização.

Solução de problemas

nota

As configurações incorretas da ACL não produzem erros explícitos durante a recuperação. Falha na recuperação: os documentos afetados são omitidos silenciosamente, então uma consulta retorna menos ou zero resultados em vez de um erro. Use as verificações de verificação acima para diagnosticar esses problemas.

ACL-enabled Sintomas, causas e soluções do Confluence
Sintomas Causa provável Correção
Recuperar retorna 0 resultados, mas o usuário tem acesso no Confluence. A chave da API Atlassian Admin não tem escopos ou oorganizationId/directoryIdestá errado, então as restrições de usuários e grupos não podem ser resolvidas. Confirme adminApiKey se tem read:directories:admin eread:workspaces:admin, e aquilo organizationId e directoryId estão corretos.
Falha no rastreamento ou na sincronização. O token da API username ou (password) é inválido. Verifique o BASIC nome de usuário e o token da API no segredo.
Todos os usuários são negados depois de trabalharem anteriormente. O token da API ou a chave da API do administrador expiraram ou foram revogados. Gire as credenciais afetadas no segredo.