翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクセスコントロールリストの認識の有効化
Bedrock Managed Knowledge Base は、ACL 対応の取得をサポートしています。これは、接続されたデータソースからクロールされたドキュメントレベルのアクセスコントロールリスト (ACLs) に基づいてクエリ結果をフィルタリングする機能です。データソースで ACL 対応が有効になっている場合、Bedrock Managed Knowledge Base はドキュメントコンテンツとともにアクセス許可 (許可されたユーザー、拒否されたユーザー、許可されたグループ、拒否されたグループ) を取り込みます。クエリ時にユーザーコンテキストを指定すると、Bedrock Managed Knowledge Base はユーザーがアクセスできるドキュメントのみを返します。取得時にユーザーコンテキストを渡すために使用されるリクエスト構文については、「」を参照してくださいマネージドナレッジベースでの ACL 対応の取得。
ACL 対応は認可ではありません
Bedrock マネージドナレッジベースは、セキュリティ境界ではなく、ACL 対応のフィルタリングを提供します。Bedrock Managed Knowledge Base はエンドユーザーを認証しません。アプリケーションはユーザーを認証し、検証済みの ID コンテキストを渡す責任があります。Bedrock マネージドナレッジベースは、指定したユーザーコンテキストの信頼性を検証できないため、この機能は指定した ID に基づいて結果をフィルタリングしますが、真の認可を構成するものではありません。アップストリーム認証なしでは、この機能を唯一のアクセスコントロールメカニズムとして使用しないでください。
ACL 対応の取得の仕組み
ACL 対応の取得は、次の 2 つの段階で動作します。
-
取得前フィルタリング — Bedrock Managed Knowledge Base は、取り込み中にデータソースからドキュメントのアクセス許可をクロールします。クエリ時に、Bedrock Managed Knowledge Base は指定したユーザーコンテキストを使用して検索結果をフィルタリングし、ユーザー (またはそのグループ) が許可リストに表示され、拒否リストに表示されないドキュメントのみを返します。
-
リアルタイム ACL 検証 — それをサポートするコネクタ (SharePoint、OneDrive、Google Drive、Confluence) の場合、Bedrock Managed Knowledge Base はデータソースをリアルタイムで呼び出して、返された各ドキュメントにユーザーが引き続きアクセスできることを確認します。これにより、同期間で発生したアクセス許可の変更がキャッチされます。S3 およびカスタムコネクタは、リアルタイム検証をサポートしていません。ACL メタデータは、ライブアクセス許可システムからクロールされるのではなく、設定ファイルを介して顧客によって提供されるためです。
どちらのステージも同じ評価ロジックを使用します。ユーザーがドキュメントの許可リストと拒否リストの両方に表示される場合、アクセスは拒否されます。拒否は常に許可を上書きします。
ID モデル
Bedrock マネージドナレッジベースは、ACL マッチングのユニバーサルユーザー識別子として E メールを使用します。ユーザーは常にユニバーサル E メールで識別されます。ユーザーコンテキストで渡す E メールは、接続された各データソースのユーザーに関連付けられた E メールと完全に一致する必要があります。エイリアス解決やcross-identity-providerマッピングはありません。対照的に、グループは、ソースコネクタがグループ名、グループ ID、または別の識別子をどのように表すかによって識別され、そのデータソースからクロールされたグループメンバーシップと照合されます。
グループメンバーシップはデータソースから解決されます。取り込み中、Bedrock Managed Knowledge Base は各データソースからグループメンバーシップをクロールし、内部に保存します。クエリ時に、Bedrock Managed Knowledge Base は、このクロールされたデータに基づいて、ユーザーが属するグループを自動的に解決します。
注記
グループメンバーシップは、最後の同期と同じくらい最新です。同期間のアクセス許可の変更は、次の取り込みジョブが完了するまで反映されません。リアルタイム ACL 検証をサポートするコネクタの場合、このチェックは前回の同期以降に発生したアクセス許可の変更をキャッチします。
コネクタサポートマトリックス
すべてのコネクタが ACL 対応をサポートしているわけではありません。次の表は、取得前フィルタリングとリアルタイム ACL 検証をサポートするコネクタを示しています。
| コネクタ | 取得前フィルター | リアルタイム ACL | 注意事項 |
|---|---|---|---|
| SharePoint | サポート対象 | サポート | アプリケーションレベルのアクセス許可 (2LO) を使用します。ENTRA_ID_APP_ONLY 認証タイプが必要です。 |
| OneDrive | サポート対象 | サポート | アプリケーションレベルのアクセス許可 (2LO) を使用します。ENTRA_APP_ID 認証タイプが必要です。 |
| Google ドライブ | サポート対象 | サポート | ドメイン全体の委任 (2LO) を使用します。SERVICE_ACCOUNT 認証タイプが必要です。 |
| Confluence | サポート対象 | サポート | リアルタイムチェックに管理者 API トークンを使用します。BASIC 認証タイプが必要です。 |
| Amazon S3 | サポート | サポートされていません | Amazon ACLs S3 でお客様が用意した ACL 設定ファイルを介して定義された ACL。 Amazon S3 お客様が用意したメタデータファイルが信頼できるソースであるため、リアルタイム検証は行われません。 |
| カスタム | サポート | サポートされていません | お客様が用意したメタデータで定義される ACLs。顧客が提供したメタデータが信頼できる情報源であるため、リアルタイム検証は行われません。 |
| Web Crawler | サポートされていません | 該当なし | ウェブコンテンツにはアクセス許可モデルがありません。このコネクタでは ACL 対応を有効にすることはできません。 |
コネクタ固有の ACL 設定の詳細については、以下を参照してください。
失敗動作
ACL 対応の取得は閉じられません。ACL 評価パイプラインの一部で、グループ解決の失敗、リアルタイム検証タイムアウト、内部サービスエラーなどのエラーが発生した場合、Bedrock Managed Knowledge Base は影響を受けるドキュメントを返しません。一時的な障害が発生しても、ドキュメントが権限のないユーザーに返されることはありません。
ACL 障害が発生すると、レスポンスの結果がゼロになるか、予想よりも少ない場合があります。エラーレスポンスは ACL 解決の失敗を示すため、ドキュメントに完全に一致するクエリと区別できます。
お客様の責任
Bedrock マネージドナレッジベースは ACL 対応フィルタリングを提供し、完全な認可ソリューションではないため、以下の責任があります。
-
エンドユーザーの認証 — Bedrock マネージドナレッジベースに ID を渡す前に、アプリケーションのユーザーを認証する必要があります。Bedrock マネージドナレッジベースは、指定したユーザーコンテキストが本物であることを検証しません。
-
一貫した E メール ID — 渡す E メールアドレスは、接続された各データソースで使用される E メールアドレスと一致する必要があります。E メールがシステム間で異なる場合、ACL マッチングはサイレントに失敗し、ユーザーはそのデータソースから結果を受信しません。
-
E メールライフサイクル管理 — E メールアドレスが別のユーザーに再割り当てされた場合 (従業員の退職後など)、Bedrock マネージドナレッジベースに ID を渡す前にこれを検出する必要があります。リアルタイム ACL 検証は、それをサポートするコネクタの安全ネットとして機能しますが、適切な ID ライフサイクル管理に代わるものではありません。
