على الصعيد العالمي ، تمتلك العديد من المؤسسات بيانات عمل مهمة موزعة بين مستودعات المحتوى المختلفة ، مما يجعل من الصعب الوصول إلى هذه المعلومات بطريقة مبسطة ومتماسكة. يعد إنشاء تجربة بحث موحدة وآمنة تحديًا كبيرًا للمؤسسات لأن كل مستودع يحتوي على مجموعة واسعة من تنسيقات المستندات وآليات التحكم في الوصول.
أمازون كندرا هي خدمة بحث ذكية للمؤسسات تتيح للمستخدمين البحث عبر مستودعات مختلفة للمحتوى. يتحمل العملاء مسؤولية مصادقة المستخدمين والسماح لهم بالوصول إلى تطبيق البحث الخاص بهم ، وتمكن Amazon Kendra البحث الآمن عن تطبيقات المؤسسات ، مع التأكد من أن نتائج استعلام بحث المستخدم لا تتضمن سوى المستندات المصرح للمستخدم بقراءتها. يمكن لـ Amazon Kendra التحقق بسهولة من هوية المستخدمين الفرديين وكذلك مجموعات المستخدمين الذين يقومون بإجراء عمليات البحث مع إضافة رموز بحث آمنة. من خلال إضافة الرموز المميزة للمستخدم للبحث الآمن ، يتم تبسيط عمليات البحث المصفاة القائمة على الوصول في Amazon Kendra وتأمينها. يمكنك تمرير معلومات وصول المستخدم بأمان في حمولة الاستعلام بدلاً من استخدام عوامل تصفية السمات لإنجاز ذلك. باستخدام هذه الميزة ، يمكن لـ Amazon Kendra التحقق من صحة معلومات الرمز وتطبيقها تلقائيًا على نتائج البحث لتصفية دقيقة وآمنة تعتمد على الوصول.
يدعم Amazon Kendra التحكم في وصول المستخدم المستند إلى الرمز المميز باستخدام أنواع الرموز المميزة التالية:
- معرف مفتوح
- JWT بسر مشترك
- JWT بمفتاح عمومي
- JSON
في السابق ، رأينا عرضًا لـ التحكم في وصول المستخدم المستند إلى الرمز المميز في Amazon Kendra مع Open ID. في هذا المنشور ، نوضح التحكم في وصول المستخدم المستند إلى الرمز المميز في Amazon Kendra مع JWT بسر مشترك. JWT ، أو JSON Web Token ، هو معيار مفتوح يستخدم لمشاركة معلومات الأمان بين العميل والخادم. يحتوي على كائنات JSON مشفرة ، بما في ذلك مجموعة من المطالبات. يتم توقيع JWTs باستخدام خوارزمية تشفير لضمان عدم إمكانية تغيير المطالبات بعد إصدار الرمز المميز. تعتبر JWTs مفيدة في السيناريوهات المتعلقة بالترخيص وتبادل المعلومات.
تتكون JWTs من ثلاثة أجزاء مفصولة بنقاط (.):
- رأس - يحتوي على أجزاء مثل نوع الرمز المميز ، وهو JWT ، وخوارزمية التوقيع المستخدمة ، مثل HMAC SHA256 أو RSA ، ومعرف مفتاح اختياري.
- الحمولة - يحتوي هذا على عدة أزواج من المفاتيح والقيمة تسمى مطالبات، والتي يتم إصدارها من قبل موفر الهوية. بالإضافة إلى العديد من المطالبات المتعلقة بإصدار وانتهاء صلاحية الرمز المميز ، يمكن أن يحتوي الرمز المميز أيضًا على معلومات حول الأصل والمستأجر الفردي.
- سيغنيتشر - لإنشاء جزء التوقيع ، تأخذ الرأس المشفر ، والحمولة المشفرة ، والسر ، والخوارزمية المحددة في الرأس ، وتوقيع ذلك.
لذلك ، تبدو JWT كما يلي:
ما يلي هو نموذج للرأس:
ما يلي هو عينة الحمولة:
تم إنشاء JWT بمفتاح سري ، وهذا المفتاح السري خاص بك ، مما يعني أنك لن تكشف عن ذلك أبدًا للجمهور أو تحقنه داخل JWT. عندما تتلقى JWT من العميل ، يمكنك التحقق من JWT باستخدام المفتاح السري المخزن على الخادم. أي تعديل على JWT سينتج عنه فشل التحقق (التحقق من JWT).
يوضح هذا المنشور نموذج استخدام JWT باستخدام مفتاح وصول مشترك واستخدامه لتأمين فهارس Amazon Kendra باستخدام عناصر التحكم في الوصول. في الإنتاج ، تستخدم موفر خدمة مصادقة آمنًا من اختيارك وبناءً على متطلباتك لإنشاء JWTs.
لمعرفة المزيد حول JWTs ، ارجع إلى مقدمة إلى رموز ويب JSON.
حل نظرة عامة
وعلى غرار بريد.. اعلاني باستخدام Open ID ، تم تصميم هذا الحل لمجموعة من المستخدمين والمجموعات لإجراء استعلامات بحث لمستودع المستندات ، ويتم إرجاع النتائج فقط من تلك المستندات المصرح بالوصول إليها داخل تلك المجموعة. يوضح الجدول التالي المستندات التي يحق لكل مستخدم الوصول إليها في حالة الاستخدام الخاصة بنا. المستندات المستخدمة في هذا المثال هي مجموعة فرعية من مستندات AWS العامة.
مستخدم | تجمع | نوع المستند المخول للوصول |
ضيف | . | مدونات |
باتريشيا | التسجيل كعميل | المدونات وأدلة المستخدم |
جيمس | المبيعات | المدونات وأدلة المستخدم ودراسات الحالة |
جون | التسويق | المدونات وأدلة المستخدم ودراسات الحالة وتقارير المحللين |
مريم العذراء | مهندس حلول | المدونات وأدلة المستخدم ودراسات الحالة وتقارير المحللين والأوراق البيضاء |
يوضح الرسم التخطيطي التالي كيفية إنشاء JWT باستخدام مفتاح وصول مشترك للتحكم في وصول المستخدمين إلى المستندات المحددة في فهرس Amazon Kendra.
عندما يتلقى فهرس Amazon Kendra استدعاء استعلام API مع رمز وصول المستخدم ، فإنه يتحقق من صحة الرمز باستخدام مفتاح سري مشترك (مخزن بشكل آمن في مدير أسرار AWS) ويحصل على معلمات مثل اسم المستخدم والمجموعات في الحمولة. يقوم فهرس Amazon Kendra بتصفية نتائج البحث بناءً على قائمة التحكم بالوصول المخزنة (ACL) والمعلومات الواردة في JWT للمستخدم. يتم إرجاع هذه النتائج التي تمت تصفيتها استجابةً لاستدعاء واجهة برمجة التطبيقات للاستعلام الذي أجراه التطبيق.
المتطلبات الأساسية المسبقة
من أجل اتباع الخطوات الواردة في هذا المنشور ، تأكد من أن لديك ما يلي:
قم بإنشاء JWT باستخدام مفتاح سري مشترك
يوضح نموذج كود Java التالي كيفية إنشاء JWT بمفتاح سري مشترك باستخدام المصدر المفتوح jsonwebtoken طَرد. في الإنتاج ، ستستخدم موفر خدمة مصادقة آمنة من اختيارك وبناءً على متطلباتك لإنشاء JWTs.
نقوم بتمرير اسم المستخدم ومعلومات المجموعات كمطالبات في الحمولة ، ونوقع على JWT بالسر المشترك ، وننشئ JWT خاصًا بذلك المستخدم. قم بتوفير سلسلة 256 بت كسرك واحتفظ بقيمة عنوان URL الأساسي 64 المشفر بالسر المشترك لاستخدامه في خطوة لاحقة.
أنشئ فهرس Amazon Kendra باستخدام سر مشترك في JWT
للحصول على إرشادات حول إنشاء فهرس Amazon Kendra ، يرجى الرجوع إلى إنشاء فهرس. لاحظ أسفل ملف إدارة الهوية والوصول AWS (IAM) الذي أنشأته أثناء العملية. قم بتوفير وصول الدور إلى حاوية S3 ومدير الأسرار باتباع ملف مبدأ الأقل امتياز. على سبيل المثال السياسات ، الرجوع إلى مثال سياسات IAM القائمة على الهوية. بعد إنشاء الفهرس ، يجب أن تبدو وحدة التحكم Amazon Kendra الخاصة بك مثل لقطة الشاشة التالية.
أكمل الخطوات التالية لإضافة سرك:
- في وحدة تحكم Amazon Kendra ، انتقل إلى ملف التحكم في وصول المستخدم علامة التبويب في صفحة تفاصيل الفهرس الخاصة بك.
- اختار تحرير الإعدادات.
- نظرًا لأننا ننفذ التحكم في الوصول المستند إلى الرمز المميز ، فحدد نعم مع إعدادات التحكم في الوصول.
- تحت تكوين الرمز، اختر JWT مع السر المشترك For نوع الرمز.
- في حالة نوع السر، اختر جديد.
- في حالة الاسم السري، أدخل
AmazonKendra-jwt-shared-secret
أو أي اسم من اختيارك. - في حالة معرف المفتاح، أدخل معرّف المفتاح لمطابقة JWT الذي أنشأته في نموذج كود Java.
- في حالة خوارزمية، اختر خوارزمية HS256.
- في حالة السر المشترك، أدخل السر المشفر لعنوان URL الخاص بـ base64 المحتفظ به والذي تم إنشاؤه من رمز Java مسبقًا.
- اختار حفظ السر.
سيتم الآن تخزين السر في Secrets Manager كمجموعة مفاتيح ويب JSON (JWKS). يمكنك تحديد موقعه على وحدة تحكم مدير الأسرار. لمزيد من التفاصيل ، يرجى الرجوع إلى استخدام JSON Web Token (JWT) بسر مشترك.
- توسيع التكوين المتقدم والقسم الخاص به.
في هذه الخطوة ، قمنا بإعداد اسم المستخدم والمجموعات التي سيتم استخراجها من مطالبات JWT ومطابقتها مع ACL عندما يكون التوقيع صالحًا.
- في حالة اسم المستخدمادخل اسم المستخدم.
- في حالة المجموعة، أدخل المجموعات.
- اترك الحقول الاختيارية كافتراضية.
- اختار التالى، ثم اختر تحديث.
قم بإعداد حاوية S3 كمصدر بيانات
لتحضير حاوية S3 كمصدر بيانات ، قم بإنشاء حاوية S3. في المحطة مع واجهة سطر الأوامر AWS (AWS CLI) أو أوس كلاودشيل، قم بتشغيل الأوامر التالية لتحميل المستندات والبيانات الوصفية إلى حاوية مصدر البيانات:
يتم تخزين المستندات التي يتم الاستعلام عنها في حاوية S3. يحتوي كل نوع مستند على مجلد منفصل: المدونات ودراسات الحالة وتقارير المحللين وأدلة المستخدم والمستندات التقنية. توجد بنية المجلد هذه في مجلد يسمى البيانات. توجد ملفات البيانات الوصفية بما في ذلك قوائم ACL في مجلد يسمى Meta.
نستخدم موصل Amazon Kendra S3 لتكوين حاوية S3 هذه كمصدر للبيانات. عندما تتم مزامنة مصدر البيانات مع فهرس Amazon Kendra ، فإنه يقوم بالزحف إلى جميع المستندات وفهرستها بالإضافة إلى جمع قوائم التحكم في الوصول (ACL) وسمات المستندات من ملفات البيانات الوصفية. لمعرفة المزيد حول قوائم التحكم في الوصول باستخدام ملفات البيانات الوصفية ، ارجع إلى بيانات تعريف مستند Amazon S3. في هذا المثال ، نستخدم السمة المخصصة DocumentType
للدلالة على نوع الوثيقة. بعد التحميل ، يجب أن تبدو بنية دلو S3 مثل لقطة الشاشة التالية.
لتعيين السمة المخصصة DocumentType
أكمل الخطوات التالية:
- اختر مؤشر Kendra الخاص بك واختر تعريف الوجه في جزء التنقل.
- اختار إضافة حقل.
- في حالة اسم الحقل، أدخل
DocumentType
. - في حالة نوع البيانات، اختر خيط.
- اختار أضف.
يمكنك الآن استيعاب المستندات من الحاوية التي أنشأتها إلى فهرس Amazon Kendra باستخدام موصل S3. للحصول على التعليمات الكاملة ، يرجى الرجوع إلى استيعاب المستندات من خلال موصل Amazon Kendra S3.
- في مجلة تكوين إعدادات المزامنة القسم ل أدخل موقع مصدر البيانات، أدخل حاوية S3 (
s3://kendra-demo-bucket/
). - في حالة موقع مجلد بادئة ملفات البيانات الوصفية، أدخل
Meta/
. - وسع تكوين إضافي.
- على قم بتضمين الأنماط علامة التبويب ، لـ بادئة، أدخل
Data/
.
لمزيد من المعلومات حول الموصلات المدعومة ، راجع الموصلات.
- اختار التالى، ثم التالى مرة أخرى ، إذن تحديث.
- انتظر حتى يتم إنشاء مصدر البيانات ، ثم حدد مصدر البيانات واختر زامن الآن "لنقل البيانات.
يمكن أن تستغرق مزامنة مصدر البيانات من 10 إلى 15 دقيقة حتى تكتمل. عند اكتمال المزامنة ، آخر حالة مزامنة يجب أن تظهر كـ ناجح.
استعلم عن فهرس Amazon Kendra
لتشغيل استعلام اختباري على الفهرس الخاص بك ، أكمل الخطوات التالية:
- في وحدة تحكم Amazon Kendra ، اختر البحث في المحتوى المفهرس في جزء التنقل.
- وسع اختبار الاستعلام مع رمز الوصول.
- اختار تطبيق الرمز.
- يمكننا إنشاء JWT للمستخدم والمجموعة. في هذا المثال ، نقوم بإنشاء JWT لـ
AWS-SA
مجموعة. نستبدل اسم المستخدم باسم Mary والمجموعات كـAWS-SA
في خطوة جيل JWT. - أدخل الرمز الذي تم إنشاؤه واختر التقديم.
استنادًا إلى قائمة التحكم بالوصول (ACL) ، يجب أن نكون نتائج من جميع المجلدات: المدونات ، وأدلة المستخدم ، ودراسات الحالة ، وتقارير المحللين ، والأوراق البيضاء.
وبالمثل ، عند تسجيل الدخول باسم James from the AWS-Sales
المجموعة وتمرير JWT المقابل ، لدينا حق الوصول إلى المدونات وأدلة المستخدم ودراسات الحالة فقط.
يمكننا أيضًا البحث في الفهرس كضيف دون تمرير رمز مميز. الضيف قادر فقط على الوصول إلى المحتويات الموجودة في مجلد المدونات.
جرب استخدام استعلامات أخرى يمكنك التفكير فيها أثناء تسجيل الدخول كمستخدمين ومجموعات مختلفة ولاحظ النتائج.
تنظيف
لتجنب تكبد تكاليف مستقبلية ، قم بتنظيف الموارد التي قمت بإنشائها كجزء من هذا الحل. لحذف فهرس Amazon Kendra وحاوية S3 التي تم إنشاؤها أثناء اختبار الحل ، ارجع إلى تنظيف. لحذف سر مدير الأسرار ، ارجع إلى احذف سر AWS Secrets Manager.
وفي الختام
في هذا المنشور ، رأينا كيف يمكن لـ Amazon Kendra إجراء عمليات بحث آمنة لا تعرض سوى نتائج البحث بناءً على وصول المستخدم. من خلال إضافة JWT بمفتاح سري مشترك ، يمكننا بسهولة التحقق من هوية المستخدمين الفرديين وكذلك مجموعات المستخدمين الذين يقومون بإجراء عمليات البحث. يمكن أن يمتد هذا النهج المماثل إلى JWT بمفتاح عمومي. لمعرفة المزيد ، يرجى الرجوع إلى استخدام JSON Web Token (JWT) بسر مشترك.
حول المؤلف
نيتين يوسابيوس هو مهندس حلول مؤسسي كبير في AWS ويتمتع بخبرة تزيد عن 18 عامًا في هندسة البرمجيات وهندسة المؤسسات. إنه يعمل مع العملاء لمساعدتهم على بناء تطبيقات جيدة التصميم على منصة AWS. إنه متحمس لحل تحديات التكنولوجيا ومساعدة العملاء في رحلتهم السحابية.
كروثي جاياسيمها راو هو مهندس حلول شريك مع التركيز على الذكاء الاصطناعي وتعلم الآلة. تقدم إرشادات تقنية لشركاء AWS في اتباع أفضل الممارسات لبناء حلول آمنة ومرنة ومتاحة للغاية في سحابة AWS.
ايشان بيري هو مهندس برمجيات في Amazon Web Services ، ويعمل في Amazon Kendra ، وهو محرك بحث خاص بالمؤسسات. إنه متحمس للأمان وقد عمل على المكونات الرئيسية لميزات التحكم في الوصول في Kendra على مدار العامين الماضيين.
أكاش بهاتيا هو مهندس حلول رئيسي مع AWS. ينصب تركيزه الحالي على مساعدة عملاء المؤسسات على تحقيق نتائج أعمالهم من خلال تصميم وتنفيذ حلول مبتكرة ومرنة على نطاق واسع. يعمل في مجال التكنولوجيا منذ أكثر من 15 عامًا في شركات تتراوح من Fortune 100 إلى الشركات الناشئة في قطاعات التصنيع والفضاء والتجزئة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://aws.amazon.com/blogs/machine-learning/secure-your-amazon-kendra-indexes-with-the-acl-using-a-jwt-shared-secret-key/
- :يكون
- $ UP
- 10
- 100
- 11
- 15 سنة
- 420
- 7
- 8
- 9
- a
- ماهرون
- من نحن
- الوصول
- إنجاز
- دقيق
- التأهيل
- في
- إضافة
- فضاء
- بعد
- AI
- خوارزمية
- الكل
- يسمح
- أمازون
- أمازون كندرا
- أمازون ويب سيرفيسز
- من بين
- المحلل
- و
- API
- تطبيق
- التطبيقات
- التقديم
- نهج
- هندسة معمارية
- هي
- AS
- At
- سمات
- التحقّق من المُستخدم
- ترخيص
- تلقائيا
- متاح
- AWS
- على أساس
- BE
- لان
- يجري
- أفضل
- أفضل الممارسات
- ما بين
- قطعة
- المدونة
- نساعدك في بناء
- الأعمال
- by
- دعوة
- تسمى
- CAN
- حقيبة
- دراسة الحالات
- تحدى
- التحديات
- خيار
- اختار
- مطالبات
- فئة
- زبون
- سحابة
- الكود
- الشركات
- إكمال
- مكونات
- الاعداد
- كنسولات
- تحتوي على
- يحتوي
- محتوى
- محتويات
- مراقبة
- ضوابط
- المقابلة
- التكاليف
- خلق
- خلق
- خلق
- خلق
- حرج
- التشفير
- التشفير
- حالياًّ
- على
- العملاء
- البيانات
- التاريخ
- الترتيب
- شرح
- يوضح
- تصميم
- التفاصيل
- تفاصيل
- مختلف
- صعبة
- مشتت
- وثيقة
- وثائق
- إلى أسفل
- أثناء
- كل
- بسهولة
- تمكن
- محرك
- مهندس
- الهندسة
- ضمان
- أدخل
- مشروع
- مثال
- تبادل
- الخبره في مجال الغطس
- فشل
- الميزات
- المميزات
- مجال
- ملفات
- تصفية
- مرشحات
- تركز
- اتباع
- متابعيك
- في حالة
- Fortune
- تبدأ من
- بالإضافة إلى
- مستقبل
- ربح
- توليد
- ولدت
- جيل
- تجمع
- مجموعات
- ضيف
- توجيه
- دليل
- يملك
- رؤوس
- مساعدة
- جدا
- كيفية
- كيفية
- HTML
- HTTP
- HTTPS
- ID
- معرف
- هوية
- تحقيق
- استيراد
- in
- تتضمن
- بما فيه
- مؤشر
- الفهارس
- فرد
- معلومات
- مبتكرة
- لحظة
- بدلًا من ذلك
- تعليمات
- ذكي
- محطة الفضاء الدولية
- إصدار
- نشر
- IT
- انها
- جافا
- جون
- رحلة
- جسون
- جي دبليو تي
- القفل
- مفاتيح
- طفل
- تعلم
- مثل
- خط
- قائمة
- بحث
- يبدو مثل
- تبدو
- صنع
- جعل
- القيام ب
- مدير
- أسلوب
- تصنيع
- كثير
- مباراة
- مطابقة
- يعني
- مييتااا
- البيانات الوصفية
- دقيقة
- ML
- الأكثر من ذلك
- الاسم
- عين
- التنقل
- قائمة الإختيارات
- جديد
- الأجسام
- رصد
- of
- on
- جاكيت
- المصدر المفتوح
- طلب
- المنظمات
- أخرى
- حدود
- صفقة
- صفحة
- أزواج
- خبز
- المعلمات
- جزء
- الشريكة
- شركاء
- أجزاء
- pass
- مرور
- عاطفي
- الماضي
- نفذ
- أداء
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسات الخصوصية والبيع
- منشور
- الممارسات
- إعداد
- سابقا
- رئيسي
- خاص
- عملية المعالجة
- الإنتــاج
- تزود
- مزود
- ويوفر
- جمهور
- الاستفسارات
- نطاق
- تتراوح
- عرض
- تسلم
- تلقى
- يتلقى
- بخصوص
- يحل محل
- التقارير
- مستودع
- المتطلبات الأساسية
- مرن
- الموارد
- استجابة
- مسؤول
- نتيجة
- النتائج
- بيع بالتجزئة
- احتفظ
- عائد أعلى
- كشف
- النوع
- آر إس إيه
- يجري
- حجم
- سيناريوهات
- بحث
- محرك البحث
- سيكريت
- القسم
- تأمين
- مضمون
- آمن
- أمن
- مستقل
- الخدمة
- مقدم الخدمة
- خدماتنا
- طقم
- عدة
- SHA256
- مشاركة
- شاركت
- ينبغي
- إظهار
- يظهر
- إشارة
- وقعت
- هام
- التوقيع
- مماثل
- مبسط
- تطبيقات الكمبيوتر
- مهندس البرمجيات
- هندسة البرمجيات
- حل
- الحلول
- حل
- مصدر
- محدد
- محدد
- معيار
- الطلائعية
- خطوة
- خطوات
- تخزين
- تبسيط
- خيط
- بناء
- دراسات
- هذه
- مدعومة
- الدعم
- نظام
- جدول
- أخذ
- تقني
- تكنولوجيا
- مستأجر
- محطة
- تجربه بالعربي
- الاختبار
- أن
- •
- المعلومات
- من مشاركة
- منهم
- تشبه
- ثلاثة
- عبر
- الوقت
- إلى
- رمز
- الرموز
- أنواع
- موحد
- URL
- الأستعمال
- تستخدم
- حالة الاستخدام
- مستخدم
- المستخدمين
- التحقق من صحة
- التحقق من صحة
- قيمنا
- مختلف
- التحقق
- تحقق من
- القطاعات
- الويب
- خدمات ويب
- حسن
- التي
- في حين
- هيتيبابرز
- من الذى
- واسع
- مدى واسع
- سوف
- مع
- في غضون
- بدون
- عمل
- عامل
- أعمال
- الدورات
- سنوات
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
- الرمز البريدي