Ülemaailmselt on paljudel organisatsioonidel kriitilised äriandmed hajutatud erinevatesse sisuhoidlates, mistõttu on sellele teabele sujuvalt ja ühtselt juurdepääs keeruline. Ühtse ja turvalise otsingukogemuse loomine on organisatsioonidele suur väljakutse, sest iga hoidla sisaldab laias valikus dokumendivorminguid ja juurdepääsukontrolli mehhanisme.
Amazon Kendra on intelligentne ettevõtteotsingu teenus, mis võimaldab kasutajatel otsida erinevatest sisuhoidlatest. Kliendid vastutavad kasutajate autentimise ja autoriseerimise eest oma otsingurakendusele juurdepääsu saamiseks ning Amazon Kendra võimaldab ettevõtte rakenduste jaoks turvalist otsingut, tagades, et kasutaja otsingupäringu tulemused hõlmavad ainult dokumente, mida kasutajal on õigus lugeda. Amazon Kendra saab turvaliste otsingumärkide lisamisega hõlpsasti kinnitada nii üksikute kasutajate kui ka otsinguid sooritavate kasutajarühmade identiteeti. Kui lisate turvaliseks otsinguks kasutajamärgid, on Amazon Kendras juurdepääsupõhiste filtreeritud otsingute tegemine lihtsustatud ja turvatud. Saate päringu kasulikus koormuses kasutaja juurdepääsuteavet turvaliselt edastada, selle asemel et kasutada selle saavutamiseks atribuudifiltreid. Selle funktsiooni abil saab Amazon Kendra kinnitada märgiteavet ja rakendada seda automaatselt otsingutulemustele täpseks ja turvaliseks juurdepääsupõhiseks filtreerimiseks.
Amazon Kendra toetab loapõhist kasutaja juurdepääsu juhtimist, kasutades järgmisi märgitüüpe:
- Ava ID
- JWT jagatud saladusega
- JWT avaliku võtmega
- JSON
Varem nägime demonstratsiooni token-põhine kasutaja juurdepääsukontroll Amazon Kendras avatud ID-ga. Selles postituses demonstreerime jagatud saladusega JWT-ga Amazon Kendras loapõhist kasutaja juurdepääsu juhtimist. JWT ehk JSON Web Token on avatud standard, mida kasutatakse turvateabe jagamiseks kliendi ja serveri vahel. See sisaldab kodeeritud JSON-objekte, sealhulgas nõuete komplekti. JWT-d allkirjastatakse krüptoalgoritmi abil tagamaks, et nõudeid ei saa pärast loa väljastamist muuta. JWT-d on kasulikud autoriseerimise ja teabevahetuse stsenaariumide puhul.
JWT-d koosnevad kolmest punktidega (.) eraldatud osast:
- Päise – See sisaldab selliseid osi nagu märgi tüüp, milleks on JWT, kasutatav allkirjastamisalgoritm (nt HMAC SHA256 või RSA) ja valikuline võtmeidentifikaator.
- kasulik koormus – See sisaldab mitut võtme-väärtuse paari, nn nõuete, mille väljastab identiteedi pakkuja. Lisaks mitmele loa väljastamise ja aegumisega seotud nõudele võib token sisaldada teavet ka konkreetse käsundiandja ja üürniku kohta.
- allkiri – Allkirjaosa loomiseks võtate kodeeritud päise, kodeeritud kasuliku koormuse, saladuse, päises määratud algoritmi ja allkirjastate selle.
Seetõttu näeb JWT välja järgmine:
Järgmine on päise näidis:
Järgmine on kasuliku koormuse näidis:
JWT luuakse salajase võtmega ja see salavõti on teie jaoks privaatne, mis tähendab, et te ei avalda seda kunagi avalikkusele ega sisesta seda JWT-sse. Kui saate kliendilt JWT, saate JWT-d kontrollida serverisse salvestatud salajase võtmega. Mis tahes muudatus JWT-s põhjustab kontrolli (JWT valideerimise) ebaõnnestumise.
See postitus demonstreerib JWT näidiskasutust jagatud juurdepääsuvõtme abil ja selle kasutamist Amazon Kendra indeksite kaitsmiseks juurdepääsu juhtelementidega. Tootmises kasutate JWT-de loomiseks teie valitud ja teie vajadustele vastavat turvalise autentimisteenuse pakkujat.
JWT-de kohta lisateabe saamiseks vaadake Sissejuhatus JSON-i veebimärkidesse.
Lahenduse ülevaade
Sarnaselt pärast Open ID-ga on see lahendus mõeldud kasutajate ja rühmade jaoks, et teha otsingupäringuid dokumendihoidlasse ja tulemused tagastatakse ainult nendelt dokumentidelt, millel on selle rühma sees juurdepääs. Järgmises tabelis on välja toodud, millistele dokumentidele on igal kasutajal meie kasutusjuhtumi puhul õigus juurde pääseda. Selles näites kasutatavad dokumendid on AWS-i avalike dokumentide alamhulk.
Kasutaja | Grupp | Juurdepääsuks volitatud dokumendi tüüp |
külaline | . | blogid |
Patricia | Klient | Blogid, kasutusjuhendid |
James | Müük | Blogid, kasutusjuhendid, juhtumiuuringud |
John | Turundus | Blogid, kasutusjuhendid, juhtumiuuringud, analüütikute aruanded |
Maarja | Lahenduste arhitekt | Blogid, kasutusjuhendid, juhtumiuuringud, analüütikute aruanded, valged paberid |
Järgmine diagramm illustreerib jagatud juurdepääsuvõtmega JWT loomist, et juhtida kasutajate juurdepääsu konkreetsetele Amazon Kendra indeksi dokumentidele.
Kui Amazon Kendra register võtab vastu päringu API-kõne koos kasutaja juurdepääsumärgiga, kinnitab see loa jagatud salajase võtme abil (salvestatud turvaliselt AWS-i saladuste haldur) ja saab kasuliku koormuse parameetrid, nagu kasutajanimi ja rühmad. Amazon Kendra indeks filtreerib otsingutulemused salvestatud juurdepääsukontrolli loendi (ACL) ja kasutaja JWT-s saadud teabe põhjal. Need filtreeritud tulemused tagastatakse vastusena rakenduse tehtud päringu API kutsele.
Eeldused
Selle postituse juhiste järgimiseks veenduge, et teil on järgmised asjad.
Looge JWT jagatud salajase võtmega
Järgmine Java-koodi näidis näitab, kuidas luua avatud lähtekoodiga jagatud salavõtmega JWT jsonwebtoken pakett. Tootmises kasutate JWT-de loomiseks teie valitud turvalise autentimisteenuse pakkujat, mis põhineb teie vajadustel.
Edastame kasutajanime ja rühmade teabe nõuetena kasulikus koormuses, allkirjastame JWT jagatud saladusega ja genereerime selle kasutaja jaoks spetsiifilise JWT. Esitage oma saladuseks 256-bitine string ja säilitage base64 URL-i kodeeritud jagatud saladuse väärtus, et seda hilisemas etapis kasutada.
Looge JWT jagatud saladusega Amazon Kendra indeks
Amazon Kendra indeksi loomise juhised leiate aadressilt Indeksi loomine. Märkige üles AWS-i identiteedi- ja juurdepääsuhaldus (IAM) rolli, mille lõite protsessi käigus. Andke rollile juurdepääs S3 ämbrile ja saladuste haldurile, järgides järgmist vähima privileegi põhimõte. Näiteks poliitika, vaadake IAM-i identiteedipõhiste poliitikate näide. Pärast indeksi loomist peaks teie Amazon Kendra konsool välja nägema nagu järgmine ekraanipilt.
Saladuse lisamiseks tehke järgmised toimingud.
- Navigeerige Amazon Kendra konsoolil Kasutaja juurdepääsu kontroll vahekaarti oma registri üksikasjade lehel.
- Vali Muuda seadeid.
- Kuna rakendame loapõhist juurdepääsu juhtimist, valige Jah all Juurdepääsu kontrolli seaded.
- alla Token konfiguratsioon, vali JWT jagatud saladusega eest Märgi tüüp.
- eest Saladuse tüüp, vali Uus.
- eest Salajane nimi, sisenema
AmazonKendra-jwt-shared-secret
või mis tahes teie valitud nimi. - eest Võtme ID, sisestage võtme ID, mis vastab teie JWT-le, mille lõite Java näidiskoodis.
- eest Algoritm, valige HS256 algoritm.
- eest Jagatud saladus, sisestage oma säilitatud base64 URL-i kodeeritud saladus, mis on varem loodud Java koodist.
- Vali Salvesta saladus.
Saladus salvestatakse nüüd saladuste haldurisse JSON-i veebivõtmekomplektina (JWKS). Selle leiate saladuste halduri konsoolist. Lisateabe saamiseks vaadake JSON-i veebimärgi (JWT) kasutamine jagatud saladusega.
- Laienda Täpsem konfiguratsioon sektsiooni.
Selles etapis seadistame kasutajanime ja rühmad, mis eraldatakse JWT nõuetest ja sobitatakse ACL-iga, kui allkiri on kehtiv.
- eest kasutajanimi¸ sisestage kasutajanimi.
- eest grupid, sisestage rühmad.
- Jätke valikulised väljad vaikeväljadeks.
- Vali järgmine, siis vali Värskendused.
Valmistage oma S3 ämber andmeallikana ette
S3-salve andmeallikana ettevalmistamiseks looge S3-salv. Terminalis koos AWS-i käsurea liides (AWS CLI) või AWS CloudShell, käivitage järgmised käsud dokumentide ja metaandmete üleslaadimiseks andmeallika ämbrisse:
Päringu esitatavad dokumendid salvestatakse S3 ämbrisse. Igal dokumenditüübil on eraldi kaust: ajaveebid, juhtumiuuringud, analüütikute aruanded, kasutusjuhendid ja valged raamatud. See kaustastruktuur asub kaustas nimega Data. Metaandmete failid, sealhulgas ACL-id, asuvad kaustas nimega Meta.
Selle S3 ämbri konfigureerimiseks andmeallikana kasutame Amazon Kendra S3 pistikut. Kui andmeallikas sünkroonitakse Amazon Kendra indeksiga, roomab ja indekseerib see kõiki dokumente ning kogub metaandmefailidest ACL-id ja dokumendiatribuudid. Lisateavet metaandmefaile kasutavate ACL-ide kohta leiate artiklist Amazon S3 dokumendi metaandmed. Selle näite puhul kasutame kohandatud atribuuti DocumentType
dokumendi tüübi tähistamiseks. Pärast üleslaadimist peaks teie S3 ämbri struktuur välja nägema nagu järgmine ekraanipilt.
Kohandatud atribuudi määramiseks DocumentType
, täitke järgmised sammud:
- Valige oma Kendra indeks ja valige Facet määratlus navigeerimispaanil.
- Vali Lisa väli.
- eest Välja nimi, sisenema
DocumentType
. - eest Andmetüüp, vali nöör.
- Vali lisama.
Nüüd saate S3-pistiku abil sisestada loodud ämbrist dokumente Amazon Kendra indeksisse. Täielike juhiste saamiseks vaadake Dokumentide allaneelamine Amazon Kendra S3 pistiku kaudu.
- aasta Sünkroonimisseadete konfigureerimine jaotis, jaoks Sisestage andmeallika asukoht, sisestage oma S3 ämber (
s3://kendra-demo-bucket/
). - eest Metaandmete failide eesliide kausta asukoht, sisenema
Meta/
. - Laiendama Täiendav konfiguratsioon.
- Kohta Kaasa mustrid vahekaart, jaoks eesliide, sisenema
Data/
.
Toetatud pistikute kohta lisateabe saamiseks vt Pistikud.
- Vali järgmine, Siis järgmine siis jällegi Värskendused.
- Oodake, kuni andmeallikas luuakse, seejärel valige andmeallikas ja valige Sünkroonige kohe.
Andmeallika sünkroonimine võib kesta 10–15 minutit. Kui sünkroonimine on lõppenud, Viimase sünkroonimise olek peaks näitama kui Edukas.
Tehke päring Amazon Kendra indeksi kohta
Indeksis testpäringu käivitamiseks toimige järgmiselt.
- Amazon Kendra konsoolil valige Otsige indekseeritud sisu navigeerimispaanil.
- Laiendama Testpäring juurdepääsulubaga.
- Vali Rakenda märk.
- Saame luua kasutaja ja rühma jaoks JWT. Selles näites loome JWT jaoks
AWS-SA
Grupp. Asendame kasutajanime nimega Mary ja grupid kuiAWS-SA
JWT genereerimise etapis. - Sisestage loodud tunnus ja valige kehtima.
ACL-i põhjal peaksime olema kõigi kaustade tulemused: ajaveebid, kasutusjuhendid, juhtumiuuringud, analüütikute aruanded ja valged paberid.
Samamoodi, kui olete sisse loginud kui James domeenist AWS-Sales
gruppi ja vastava JWT läbimisel on meil juurdepääs ainult ajaveebidele, kasutusjuhenditele ja juhtumiuuringutele.
Indeksist saame otsida ka külalisena ilma žetoonist edastamata. Külalisel on juurdepääs ainult ajaveebikausta sisule.
Katsetage teiste päringute abil, mida võite erinevate kasutajate ja rühmadena sisse logides mõelda, ja jälgige tulemusi.
Koristage
Tulevaste kulude vältimiseks puhastage selle lahenduse osana loodud ressursid. Lahenduse testimise ajal loodud Amazon Kendra indeksi ja S3 ämbri kustutamiseks vaadake Korista ära. Saladusehalduri saladuse kustutamiseks vaadake jaotist Kustutage AWS Secrets Manageri saladus.
Järeldus
Selles postituses nägime, kuidas Amazon Kendra saab teha turvalisi otsinguid, mis annavad otsingutulemusi ainult kasutaja juurdepääsu põhjal. Jagatud salavõtmega JWT lisamisega saame hõlpsalt kinnitada nii üksikute kasutajate kui ka otsinguid sooritavate kasutajarühmade identiteeti. Seda sarnast lähenemist saab laiendada a JWT avaliku võtmega. Lisateabe saamiseks vaadake JSON-i veebimärgi (JWT) kasutamine jagatud saladusega.
Autoritest
Nitin Eusebius on AWS-i vanemettevõtete lahenduste arhitekt, kellel on üle 18-aastane kogemus tarkvaratehnika ja ettevõttearhitektuuri alal. Ta töötab koos klientidega, et aidata neil AWS-i platvormil hästi arhitektuurseid rakendusi luua. Ta on kirglik tehnoloogiliste väljakutsete lahendamise ja klientide abistamise vastu nende pilveteekonnal.
Kruthi Jayasimha Rao on partnerlahenduste arhitekt, kes keskendub tehisintellektile ja ML-le. Ta annab AWS-i partneritele tehnilisi juhiseid parimate tavade järgimiseks, et luua AWS-i pilves turvalisi, vastupidavaid ja väga kättesaadavaid lahendusi.
Ishaan Berry on Amazon Web Servicesi tarkvarainsener, kes töötab ettevõtte otsingumootori Amazon Kendra kallal. Ta on kirglik turvalisuse vastu ja on viimase 2 aasta jooksul töötanud Kendra juurdepääsukontrolli funktsioonide põhikomponentide kallal.
Akash Bhatia on AWS-i peamiste lahenduste arhitekt. Tema praegune fookus on aidata ettevõtetel klientidel saavutada oma äritulemusi uuenduslike ja vastupidavate lahenduste ulatusliku väljatöötamise ja rakendamise kaudu. Ta on töötanud tehnoloogia alal üle 15 aasta ettevõtetes alates Fortune 100-st kuni idufirmadeni tootmis-, lennundus- ja jaemüügisektoris.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Allikas: https://aws.amazon.com/blogs/machine-learning/secure-your-amazon-kendra-indexes-with-the-acl-using-a-jwt-shared-secret-key/
- :on
- $ UP
- 10
- 100
- 11
- 15 aastat
- 420
- 7
- 8
- 9
- a
- Võimalik
- MEIST
- juurdepääs
- täitma
- täpne
- Saavutada
- üle
- lisamine
- Aerospace
- pärast
- AI
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- Amazon
- Amazon Kendra
- Amazon Web Services
- vahel
- analüütik
- ja
- API
- taotlus
- rakendused
- kehtima
- lähenemine
- arhitektuur
- OLEME
- AS
- At
- atribuudid
- Autentimine
- luba
- automaatselt
- saadaval
- AWS
- põhineb
- BE
- sest
- on
- BEST
- parimaid tavasid
- vahel
- Natuke
- blogid
- ehitama
- äri
- by
- helistama
- kutsutud
- CAN
- juhul
- Case Studies
- väljakutse
- väljakutseid
- valik
- Vali
- nõuete
- klass
- klient
- Cloud
- kood
- Ettevõtted
- täitma
- komponendid
- konfiguratsioon
- konsool
- sisaldama
- sisaldab
- sisu
- sisu
- kontrollida
- kontrolli
- Vastav
- kulud
- looma
- loodud
- loomine
- loomine
- kriitiline
- krüpto
- krüptograafia
- Praegune
- tava
- Kliendid
- andmed
- kuupäev
- vaikimisi
- näitama
- näitab
- kavandatud
- detail
- detailid
- erinev
- raske
- laiali
- dokument
- dokumendid
- alla
- ajal
- iga
- kergesti
- võimaldab
- Mootor
- insener
- Inseneriteadus
- tagama
- sisene
- ettevõte
- näide
- vahetamine
- kogemus
- ebaedu
- tunnusjoon
- FUNKTSIOONID
- Valdkonnad
- Faile
- filtreerimine
- Filtrid
- Keskenduma
- järgima
- Järel
- eest
- heaolu
- Alates
- täis
- tulevik
- kasu
- tekitama
- loodud
- põlvkond
- Grupp
- Grupi omad
- külaline
- juhised
- juhendid
- Olema
- päised
- aidates
- kõrgelt
- Kuidas
- Kuidas
- HTML
- http
- HTTPS
- ID
- tunnus
- Identity
- rakendamisel
- import
- in
- sisaldama
- Kaasa arvatud
- indeks
- indeksid
- eraldi
- info
- uuenduslik
- kiire
- selle asemel
- juhised
- Intelligentne
- ISS
- väljaandmine
- Välja antud
- IT
- ITS
- Java
- John
- teekond
- Json
- Jwt
- Võti
- võtmed
- laps
- Õppida
- nagu
- joon
- nimekiri
- Vaata
- näeb välja
- välimus
- tehtud
- tegema
- Tegemine
- juht
- viis
- tootmine
- palju
- Vastama
- sobitatud
- vahendid
- Meta
- Metaandmed
- protokoll
- ML
- rohkem
- nimi
- Nimega
- Navigate
- NAVIGATSIOON
- Uus
- esemeid
- jälgima
- of
- on
- avatud
- avatud lähtekoodiga
- et
- organisatsioonid
- Muu
- piirjooned
- pakend
- lehekülg
- paari
- pane
- parameetrid
- osa
- partner
- partnerid
- osad
- sooritama
- Mööduv
- kirglik
- minevik
- täitma
- esitades
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Poliitika
- post
- tavad
- Valmistama
- varem
- Peamine
- era-
- protsess
- Produktsioon
- anda
- tarnija
- annab
- avalik
- päringud
- valik
- alates
- Lugenud
- saama
- saadud
- saab
- kohta
- asendama
- Aruanded
- Hoidla
- Nõuded
- vetruv
- Vahendid
- vastus
- vastutav
- kaasa
- Tulemused
- jaemüük
- säilitama
- tagasipöördumine
- avalduma
- Roll
- RSA
- jooks
- Skaala
- stsenaariumid
- Otsing
- otsingumootor
- Saladus
- Osa
- kindlustama
- tagatud
- kindlalt
- turvalisus
- eri
- teenus
- Teenuseosutaja
- Teenused
- komplekt
- mitu
- SHA256
- Jaga
- jagatud
- peaks
- näitama
- Näitused
- kirjutama
- allkirjastatud
- märkimisväärne
- allkirjastamine
- sarnane
- lihtsustatud
- tarkvara
- Tarkvara insener
- tarkvaraarendus
- lahendus
- Lahendused
- Lahendamine
- allikas
- konkreetse
- määratletud
- standard
- alustajatele
- Samm
- Sammud
- ladustatud
- Sujuvamaks
- nöör
- struktuur
- uuringud
- selline
- Toetatud
- Toetab
- süsteem
- tabel
- Võtma
- Tehniline
- Tehnoloogia
- üürnik
- terminal
- test
- Testimine
- et
- .
- teave
- oma
- Neile
- Need
- kolm
- Läbi
- aeg
- et
- sümboolne
- märgid
- liigid
- ühtne
- URL
- Kasutus
- kasutama
- kasutage juhtumit
- Kasutaja
- Kasutajad
- KINNITAGE
- kinnitamine
- väärtus
- eri
- Kontrollimine
- kontrollima
- vertikaalid
- web
- veebiteenused
- Hästi
- mis
- kuigi
- Vihikud
- WHO
- lai
- Lai valik
- will
- koos
- jooksul
- ilma
- töötas
- töö
- töötab
- Töötoad
- aastat
- sa
- Sinu
- sephyrnet
- Tõmblukk