OpenID verwenden

Um einen Amazon Kendra Index so zu konfigurieren, dass er ein OpenID-Token für die Zugriffskontrolle verwendet, benötigen Sie die JWKS-URL (JSON Web Key Set) vom OpenID-Anbieter. In den meisten Fällen hat die JWKS-URL das folgende Format (sofern sie der OpenID-Erkennung folgen). https://domain-name/.well_known/jwks.json

Die folgenden Beispiele zeigen, wie Sie ein OpenID-Token für die Benutzerzugriffskontrolle verwenden, wenn Sie einen Index erstellen.

Console

1. Wählen Sie Index erstellen, um mit der Erstellung eines neuen Indexes zu beginnen.

2. Geben Sie auf der Seite Indexdetails angeben Ihrem Index einen Namen und eine Beschreibung.

3. Wählen Sie IAM unter Rolle eine Rolle aus, oder wählen Sie Neue Rolle erstellen für und geben Sie einen Rollennamen an, um eine neue Rolle zu erstellen. Die IAM-Rolle wird das Präfix "AmazonKendra-“ haben.

4. Behalten Sie für alle anderen Felder die Standardwerte bei. Wählen Sie Weiter aus.

5. Wählen Sie auf der Seite Benutzerzugriffskontrolle konfigurieren unter Einstellungen für die Zugriffskontrolle die Option Ja aus, um Token für die Zugriffskontrolle zu verwenden.

6. Wählen Sie unter Token-Konfiguration OpenID als Token-Typ aus.

7. Geben Sie eine URL für den Signaturschlüssel an. Die URL sollte auf eine Reihe von JSON-Webschlüsseln verweisen.

8. Optional unter „Erweiterte Konfiguration“:

   1. Geben Sie einen Benutzernamen an, der bei der ACL-Prüfung verwendet werden soll.

   2. Geben Sie eine oder mehrere Gruppen an, die bei der ACL-Prüfung verwendet werden sollen.

   3. Geben Sie den Aussteller an, der den Token-Aussteller validieren wird.

   4. Geben Sie die Client-ID (s) an. Sie müssen einen regulären Ausdruck angeben, der der Zielgruppe im JWT entspricht.

9. Wählen Sie auf der Seite mit den Bereitstellungsdetails die Developer Edition aus.

10. Wählen Sie Erstellen, um Ihren Index zu erstellen.

11. Warten Sie, bis Ihr Index erstellt wurde. Amazon Kendra stellt die Hardware für Ihren Index bereit. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

CLI

Um AWS CLI mithilfe einer JSON-Eingabedatei einen Index zu erstellen, erstellen Sie zunächst eine JSON-Datei mit den gewünschten Parametern:

{
    "Name": "user-context",
    "Edition": "ENTERPRISE_EDITION",
    "RoleArn": "arn:aws:iam::account-id:role:/my-role",
    "UserTokenConfigurations": [
        {
            "JwtTokenTypeConfiguration": {
                "KeyLocation": "URL",
                "Issuer": "optional: specify the issuer url",
                "ClaimRegex": "optional: regex to validate claims in the token",
                "UserNameAttributeField": "optional: user",
                "GroupAttributeField": "optional: group",
                "URL": "https://example.com/.well-known/jwks.json"
            }
        }
    ],
    "UserContextPolicy": "USER_TOKEN"
}

Sie können die standardmäßigen Benutzer- und Gruppenfeldnamen überschreiben. Der Standardwert für UserNameAttributeField ist „Benutzer“. Der Standardwert für GroupAttributeField ist „Gruppen“.

Rufen Sie als Nächstes create-index mit der Eingabedatei auf. Wenn der Name Ihrer JSON-Datei beispielsweise lautetcreate-index-openid.json, können Sie Folgendes verwenden:

aws kendra create-index --cli-input-json file://create-index-openid.json

Python

response = kendra.create_index(
    Name='user-context',
    Edition='ENTERPRISE_EDITION',
    RoleArn='arn:aws:iam::account-id:role:/my-role',
    UserTokenConfigurations=[
        {
            "JwtTokenTypeConfiguration": {
                "KeyLocation": "URL",
                "Issuer": "optional: specify the issuer url",
                "ClaimRegex": "optional: regex to validate claims in the token",
                "UserNameAttributeField": "optional: user",
                "GroupAttributeField": "optional: group",
                "URL": "https://example.com/.well-known/jwks.json"
            }
        }
    ],
    UserContextPolicy='USER_TOKEN'
)