Introducción a una fuente de AWS IAM Identity Center identidad (consola) - Amazon Kendra

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a una fuente de AWS IAM Identity Center identidad (consola)

Una fuente de AWS IAM Identity Center identidad contiene información sobre sus usuarios y grupos. Esto resulta útil para configurar el filtrado por contexto de usuario, en el que se Amazon Kendra filtran los resultados de búsqueda para distintos usuarios en función del acceso del usuario o de su grupo a los documentos.

Para crear una fuente de IAM identidad en Identity Center, debe activar IAM Identity Center y crear una organización en ella AWS Organizations. Al activar IAM Identity Center y crear una organización por primera vez, automáticamente se establece de forma predeterminada en el directorio de Identity Center como fuente de identidad. Puede cambiar a Active Directory (administrado por Amazon o autoadministrado) o a un proveedor de identidad externo como origen de identidad. Para ello, debe seguir las instrucciones correctas: consulte Cambiar la fuente de IAM identidad del Centro de Identidad. Solo puede tener un origen de identidad por organización.

Para que a sus usuarios y grupos se les asignen diferentes niveles de acceso a los documentos, debe incluir a los usuarios y grupos en la lista de control de acceso cuando incorpore documentos a su índice. Esto permite a los usuarios y grupos buscar documentos en Amazon Kendra de acuerdo con su nivel de acceso. Al realizar una consulta, el seudónimo debe coincidir exactamente con el nombre de usuario de IAM Identity Center.

También debe conceder los permisos necesarios para utilizar IAM Identity Center con Amazon Kendra. Para obtener más información, consulte IAM las funciones de IAM Identity Center.

Para configurar una fuente de IAM identidad del Centro de Identidad
  1. Abra la consola IAM de Identity Center.

  2. Seleccione Activar IAM Identity Center y, a continuación, seleccione Crear AWS organización.

    El directorio de Identity Center se crea de forma predeterminada y se le envía un correo electrónico para verificar la dirección de correo electrónico asociada a la organización.

  3. Para añadir un grupo a su AWS organización, en el panel de navegación, elija Grupos.

  4. En la página Grupos, elija Crear grupo e introduzca un nombre y una descripción del grupo en el cuadro de diálogo. Seleccione Crear.

  5. Para agregar un usuario a sus Organizaciones, en el panel de navegación, elija Usuarios.

  6. En la página Users (Usuarios), elija Add user (Añadir usuario). En User details (Detalles del usuario), especifique todos los campos obligatorios. En Password (Contraseña), elija Send an email to the user (Enviar un correo electrónico al usuario). Elija Next (Siguiente).

  7. Para añadir un usuario a un grupo, elija Grupos y seleccione un grupo.

  8. En la página Detalles, bajo Miembros del grupo, elija Añadir usuario.

  9. En la página Añadir usuarios a grupo, seleccione el usuario que desea añadir como miembro del grupo. Puede seleccionar varios usuarios para añadirlos a un grupo.

  10. Para sincronizar la lista de usuarios y grupos con IAM Identity Center, cambie la fuente de identidad a Active Directory o a un proveedor de identidad externo.

    El directorio de Identity Center es el origen de identidad predeterminada y requiere que añada manualmente sus usuarios y grupos utilizando este origen si no tiene su propia lista administrada por un proveedor. Para cambiar la fuente de identidad, debe seguir las instrucciones correctas al respecto (consulte Cambiar la fuente de IAM identidad de Identity Center).

nota

Si utiliza Active Directory o un proveedor de identidad externo como fuente de identidad, debe asignar las direcciones de correo electrónico de los usuarios a los nombres de usuario del Centro de IAM Identidad al especificar el protocolo del Sistema de gestión de identidades entre dominios ()SCIM. Para obtener más información, consulte la guía de IAM Identity Center sobre SCIM cómo habilitar IAM Identity Center.

Una vez que haya configurado su fuente de IAM identidad del Centro de Identidad, podrá activarla en la consola al crear o editar el índice. Vaya a Control de acceso de usuarios en la configuración de su índice y edítela para poder obtener información sobre los grupos de usuarios de IAM Identity Center.

También puede activar IAM Identity Center mediante el UserGroupResolutionConfigurationobjeto. Debe proporcionar el UserGroupResolutionMode as AWS_SSO y crear un IAM rol que dé permiso para llamar asso:ListDirectoryAssociations,sso-directory:SearchUsers,sso-directory:ListGroupsForUser,sso-directory:DescribeGroups.

aviso

Amazon Kendra actualmente no admite su uso UserGroupResolutionConfiguration con una cuenta de miembro de AWS la organización como fuente de IAM identidad del Centro de Identidad. Debe crear el índice en la cuenta de administración de la organización para poder utilizar UserGroupResolutionConfiguration.

A continuación, se ofrece información general sobre cómo configurar un origen de datos con UserGroupResolutionConfiguration y un control de acceso de usuarios para filtrar los resultados de la búsqueda según el contexto del usuario. Esto supone que ya ha creado un índice y un IAM rol para los índices. Para crear un índice y proporcionar el IAM rol, utilice el CreateIndexAPI.

Configurar un origen de datos con UserGroupResolutionConfiguration y filtrado de contexto de usuario
  1. Cree un IAM rol que dé permiso para acceder a la fuente de IAM identidad de su Centro de identidad.

  2. Configure UserGroupResolutionConfigurationconfigurando el modo AWS_SSO y llame UpdateIndexpara actualizar su índice y usar IAM Identity Center.

  3. Si desea utilizar el control de acceso de los usuarios basado en fichas para filtrar los resultados de la búsqueda según el contexto del usuario, configúrelo en el USER_TOKEN momento de UserContextPolicyla llamada. UpdateIndex De lo contrario, Amazon Kendra rastrea la lista de control de acceso de cada uno de sus documentos para la mayoría de los conectores de fuentes de datos. También puede filtrar los resultados de la búsqueda según el contexto del usuario en la consulta API proporcionando información sobre el usuario y el UserContext grupo. También puede asignar usuarios a sus grupos de PutPrincipalMappingforma que solo necesite proporcionar el ID de usuario al realizar la consulta.

  4. Cree un rol de IAM que conceda permiso para acceder a su origen de datos.

  5. Configure su origen de datos. Debe proporcionar la información de conexión necesaria para conectarse a su origen de datos.

  6. Cree una fuente de datos con CreateDataSourceAPI. Proporcione el objeto DataSourceConfiguration, que incluye TemplateConfiguration, el ID de su índice, el rol de IAM del origen de datos y el tipo de origen de datos, y asigne un nombre al origen de datos. También puede actualizar el origen de datos.