Introducción a una fuente de AWS IAM Identity Center identidad (consola) - Amazon Kendra

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a una fuente de AWS IAM Identity Center identidad (consola)

Una fuente de AWS IAM Identity Center identidad contiene información sobre sus usuarios y grupos. Esto resulta útil para configurar el filtrado por contexto de usuario, en el que se Amazon Kendra filtran los resultados de búsqueda para distintos usuarios en función del acceso del usuario o de su grupo a los documentos.

Para crear un origen de identidad de IAM Identity Center, debe activar AIM Identity Center y crear una organización en AWS Organizations. Al activar AIM Identity Center y crear una organización por primera vez, automáticamente se establece de forma predeterminada en el directorio de Identity Center como origen de identidad. Puede cambiar a Active Directory (administrado por Amazon o autoadministrado) o a un proveedor de identidad externo como origen de identidad. Para ello, debe seguir las instrucciones correctas: consulte Cambio del origen de identidad de AIM Identity Center. Solo puede tener un origen de identidad por organización.

Para que a sus usuarios y grupos se les asignen diferentes niveles de acceso a los documentos, debe incluir a los usuarios y grupos en la lista de control de acceso cuando incorpore documentos a su índice. Esto permite a los usuarios y grupos buscar documentos Amazon Kendra de acuerdo con su nivel de acceso. Al realizar una consulta, el ID de usuario debe coincidir exactamente con el nombre de usuario de AIM Identity Center.

También debe conceder los permisos necesarios para utilizar IAM Identity Center con Amazon Kendra. Para obtener más información, consulte Roles de IAM para IAM Identity Center.

Para configurar un origen de identidad de IAM Identity Center
  1. Abra la consola de IAM Identity Center.

  2. Seleccione Activar el centro de identidad de IAM y, a continuación, seleccione Crear AWS organización.

    El directorio de Identity Center se crea de forma predeterminada y se le envía un correo electrónico para verificar la dirección de correo electrónico asociada a la organización.

  3. Para añadir un grupo a su AWS organización, en el panel de navegación, elija Grupos.

  4. En la página Grupos, elija Crear grupo e introduzca un nombre y una descripción del grupo en el cuadro de diálogo. Seleccione Crear.

  5. Para agregar un usuario a sus Organizaciones, en el panel de navegación, elija Usuarios.

  6. En la página Users (Usuarios), elija Add user (Añadir usuario). En User details (Detalles del usuario), especifique todos los campos obligatorios. En Password (Contraseña), elija Send an email to the user (Enviar un correo electrónico al usuario). Seleccione Siguiente.

  7. Para añadir un usuario a un grupo, elija Grupos y seleccione un grupo.

  8. En la página Detalles, bajo Miembros del grupo, elija Añadir usuario.

  9. En la página Añadir usuarios a grupo, seleccione el usuario que desea añadir como miembro del grupo. Puede seleccionar varios usuarios para añadirlos a un grupo.

  10. Para sincronizar la lista de usuarios y grupos con IAM Identity Center, cambie el origen de identidad a Active Directory o a un proveedor de identidad externo.

    El directorio de Identity Center es el origen de identidad predeterminada y requiere que añada manualmente sus usuarios y grupos utilizando este origen si no tiene su propia lista administrada por un proveedor. Para cambiar el origen de identidad, debe seguir las instrucciones correctas al respecto (consulte Cambio del origen de identidad de AIM Identity Center).

nota

Si utiliza Active Directory o un proveedor de identidad externo como origen de identidad, debe asignar las direcciones de correo electrónico de sus usuarios a los nombres de usuario de AIM Identity Center al especificar el protocolo del sistema de administración de identidades entre dominios (SCIM). Para obtener más información, consulte la Guía sobre IAM Identity Center en SCIM para habilitar IAM Identity Center.

Una vez que haya configurado el origen de identidad de IAM Identity Center, podrá activarlo en la consola al crear o editar el índice. Vaya a Control de acceso de usuarios en la configuración de su índice y edítela para poder obtener información sobre los grupos de usuarios de IAM Identity Center.

También puede activar el Centro de identidades de IAM mediante el UserGroupResolutionConfigurationobjeto. Debe proporcionar el UserGroupResolutionMode as AWS_SSO y crear un IAM rol que dé permiso para llamar asso:ListDirectoryAssociations,, sso-directory:SearchUserssso-directory:ListGroupsForUser,sso-directory:DescribeGroups.

aviso

Amazon Kendra actualmente no admite su uso UserGroupResolutionConfiguration con una cuenta de miembro de AWS la organización como fuente de identidad del IAM Identity Center. Debe crear el índice en la cuenta de administración de la organización para poder utilizar UserGroupResolutionConfiguration.

A continuación, se ofrece información general sobre cómo configurar un origen de datos con UserGroupResolutionConfiguration y un control de acceso de usuarios para filtrar los resultados de la búsqueda según el contexto del usuario. Esto supone que ya ha creado un índice y un IAM rol para los índices. Se crea un índice y se proporciona el IAM rol mediante la CreateIndexAPI.

Configurar un origen de datos con UserGroupResolutionConfiguration y filtrado de contexto de usuario
  1. Cree un rol de IAM que dé permiso para acceder al origen de identidad de IAM Identity Center.

  2. Para UserGroupResolutionConfigurationconfigurarlo, defina el modo AWS_SSO y llame UpdateIndexpara actualizar su índice y utilizar el IAM Identity Center.

  3. Si desea utilizar el control de acceso de los usuarios basado en fichas para filtrar los resultados de la búsqueda según el contexto del usuario, configúrelo en el USER_TOKEN momento de UserContextPolicyla llamada. UpdateIndex De lo contrario, Amazon Kendra rastrea la lista de control de acceso de cada uno de sus documentos para la mayoría de los conectores de fuentes de datos. También puede filtrar los resultados de la búsqueda según el contexto del usuario en la API Query proporcionando información sobre los usuarios y los grupos en UserContext. También puede asignar usuarios a sus grupos de PutPrincipalMappingforma que solo necesite proporcionar el ID de usuario al realizar la consulta.

  4. Cree un rol de IAM que conceda permiso para acceder a su origen de datos.

  5. Configure su origen de datos. Debe proporcionar la información de conexión necesaria para conectarse a su origen de datos.

  6. Cree una fuente de datos mediante la CreateDataSourceAPI. Proporcione el objeto DataSourceConfiguration, que incluye TemplateConfiguration, el ID de su índice, el rol de IAM del origen de datos y el tipo de origen de datos, y asigne un nombre al origen de datos. También puede actualizar el origen de datos.