IAMfunciones de acceso paraAmazon Kendra - Amazon Kendra

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMfunciones de acceso paraAmazon Kendra

Al crear un índice, una fuente de datos o una sección de preguntas frecuentes,Amazon Kendra necesita acceso a losAWS recursos necesarios para crear elAmazon Kendra recurso. Debe crear una políticaAWS Identity and Access Management (IAM) antes de crear elAmazon Kendra recurso. Al llamar a la operación, debe proporcionar el nombre de recurso de Amazon (ARN) de la función con la política de ejemplo. Por ejemplo, si llamas a la BatchPutDocumentAPI para añadir documentos desde unAmazon S3 depósito,Amazon Kendra proporcionas un rol con una política que tenga acceso al depósito.

Puede crear unIAM rol nuevo en laAmazon Kendra consola o elegir unoIAM existente para usarlo. La consola muestra los roles que tienen la cadena «kendra» o «Kendra» en el nombre del rol.

En los siguientes temas se proporcionan detalles de las políticas necesarias. Si creaIAM funciones mediante laAmazon Kendra consola, estas políticas se crean automáticamente.

IAMfunciones para índices

Al crear un índice, debe proporcionar unIAM rol con permiso para escribir en unAmazon CloudWatch. También debe proporcionar una política de confianza queAmazon Kendra permita asumir el rol. Las siguientes son las políticas que se deben proporcionar.

Una política de roles que permite accederAmazon Kendra a unCloudWatch registro.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:region:account ID:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*" } ] }

Una política de roles paraAmazon Kendra permitir el accesoAWS Secrets Manager. : si utiliza el contexto de usuarioSecrets Manager como ubicación clave, puede usar la siguiente política.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:region:account ID:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:region:account ID:secret:secret_id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:region:account ID:key/key_id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.*.amazonaws.com" ] } } } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMfunciones para la BatchPutDocument API

aviso

Amazon Kendrano utiliza una política de bucket que otorgue permisos a unAmazon Kendra director para interactuar con un bucket de S3. En su lugar, usaIAM roles. Asegúrese de queAmazon Kendra no esté incluido como miembro de confianza en su política de bucket para evitar cualquier problema de seguridad de los datos al conceder permisos accidentalmente a directores arbitrarios. Sin embargo, puedes añadir una política de bucket para usar unAmazon S3 bucket en diferentes cuentas. Para obtener más información, consulte PolíticasAmazon S3 de uso. Para obtener información sobre lasIAM funciones de las fuentes de datos de S3, consulte las IAMfunciones.

Cuando usas la BatchPutDocumentAPI para indexar documentos en unAmazon S3 bucket, debes proporcionarAmazon Kendra unIAM rol con acceso al bucket. También debe proporcionar una política de confianza queAmazon Kendra permita asumir el rol. Si los documentos del bucket están cifrados, debe proporcionar permiso para usar la clave maestra delAWS KMS cliente (CMK) para descifrar los documentos.

Una política de rol obligatoria para permitirAmazon Kendra el acceso a unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccount yaws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountaws:sourceArn son los mismos que los que se proporcionan en la política deIAM roles para lasts:AssumeRole acción. Esto evita que entidades no autorizadas accedan a susIAM funciones y a sus permisos. Para obtener más información, consulte laAWS Identity and Access Management guía sobre el problema del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }

Una política de roles opcional que permiteAmazon Kendra usar una clave maestra deAWS KMS cliente (CMK) para descifrar los documentos de unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

IAMfunciones para fuentes de datos

Cuando utilice la CreateDataSourceAPI, debe asignarAmazon Kendra unIAM rol que tenga permiso para acceder a los recursos de la base de datos. Los permisos específicos necesarios dependen de la fuente de datos.

Cuando utiliza Alfresco, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Manager secreto para autenticar su Alfresco.

  • Permiso para llamar a las API públicas necesarias para el conector de Alfresco.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
aviso

Amazon Kendrano utiliza una política de bucket que otorgue permisos a unAmazon Kendra director para interactuar con un bucket de S3. En su lugar, usaIAM roles. Asegúrese de queAmazon Kendra no esté incluido como miembro de confianza en su política de bucket para evitar cualquier problema de seguridad de los datos al conceder permisos accidentalmente a directores arbitrarios. Sin embargo, puedes añadir una política de bucket para usar unAmazon S3 bucket en diferentes cuentas. Para obtener más información, consultePolíticas para usarAmazon S3 en todas las cuentas (desplácese hacia abajo).

Cuando usa unAmazon S3 bucket como fuente de datos, proporciona un rol que tiene permiso para acceder al bucket y usar lasBatchDeleteDocument operacionesBatchPutDocument y. Si los documentos delAmazon S3 bucket están cifrados, debe proporcionar permiso para usar la clave maestra delAWS KMS cliente (CMK) para descifrar los documentos.

Una política de rol obligatoria paraAmazon Kendra permitir el uso de unAmazon S3 bucket como fuente de datos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:region:account ID:index/index ID" ] } ] }

Una política de roles opcional que permiteAmazon Kendra usar una clave maestra deAWS KMS cliente (CMK) para descifrar los documentos de unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de roles opcional que permite accederAmazon Kendra a unAmazon S3 bucket, mientras se usa unAmazon VPC y sin activarAWS KMS ni compartirAWS KMS permisos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_{datasource_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": ["arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]"] }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" } ] } { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kendra.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Una política de roles opcional que permite accederAmazon Kendra a unAmazon S3 bucket mientras se usa unAmazon VPC y conAWS KMS los permisos activados.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/{{key_id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_{datasource_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": ["arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]"] }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" } ] } { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kendra.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Políticas para usarAmazon S3 en todas las cuentas

Si tuAmazon S3 bucket está en una cuenta diferente a la que usas para tuAmazon Kendra índice, puedes crear políticas para usarlo en todas las cuentas.

Una política de roles para usar tuAmazon S3 bucket como fuente de datos cuando el bucket se encuentra en una cuenta diferente a la de tuAmazon Kendra índice.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$KENDRA_REGION:$KENDRA_ACCOUNT_ID:index/$KENDRA_INDEX_ID" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" } ] }

Una política de bucket para permitir que la funciónAmazon S3 de fuente de datos acceda alAmazon S3 bucket en todas las cuentas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$KENDRA_S3_CONNECTOR_ROLE_ARN" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$KENDRA_S3_CONNECTOR_ROLE_ARN" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT" } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utiliza una base de datos como fuente de datos,Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse a la base de datos. Entre ellas se incluyen:

  • Permiso para acceder alAWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del sitio de base de datos. Para obtener más información acerca del contenido del secreto, consulteAmazon RDS/Aurora.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porSecrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

  • Permiso para acceder alAmazon S3 bucket que contiene el certificado SSL utilizado para comunicarse con el sitio de la base de datos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:region:account ID:index/index ID" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Hay dos políticas opcionales que puede utilizar con una fuente de datos de base de datos.

Si ha cifrado elAmazon S3 bucket que contiene el certificado SSL utilizado para comunicarse con la base de datos, proporcione una política para darAmazon Kendra acceso a la clave.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Si utilizas una VPC, proporciona una política que déAmazon Kendra acceso a los recursos necesarios. ConsulteRol de nube privada (()))))) VPC)))IAM ( la política requerida.

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando lo usaAmazon FSx, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Manager secreto para autenticar suAmazon FSx.

  • Permiso de accesoAmazon Virtual Private Cloud (VPC) al lugar dondeAmazon FSx reside.

  • Permiso para obtener el nombre de dominio de Active Directory para el sistema de archivos deAmazon FSx Windows.

  • Permiso para llamar a las API públicas necesarias para elAmazon FSx conector.

  • Permiso para llamar a lasBatchDeleteDocument APIBatchPutDocument y actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:{{secret_id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/{{key_id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utilizaAmazon Kendra Web Crawler, proporciona un rol con las siguientes políticas:

  • Permiso para acceder alAWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña para conectarse a sitios web o a un servidor proxy de Internet con el respaldo de una autenticación básica. Para obtener más información acerca del contenido del secreto, consulte Uso de una fuente de datos de rastreador de web.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porSecrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando lo usasAmazon WorkDocs, proporcionas un rol con las siguientes políticas

  • Permiso para verificar el ID de directorio (ID de organización) que corresponde al repositorio de tuAmazon WorkDocs sitio.

  • Permiso para obtener el nombre de dominio de Active Directory que contiene el directorioAmazon WorkDocs del sitio.

  • Permiso para llamar a las API públicas necesarias para elAmazon WorkDocs conector.

  • Permiso para llamar a lasBatchDeleteDocument APIBatchPutDocument y actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/${IndexId}" ] } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usas Box, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a tuAWS Secrets Manager secreto para autenticar tu Slack.

  • Permiso para llamar a las API públicas necesarias para el conector Box.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utilizas un servidor de Confluence como fuente de datos, proporcionas un rol con las siguientes políticas:

  • Permiso para acceder alAWS Secrets Manager secreto que contiene las credenciales necesarias para conectarse a Confluence. Para obtener más información acerca del contenido del secreto, consulteConfluence.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porSecrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Si utilizas una VPC, proporciona una política que déAmazon Kendra acceso a los recursos necesarios. ConsulteRol de nube privada (()))))) VPC)))IAM ( la política requerida.

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Para una fuente de datos de Confluence Connector v2.0, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder alAWS Secrets Manager secreto que contiene las credenciales de autenticación de Confluence. Para obtener más información acerca del contenido del secreto, consulteConfluence.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porAWS Secrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

También debe adjuntar una política de confianza queAmazon Kendra permita asumir el rol.

Una política de roles que permiteAmazon Kendra conectarse a Confluence.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account_id:secret:secret_id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account_id:key/key_id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:region:account_id:index/index_id", "arn:aws:kendra:region:account_id:index/index_id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account_id:index/index_id" } ] }

Una política de roles que permite conectarseAmazon Kendra a Confluence con la configuración de VPC.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account_id:secret:secret_id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account_id:key/key_id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:region:account_id:index/index_id", "arn:aws:kendra:region:account_id:index/index_id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account_id:index/index_id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:region:account_id:subnet/subnet_ids", "arn:aws:ec2:region:account_id:security-group/security_group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_account_id_index_id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_account_id_index_id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usas Dropbox, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a tuAWS Secrets Manager secreto para autenticar tu Dropbox.

  • Permiso para llamar a las API públicas necesarias para el conector de Dropbox.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando lo usa GitHub, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Manager secreto para autenticar su GitHub.

  • Permiso para llamar a las API públicas necesarias para el GitHub conector.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usas Gmail, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a tuAWS Secrets Manager secreto para autenticar tu Gmail.

  • Permiso para llamar a las API públicas necesarias para el conector de Gmail.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utilizas una fuente de datos de Google Workspace Drive,Amazon Kendra proporcionas un rol que tiene los permisos necesarios para conectarte al sitio. Entre ellas se incluyen:

  • Permiso para obtener y descifrar elAWS Secrets Manager secreto que contiene el correo electrónico de la cuenta del cliente, el correo electrónico de la cuenta de administrador y la clave privada necesarios para conectarse al sitio de Google Drive. Para obtener más información acerca del contenido del secreto, consulteGoogle Drive.

  • Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usas Jira, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a tuAWS Secrets Manager secreto para autenticar tu Jira.

  • Permiso para llamar a las API públicas necesarias para el conector de Jira.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usa una fuente de datos de Microsoft Exchange,Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:

  • Permiso para obtener y descifrar elAWS Secrets Manager secreto que contiene el identificador de la aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Exchange. Para obtener más información acerca del contenido del secreto, consulteMicrosoft.

  • Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Si almacena la lista de usuarios para indexarlos en unAmazon S3 bucket, también debe proporcionar permiso para usar laGetObject operación S3. La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input_bucket_name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/[[key IDs]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com", "s3.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usa una fuente de OneDrive datos de Microsoft,Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:

  • Permiso para obtener y descifrar elAWS Secrets Manager secreto que contiene el ID de la aplicación y la clave secreta necesarios para conectarse al OneDrive sitio. Para obtener más información acerca del contenido del secreto, consulteMicrosoft OneDrive.

  • Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Si almacena la lista de usuarios para indexarlos en unAmazon S3 bucket, también debe proporcionar permiso para usar laGetObject operación S3. La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input_bucket_name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/[[key IDs]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com", "s3.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Para una fuente de datos de Microsoft SharePoint Connector v1.0, debe proporcionar una función con las siguientes políticas.

  • Permiso para acceder alAWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del SharePoint sitio. Para obtener más información acerca del contenido del secreto, consulteMicrosoft SharePoint.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porAWS Secrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

  • Permiso para acceder alAmazon S3 bucket que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio.

También debe adjuntar una política de confianza queAmazon Kendra permita asumir el rol.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:region:account ID:index/index ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Si ha cifrado elAmazon S3 bucket que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio, proporcione una política para darAmazon Kendra acceso a la clave.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Para una fuente de datos de Microsoft SharePoint Connector v2.0, debe proporcionar un rol con las siguientes políticas.

  • Permiso para acceder alAWS Secrets Manager secreto que contiene las credenciales de autenticación del SharePoint sitio. Para obtener más información acerca del contenido del secreto, consulteMicrosoft SharePoint.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porAWS Secrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

  • Permiso para acceder alAmazon S3 bucket que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio.

También debe adjuntar una política de confianza queAmazon Kendra permita asumir el rol.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account_id:secret:secret_id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account_id:key/key_id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:region:account_id:index/index_id", "arn:aws:kendra:region:account_id:index/index_id/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input_bucket_name/input_key_name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account_id:index/index_id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:region:account_id:subnet/subnet_ids", "arn:aws:ec2:region:account_id:security-group/security_group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_account_id_index_id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_account_id_index_id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }

Si ha cifrado elAmazon S3 bucket que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio, proporcione una política para darAmazon Kendra acceso a la clave.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utiliza una fuente de datos de Microsoft Teams,Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:

  • Permiso para obtener y descifrar elAWS Secrets Manager secreto que contiene el ID de cliente y el secreto de cliente necesarios para conectarse a Microsoft Teams. Para obtener más información acerca del contenido del secreto, consulteMicrosoft Teams de Microsoft.

  • Una política de confianza queAmazon Kendra permita asumir un rol.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:client ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Cuando usa una fuente de datos de Microsoft Yammer,Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:

  • Permiso para obtener y descifrar elAWS Secrets Manager secreto que contiene el ID de la aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Yammer. Para obtener más información acerca del contenido del secreto, consulteMicrosoft.

  • Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Si almacena la lista de usuarios para indexarlos en unAmazon S3 bucket, también debe proporcionar permiso para usar laGetObject operación S3. La siguienteIAM política de ejemplo proporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input_bucket_name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/[[key IDs]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com", "s3.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usa Quip, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a tuAWS Secrets Manager secreto para autenticar tu Quip.

  • Permiso para llamar a las API públicas necesarias para el conector Quip.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utiliza Salesforce como fuente de datos, proporciona un rol con las siguientes políticas:

  • Permiso para acceder alAWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del sitio de Salesforce. Para obtener más información acerca del contenido del secreto, consulteSalesforce.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porSecrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando utiliza un ServiceNow como fuente de datos, proporciona un rol con las siguientes políticas:

  • Permiso para acceder alSecrets Manager secreto que contiene el nombre de usuario y la contraseña del ServiceNow sitio. Para obtener más información acerca del contenido del secreto, consulteServiceNow.

  • Permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar el secreto de nombre de usuario y contraseña almacenados porSecrets Manager.

  • Permiso para utilizar lasBatchDeleteDocument operacionesBatchPutDocument y para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usas Slack, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a tuAWS Secrets Manager secreto para autenticar tu Slack.

  • Permiso para llamar a las API públicas necesarias para el conector de Slack.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Cuando usas Zendesk, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Manager secreto para autenticar su Zendesk Suite.

  • Permiso para llamar a las API públicas necesarias para el conector de Zendesk.

  • Permiso para llamar a lasListGroupsOlderThanOrderingId APIBatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping,,, y.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

: si usa una nube privada () de VPC va a usar para conectarse a su fuente de datos, debe proporcionar los siguientes permisos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:region:account ID:subnet/subnet IDs" ] } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para preguntas frecuentes (FAQ)))))))))))

Cuando utilice la CreateFaqAPI para cargar preguntas y respuestas en un índice, debe proporcionarAmazon Kendra unIAM rol con acceso alAmazon S3 bucket que contiene los archivos fuente. : si los archivos de origen están cifrados, debe proporcionar permiso para usar la clave maestra deAWS KMS cliente (CMK) de para descifrar los archivos.

Una política de rol obligatoria para permitirAmazon Kendra el acceso a unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de roles opcional que permiteAmazon Kendra usar una clave maestra deAWS KMS cliente (CMK) para descifrar los archivos de unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.*.amazonaws.com" ] } } } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMfunciones para sugerencias de consultas

Cuando usas unAmazon S3 archivo como lista de bloqueo de sugerencias de consultas, proporcionas un rol que tiene permiso para acceder alAmazon S3 archivo y alAmazon S3 bucket. Si el archivo de texto de la lista de bloqueo (elAmazon S3 archivo) delAmazon S3 bucket está cifrado, debe proporcionar permiso para usar la clave maestra delAWS KMS cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria que permitaAmazon Kendra utilizar elAmazon S3 archivo como lista de bloqueo de sugerencias de consultas.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de roles opcional que permiteAmazon Kendra usar una clave maestra deAWS KMS cliente (CMK) para descifrar los documentos de unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMfunciones para el mapeo principal de usuarios y grupos

Al utilizar la PutPrincipalMappingAPI para asignar usuarios a sus grupos a fin de filtrar los resultados de búsqueda por contexto de usuario, debe proporcionar una lista de los usuarios o subgrupos que pertenecen a un grupo. Si tu lista tiene más de 1000 usuarios o subgrupos para un grupo, debes proporcionar un rol que tenga permiso para acceder alAmazon S3 archivo de tu lista y alAmazon S3 bucket. Si el archivo de texto (elAmazon S3 archivo) de la lista delAmazon S3 bucket está cifrado, debe proporcionar permiso para usar la clave maestra delAWS KMS cliente (CMK) para descifrar los documentos.

Una política de roles obligatoriaAmazon Kendra para permitir usar elAmazon S3 archivo como lista de usuarios y subgrupos que pertenecen a un grupo.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de roles opcional que permiteAmazon Kendra usar una clave maestra deAWS KMS cliente (CMK) para descifrar los documentos de unAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccount yaws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountaws:sourceArn son los mismos que los que se proporcionan en la política deIAM roles para lasts:AssumeRole acción. Esto evita que entidades no autorizadas accedan a susIAM funciones y a sus permisos. Para obtener más información, consulte laAWS Identity and Access Management guía sobre el problema del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }

Roles de IAM para AWS IAM Identity Center (successor to AWS Single Sign-On)

Cuando utilice el UserGroupResolutionConfigurationobjeto para obtener los niveles de acceso de grupos y usuarios de una fuente deAWS IAM Identity Center (successor to AWS Single Sign-On) identidad, debe proporcionar un rol que tenga permiso de accesoIAM Identity Center.

Una política de roles obligatoria paraAmazon Kendra permitir el accesoIAM Identity Center.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles paraAmazon Kendra experiencias

Cuando utilice las UpdateExperienceAPI CreateExperienceo para crear o actualizar una aplicación de búsqueda, debe proporcionar un rol que tenga permiso para acceder a las operaciones necesarias y a IAM Identity Center.

Una política de roles obligatoria para permitir el accesoAmazon Kendra aQuery operaciones,QuerySuggestionsSubmitFeedback operaciones y al centro de identidades de IAM, que almacena la información de usuarios y grupos.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/{{IndexId}}" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/{{IndexId}}/data-source/{{DataSourceId}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{IndexId}}/faq/{{FaqId}}" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.*.amazonaws.com" ] } } } ] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccount yaws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountaws:sourceArn son los mismos que los que se proporcionan en la política deIAM roles para lasts:AssumeRole acción. Esto evita que entidades no autorizadas accedan a susIAM funciones y a sus permisos. Para obtener más información, consulte laAWS Identity and Access Management guía sobre el problema del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }

IAMroles de enriquecimiento de documentos

Cuando utilice el CustomDocumentEnrichmentConfigurationobjeto para aplicar modificaciones avanzadas a los metadatos y el contenido del documento, debe proporcionar un rol que tenga los permisos necesarios para ejecutarsePreExtractionHookConfiguration y/oPostExtractionHookConfiguration. Configura una función LambdaPostExtractionHookConfiguration paraPreExtractionHookConfiguration o aplica alteraciones avanzadas de los metadatos y el contenido del documento durante el proceso de ingestión. Si decide activar el cifrado del lado del servidor para suAmazon S3 bucket, debe proporcionar permiso para usar la clave maestra delAWS KMS cliente (CMK) para cifrar y descifrar los objetos almacenados en suAmazon S3 bucket.

Una política de roles obligatoria paraAmazon Kendra permitir la ejecuciónPreExtractionHookConfiguration yPostExtractionHookConfiguration con cifrado para suAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/{{key_id}}" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:{{region}}:{{account_id}}:function:{{lambda_function}}" }] }

Una política de roles opcional queAmazon Kendra permite ejecutarPreExtractionHookConfiguration yPostExtractionHookConfiguration sin cifrar suAmazon S3 bucket.

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:{{region}}:{{account_id}}:function:{{lambda_function}}" }] }

Una política de confianza queAmazon Kendra permita asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccount yaws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountaws:sourceArn son los mismos que los que se proporcionan en la política deIAM roles para lasts:AssumeRole acción. Esto evita que entidades no autorizadas accedan a susIAM funciones y a sus permisos. Para obtener más información, consulte laAWS Identity and Access Management guía sobre el problema del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }