IAMroles de acceso paraAmazon Kendra - Amazon Kendra

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMroles de acceso paraAmazon Kendra

Cuando se crea un índice, una fuente de datos o una pregunta frecuente,Amazon Kendranecesita acceso a laAWSrecursos necesarios para crear elAmazon Kendrarecurso. Debe crearAWS Identity and Access Management(IAM) antes de crear elAmazon Kendrarecurso. Cuando llame a la operación, proporcione el nombre de recurso de Amazon (ARN) del rol con la política adjunta. Por ejemplo, si está llamando alBatchPutDocumentAPI para añadir documentos desde unAmazon S3cubo, proporcionasAmazon Kendracon un rol con una política que tenga acceso al bucket de.

Puede crear un nuevoIAMpapel en elAmazon Kendraconsola o elige unIAMfunción existente que se va a utilizar. La consola muestra los roles que tienen la cadena «kendra» o «Kendra» en el nombre del rol.

En los temas siguientes se proporcionan detalles de las políticas requeridas. Si creasIAMroles utilizando elAmazon Kendraconsola, estas políticas se crean para usted.

IAMroles para índices

Cuando se crea un índice, debe proporcionar unIAMrol con permiso para escribir en unAmazon CloudWatch. También debe proporcionar una política de confianza que permitaAmazon KendraPara asumir el rol. Las siguientes son las políticas que deben proporcionarse.

Una política de roles para permitirAmazon Kendrapara obtener acceso aCloudWatchregistro.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:region:account ID:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*" } ] }

Una política de roles para permitirAmazon Kendrapara obtener acceso aAWS Secrets Manager. Si utiliza el contexto de usuario conSecrets Managercomo ubicación clave, puede utilizar la siguiente política.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:region:account ID:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:region:account ID:secret:secret_id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:region:account ID:key/key_id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.*.amazonaws.com" ] } } } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para el BatchPutDocument API

aviso

Amazon Kendrano utiliza una política de bucket que conceda permisos a unAmazon Kendraprincipal para interactuar con un bucket S3. En su lugar, utilizaIAMpapeles. Asegúrese de queAmazon Kendrano se incluye como miembro de confianza en tu política de bucket para evitar problemas de seguridad de datos al conceder permisos accidentalmente a directores arbitrarios. Sin embargo, puede añadir una política de bucket para utilizar unAmazon S3depósito en diferentes cuentas. Para obtener más información, consultePolíticas de uso deAmazon S3entre cuentas de. Para obtener información sobreIAMroles para orígenes de datos de S3, consulteIAMRoles de de.

Cuando utiliza elBatchPutDocumentAPI para indexar documentos en unAmazon S3bucket, debes proporcionarAmazon Kendracon unIAMcon acceso al bucket de. También debe proporcionar una política de confianza que permitaAmazon KendraPara asumir el rol. Si los documentos del depósito están cifrados, debe proporcionar permiso para utilizar elAWS KMSUna clave maestra del cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria para permitirAmazon Kendrapara obtener acceso aAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccountyaws:sourceArnen la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountyaws:sourceArnson los mismos que se proporcionan en elIAMpolítica para el rol dests:AssumeRoleaction. Esto impide que entidades no autorizadas accedan a suIAMroles y sus permisos. Para obtener más información, consulte laAWS Identity and Access Managementguía sobre elproblema confuso del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }

Una política de roles opcional para permitirAmazon Kendrapara utilizar unAWS KMSclave maestra de cliente (CMK) para descifrar documentos en unAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

IAMroles para orígenes de datos

Cuando utiliza elCreateDataSourceAPI, debes darAmazon KendraunIAMrol que tiene permiso para acceder a los recursos de la base de datos. Los permisos específicos requeridos dependen del origen de datos.

IAMRoles de paraAmazon S3orígenes de datos

aviso

Amazon Kendrano utiliza una política de bucket que conceda permisos a unAmazon Kendraprincipal para interactuar con un bucket S3. En su lugar, utilizaIAMpapeles. Asegúrese de queAmazon Kendrano se incluye como miembro de confianza en tu política de bucket para evitar problemas de seguridad de datos al conceder permisos accidentalmente a directores arbitrarios. Sin embargo, puede añadir una política de bucket para utilizar unAmazon S3depósito en diferentes cuentas. Para obtener más información, consulte Políticas de uso deAmazon S3entre cuentas de.

Cuando utiliza unAmazon S3bucket como fuente de datos, proporciona un rol que tiene permiso para acceder al bucket y utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones. Si los documentos de laAmazon S3bucket está encriptado, debe proporcionar permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria para permitirAmazon Kendrapara utilizar unAmazon S3bucket como origen de datos.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:region:account ID:index/index ID" ] } ] }

Una política de roles opcional para permitirAmazon Kendrapara utilizar unAWS KMSclave maestra de cliente (CMK) para descifrar documentos en unAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Políticas de uso deAmazon S3entre cuentas de

Si las recetasAmazon S3bucket está en otra cuenta de la que usa para suAmazon Kendraindex, puede crear políticas para utilizarlo en todas las cuentas.

Una política de roles para utilizar suAmazon S3bucket como fuente de datos cuando el bucket se encuentra en una cuenta diferente a la deAmazon Kendraíndice.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$KENDRA_REGION:$KENDRA_ACCOUNT_ID:index/$KENDRA_INDEX_ID" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" } ] }

Una política de bucket para permitir elAmazon S3función de origen de datos para acceder alAmazon S3un bucket entre cuentas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$KENDRA_S3_CONNECTOR_ROLE_ARN" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$KENDRA_S3_CONNECTOR_ROLE_ARN" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$BUCKET_IN_OTHER_ACCOUNT" } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos del servidor de Confluence

Cuando utiliza un servidor de Confluence como origen de datos, proporciona un rol con las siguientes políticas:

  • Permiso para acceder alAWS Secrets Managerque contiene las credenciales necesarias para conectarse al servidor de Confluence. Para obtener más información acerca del contenido del secreto, consulteUso de un origen de datos de Atlassian Confluence.

  • Permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar el nombre de usuario y la contraseña secreto almacenado porSecrets Manager.

  • Permiso para utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Si utiliza una VPC, proporcione una política que proporcioneAmazon Kendraacceso a los recursos necesarios. ConsulteFunción de IAM de la nube privada virtual (VPC))para la política requerida.

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de base de datos

Cuando utilice una base de datos como origen de datos, proporcioneAmazon Kendracon un rol que tenga los permisos necesarios para conectarse a la base de datos. Entre ellas se incluyen:

  • Permiso para acceder alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña del sitio de base de datos. Para obtener más información acerca del contenido del secreto, consulteUtilización de un origen de datos de base.

  • Permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar el nombre de usuario y la contraseña secreto almacenado porSecrets Manager.

  • Permiso para utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones para actualizar el índice.

  • Permiso para acceder alAmazon S3bucket que contiene el certificado SSL utilizado para comunicarse con el sitio de base de datos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:region:account ID:index/index ID" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Hay dos políticas opcionales que puede utilizar con un origen de datos de base de datos.

Si ha cifrado elAmazon S3bucket que contiene el certificado SSL utilizado para comunicarse con la base de datos, proporcionar una política para darAmazon Kendraacceso a la llave.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Si utiliza una VPC, proporcione una política que proporcioneAmazon Kendraacceso a los recursos necesarios. ConsulteFunción de IAM de la nube privada virtual (VPC))para la política requerida.

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de Google Workspace Drive

Cuando usa un origen de datos de Google Workspace Drive, proporcioneAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:

Los siguientes ejemplos deIAMproporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para Microsoft OneDrive orígenes de datos

Cuando utilizas un Microsoft OneDrive fuente de datos, proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:

Los siguientes ejemplos deIAMproporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Si va a almacenar la lista de usuarios que se van a indexar en unAmazon S3bucket, también debe proporcionar permiso para usar el S3GetObject. Los siguientes ejemplos deIAMproporciona los permisos necesarios:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::input_bucket_name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/[[key IDs]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com", "s3.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de Salesforce

Cuando utiliza un Salesforce como origen de datos, proporciona un rol con las siguientes políticas:

  • Permiso para acceder alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña del sitio de Salesforce. Para obtener más información acerca del contenido del secreto, consulteUso de un origen de datos de Salesforce.

  • Permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar el nombre de usuario y la contraseña secreto almacenado porSecrets Manager.

  • Permiso para utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMRoles de para ServiceNow orígenes de datos

Cuando utiliza un ServiceNow como origen de datos, proporcione un rol con las siguientes políticas:

  • Permiso para acceder alSecrets Managersecreto que contiene el nombre de usuario y la contraseña del sitio de ServiceNow. Para obtener más información acerca del contenido del secreto, consulteUso de una ServiceNow origen de datos.

  • Permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar el nombre de usuario y la contraseña secreto almacenado porSecrets Manager.

  • Permiso para utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para Microsoft SharePoint orígenes de datos

Para un Microsoft SharePoint origen de datos, proporcione un rol con las siguientes políticas.

  • Permiso para acceder alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña del sitio de SharePoint. Para obtener más información acerca del contenido del secreto, consulteUso de Microsoft SharePoint origen de datos.

  • Permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar el nombre de usuario y la contraseña secreto almacenado porAWS Secrets Manager.

  • Permiso para utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones para actualizar el índice.

  • Permiso para acceder alAmazon S3bucket que contiene el certificado SSL utilizado para comunicarse con el sitio de SharePoint.

También debe adjuntar una política de confianza que permitaAmazon KendraPara asumir el rol.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:region:account ID:index/index ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Si ha cifrado elAmazon S3bucket que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio, proporcionar una política para darAmazon Kendraacceso a la llave.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Función de IAM de la nube privada virtual (VPC))

: si utiliza una nube privada virtual (VPC) para conectarse a su origen de datos, debe proporcionar los permisos siguientes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:region:account ID:subnet/subnet IDs" ] } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de rastreador web

Cuando utilizaAmazon KendraWeb Crawler, proporciona un rol con las siguientes políticas:

  • Permiso para acceder alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña para conectarse a sitios web o a un servidor proxy web respaldado por autenticación básica. Para obtener más información acerca del contenido del secreto, consulteUso de un origen de datos de rastreador web.

  • Permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para descifrar el nombre de usuario y la contraseña secreto almacenado porSecrets Manager.

  • Permiso para utilizar elBatchPutDocumentyBatchDeleteDocumentoperaciones para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account ID:secret:secret ID" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region:account ID:index/index ID" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMRoles de paraAmazon WorkDocsorígenes de datos

Cuando utilizaAmazon WorkDocs, proporciona un rol con las siguientes políticas:

  • Permiso para verificar el ID de directorio (ID de organización) que se corresponde con suAmazon WorkDocsrepositorio del sitio.

  • Permiso para obtener el nombre de dominio de Active Directory que contiene suAmazon WorkDocsdirectorio de sitios.

  • Permiso para llamar a las API públicas requeridas para elAmazon WorkDocsconector.

  • Permiso para llamar alBatchPutDocumentyBatchDeleteDocumentAPI para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/${IndexId}" ] } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMRoles de paraAmazon FSxorígenes de datos

Cuando utilizaAmazon FSx, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Managersecreto para autenticar tuAmazon FSx.

  • Permiso para accederAmazon Virtual Private Cloud(VPC) donde suAmazon FSxreside.

  • Permiso para obtener el nombre de dominio de Active Directory para suAmazon FSxSistema de archivos de Windows.

  • Permiso para llamar a las API públicas requeridas para elAmazon FSxconector.

  • Permiso para llamar alBatchPutDocumentyBatchDeleteDocumentAPI para actualizar el índice.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:{{secret_id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/{{key_id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de Slack

Cuando usas Slack, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Slack.

  • Permiso para llamar a las API públicas necesarias para el conector de Slack.

  • Permiso para llamar alBatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, yListGroupsOlderThanOrderingIdAPI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de Box

Cuando utiliza Box, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Slack.

  • Permiso para llamar a las API públicas requeridas para el conector Box.

  • Permiso para llamar alBatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, yListGroupsOlderThanOrderingIdAPI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos Quip

Cuando utiliza Quip, proporciona un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Quip.

  • Permiso para llamar a las API públicas requeridas para el conector de Quip.

  • Permiso para llamar alBatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, yListGroupsOlderThanOrderingIdAPI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para fuentes de datos de Jira

Cuando usas Jira, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Jira.

  • Permiso para llamar a las API públicas requeridas para el conector de Jira.

  • Permiso para llamar alBatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, yListGroupsOlderThanOrderingIdAPI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMRoles de para GitHub orígenes de datos

Cuando usas GitHub, proporcionas un rol con las siguientes políticas.

  • Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu GitHub.

  • Permiso para llamar a las API públicas requeridas para el GitHub conector.

  • Permiso para llamar alBatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, yListGroupsOlderThanOrderingIdAPI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para preguntas frecuentes

Cuando utiliza elPreguntas frecuentes sobre crearAPI para cargar preguntas y respuestas en un índice, debe proporcionarAmazon Kendracon unIAMrol de que tenga acceso alAmazon S3bucket que contiene los archivos de origen. Si los archivos de origen están cifrados, debe proporcionar permiso para utilizar elAWS KMSUna clave maestra del cliente (CMK) para descifrar los archivos.

Una política de roles obligatoria para permitirAmazon Kendrapara obtener acceso aAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de roles opcional para permitirAmazon Kendrapara utilizar unAWS KMSClave maestra del cliente (CMK) para descifrar archivos en unAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.amazonaws.com" ] } } } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para sugerencias de consultas

Cuando utiliza unAmazon S3como lista de bloqueo de sugerencias de consulta, proporcione un rol que tiene permiso para acceder a laAmazon S3archivo y elAmazon S3bucket. Si el archivo de texto de lista de bloques (elAmazon S3) en elAmazon S3bucket está cifrado, debe proporcionar permiso para usar laAWS KMSUna clave maestra del cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria para permitirAmazon Kendrapara usarAmazon S3como lista de bloqueo de sugerencias de consulta.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de roles opcional para permitirAmazon Kendrapara utilizar unAWS KMSclave maestra de cliente (CMK) para descifrar documentos en unAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMroles para mapeo principal de usuarios y grupos

Cuando utiliza elAsignación principal de PutAPI para asignar usuarios a sus grupos para filtrar los resultados de búsqueda por contexto de usuario, debe proporcionar una lista de usuarios o subgrupos que pertenecen a un grupo. Si la lista tiene más de 1000 usuarios o subgrupos para un grupo, debe proporcionar un rol que tenga permiso para acceder alAmazon S3archivo de tu lista y elAmazon S3bucket. Si el archivo de texto (Amazon S3archivo) de la lista en elAmazon S3bucket está cifrado, debe proporcionar permiso para usar laAWS KMSclave maestra de cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria para permitirAmazon Kendrapara usarAmazon S3como lista de usuarios y subgrupos que pertenecen a un grupo.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket name/*" ] } ] }

Una política de roles opcional para permitirAmazon Kendrapara utilizar unAWS KMSclave maestra de cliente (CMK) para descifrar documentos en unAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account ID:key/key ID" ] } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccountyaws:sourceArnen la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountyaws:sourceArnson los mismos que se proporcionan en elIAMpolítica para el rol dests:AssumeRoleaction. Esto impide que entidades no autorizadas accedan a suIAMroles y sus permisos. Para obtener más información, consulte laAWS Identity and Access Managementguía sobre elproblema confuso del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }

Roles de IAM para AWS IAM Identity Center (successor to AWS Single Sign-On)

Cuando utiliza elConfiguración de la solución de grupo de usuariosobjeto para obtener los niveles de acceso de grupos y usuarios de unAWS IAM Identity Center (successor to AWS Single Sign-On)origen de identidad, debe proporcionar un rol que tenga permiso para accederIAM Identity Center.

Una política de roles obligatoria para permitirAmazon Kendrapara obtener acceso aIAM Identity Center.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAMRoles de paraAmazon Kendraexperiencias

IAMRoles de paraAmazon Kendraexperiencia de búsqueda

Cuando utiliza elCrear experienciaoActualizar experienciaAPI para crear o actualizar una aplicación de búsqueda, debe proporcionar un rol que tenga permiso para acceder a las operaciones necesarias yAWS IAM Identity Center (successor to AWS Single Sign-On).

Una política de roles obligatoria para permitirAmazon Kendrapara obtener acceso aQueryoperaciones,QuerySuggestionsoperaciones,SubmitFeedbackoperaciones, yIAM Identity Centerque almacena la información de usuario y grupo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/{{IndexId}}" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:{{region}}:{{account_id}}:index/{{IndexId}}/data-source/{{DataSourceId}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{IndexId}}/faq/{{FaqId}}" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.amazonaws.com" ] } } } ] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccountyaws:sourceArnen la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountyaws:sourceArnson los mismos que se proporcionan en elIAMpolítica para el rol dests:AssumeRoleaction. Esto impide que entidades no autorizadas accedan a suIAMroles y sus permisos. Para obtener más información, consulte laAWS Identity and Access Managementguía sobre elproblema confuso del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }

IAMroles para Enriquecimiento de documentos personalizados

Cuando utiliza elConfiguración de enriquecimiento de documentos personalizadaobjeto para aplicar alteraciones avanzadas de los metadatos y el contenido del documento, debe proporcionar un rol que tenga los permisos necesarios para ejecutarPreExtractionHookConfigurationy/oPostExtractionHookConfiguration. Puede configurar una función Lambda paraPreExtractionHookConfigurationy/oPostExtractionHookConfigurationpara aplicar modificaciones avanzadas de los metadatos y el contenido de los documentos durante el proceso de ingestión. Si elige habilitar el cifrado del lado del servidor para suAmazon S3bucket, debe proporcionar permiso para utilizar elAWS KMSclave maestra de cliente (CMK) para cifrar y descifrar los objetos almacenados en suAmazon S3bucket.

Una política de roles obligatoria para permitirAmazon Kendrapara ejecutarPreExtractionHookConfigurationyPostExtractionHookConfigurationcon encriptación para suAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/{{key_id}}" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:{{region}}:{{account_id}}:function:{{lambda_function}}" }] }

Una política de roles opcional para permitirAmazon Kendrapara ejecutarPreExtractionHookConfigurationyPostExtractionHookConfigurationsin encriptación para suAmazon S3bucket.

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{input_bucket_name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:{{region}}:{{account_id}}:function:{{lambda_function}}" }] }

Una política de confianza para permitirAmazon KendraPara asumir un rol.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Se recomienda incluiraws:sourceAccountyaws:sourceArnen la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccountyaws:sourceArnson los mismos que se proporcionan en elIAMpolítica para el rol dests:AssumeRoleaction. Esto impide que entidades no autorizadas accedan a suIAMroles y sus permisos. Para obtener más información, consulte laAWS Identity and Access Managementguía sobre elproblema confuso del suplente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:region:accountId:index/*" } } } ] }