IAM roles para índices IAM funciones para la BatchPutDocument API IAM funciones para las fuentes de datos Función de nube privada virtual (VPC) IAM IAM funciones para las preguntas frecuentes (FAQ)IAM funciones para sugerencias de consultas IAM funciones para el mapeo principal de usuarios y grupos IAM funciones para AWS IAM Identity Center IAM roles para Amazon Kendra experiencias IAM funciones para el enriquecimiento de documentos personalizados

IAM roles de acceso para Amazon Kendra

Al crear un índice, una fuente de datos o una sección de preguntas frecuentes, Amazon Kendra necesita acceder a los AWS recursos necesarios para crear el Amazon Kendra recurso. Debe crear una política AWS Identity and Access Management (IAM) antes de crear el Amazon Kendra recurso. Al llamar a la operación, debe proporcionar el nombre de recurso de Amazon (ARN) del rol con la política adjunta. Por ejemplo, si llamas a la BatchPutDocumentAPI para añadir documentos desde un Amazon S3 depósito, Amazon Kendra asignas un rol con una política que tenga acceso al depósito.

Puedes crear un IAM rol nuevo en la Amazon Kendra consola o elegir uno IAM existente para usarlo. La consola muestra los roles que tienen la cadena “kendra” o “Kendra” en el nombre del rol.

En los temas siguientes se proporcionan detalles sobre las políticas necesarias. Si crea IAM roles mediante la Amazon Kendra consola, estas políticas se crean automáticamente.

Temas

IAM roles para índices
IAM funciones para la BatchPutDocument API
IAM funciones para las fuentes de datos
Función de nube privada virtual (VPC) IAM
IAM funciones para las preguntas frecuentes (FAQ)
IAM funciones para sugerencias de consultas
IAM funciones para el mapeo principal de usuarios y grupos
IAM funciones para AWS IAM Identity Center
IAM roles para Amazon Kendra experiencias
IAM funciones para el enriquecimiento de documentos personalizados

IAM roles para índices

Al crear un índice, debe proporcionar un IAM rol con permiso para escribir en un Amazon CloudWatch. También debe proporcionar una política de confianza que Amazon Kendra permita asumir el rol. Las siguientes son las políticas que se deben proporcionar.

Una política de roles para permitir Amazon Kendra el acceso a un CloudWatch registro.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "logs:DescribeLogGroups",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
        }
    ]
}

Una política de roles para Amazon Kendra permitir el acceso AWS Secrets Manager. Si utiliza el contexto de usuario Secrets Manager como ubicación clave, puede utilizar la siguiente política.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"cloudwatch:PutMetricData",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "cloudwatch:namespace":"AWS/Kendra"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":"logs:DescribeLogGroups",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"logs:CreateLogGroup",
         "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "logs:DescribeLogStreams",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
         ],
         "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "secretsmanager:GetSecretValue"
         ],
         "Resource":[
            "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:Decrypt"
         ],
         "Resource":[
            "arn:aws:kms:your-region:your-account-id:key/key-id"
         ],
         "Condition":{
            "StringLike":{
               "kms:ViaService":[
                  "secretsmanager.your-region.amazonaws.com"
               ]
            }
         }
      }
   ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para la BatchPutDocument API

aviso

Amazon Kendra no utiliza una política de bucket que conceda permisos a un Amazon Kendra director para interactuar con un bucket de S3. En su lugar, usa roles de IAM . Asegúrese de Amazon Kendra no incluirlo como miembro de confianza en su política de bucket para evitar cualquier problema de seguridad de los datos si se conceden permisos accidentalmente a directores arbitrarios. Sin embargo, puedes añadir una política de grupos para utilizarlos Amazon S3 en distintas cuentas. Para obtener más información, consulte Políticas de uso de Amazon S3 en varias cuentas. Para obtener más información sobre los roles de IAM para orígenes de datos de S3, consulte Roles de IAM.

Cuando utilizas la BatchPutDocumentAPI para indexar documentos en un Amazon S3 depósito, debes proporcionar Amazon Kendra un IAM rol con acceso al depósito. También debes proporcionar una política de confianza que te Amazon Kendra permita asumir el rol. Si los documentos del depósito están cifrados, debe dar permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria para permitir Amazon Kendra el acceso a un Amazon S3 bucket.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Se recomienda incluir aws:sourceAccount y aws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura si aws:sourceAccount los mismos que se indican en la política de IAM roles de la sts:AssumeRole acción. aws:sourceArn Esto evita que entidades no autorizadas accedan a tus IAM funciones y a sus permisos. Para obtener más información, consulte la AWS Identity and Access Management guía sobre el problema de los diputados confusos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*"
                }
            }
        }
    ]
}

Una política de funciones opcional que permite Amazon Kendra utilizar una clave maestra AWS KMS del cliente (CMK) para descifrar los documentos de un Amazon S3 depósito.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

IAM funciones para las fuentes de datos

Al utilizar la CreateDataSourceAPI, debe asignar Amazon Kendra un IAM rol que tenga permiso para acceder a los recursos. Los permisos específicos necesarios dependen del origen de datos.

Cuando se utiliza Adobe Experience Manager, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Adobe Experience Manager.
Permiso para llamar a las API públicas necesarias para el conector de Adobe Experience Manager.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Adobe Experience Manager a Amazon Kendra través Amazon VPC de. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Alfresco, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Alfresco.
Permiso para llamar a las API públicas necesarias para el conector de Alfresco.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Alfresco a través de. Amazon Kendra Amazon VPC Si utiliza un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas Aurora (MySQL), proporcionas un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Aurora (MySQL).
Permiso para llamar a las API públicas requeridas para el conector Aurora (MySQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos Aurora (MySQL) a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza Aurora (PostgreSQL), proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Aurora (PostgreSQL).
Permiso para llamar a las API públicas necesarias para el conector de Aurora (PostgreSQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos Aurora (PostgreSQL) a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando los usa Amazon FSx, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su sistema de Amazon FSx archivos.
Permiso de acceso Amazon Virtual Private Cloud (VPC) al lugar donde reside su sistema de Amazon FSx archivos.
Permiso para obtener el nombre de dominio de Active Directory para su sistema de Amazon FSx archivos.
Permiso para llamar a las API públicas necesarias para el conector de Amazon FSx .
Permiso para llamar a las API BatchPutDocument y BatchDeleteDocument para actualizar el índice.


{
    "Version": "2012-10-17",
        "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "secretsmanager:GetSecretValue"
          ],
          "Resource": [
            "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Decrypt"
          ],
          "Resource": [
            "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
          ],
          "Condition": {
            "StringLike": {
              "kms:ViaService": [
                "secretsmanager.{{your-region}}.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action":[
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface"
          ],
          "Resource": [
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]   
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:CreateNetworkInterfacePermission"
          ],
          "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
          "Condition": {
            "StringEquals": {
              "ec2:AuthorizedService": "kendra.*.amazonaws.com"
            },
            "ArnEquals": {
              "ec2:Subnet": [
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
              ]
            }
          }
        },
        {
          "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
          "Effect": "Allow",
          "Action": "ds:DescribeDirectories",
          "Resource": "*"
        },
        {
          "Sid": "AllowsKendraToCallRequiredFsxAPIs",
          "Effect": "Allow",
          "Action": [
              "fsx:DescribeFileSystems"
          ],
          "Resource": "*"
        },
        {
          "Sid": "iamPassRole",
          "Effect": "Allow",
          "Action": "iam:PassRole",
          "Resource": "*",
          "Condition": {
            "StringEquals": {
              "iam:PassedToService": [
                "kendra.*.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kendra:BatchPutDocument",
            "kendra:BatchDeleteDocument"
          ],
          "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
        }
        ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una base de datos como fuente de datos, Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse a. Entre ellos se incluyen:

Permiso para acceder al AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del sitio. Para obtener más información sobre el contenido del secreto, consulte orígenes de datos.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados en. Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al Amazon S3 depósito que contiene el certificado SSL utilizado para comunicarse con el sitio.

nota

Puede conectar las fuentes de datos de la base de datos a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Hay dos políticas opcionales que puede utilizar con un origen de datos.

Si has cifrado el Amazon S3 depósito que contiene el certificado SSL utilizado para comunicarse con él, proporciona una política para dar Amazon Kendra acceso a la clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Si utiliza una VPC, proporcione una política que dé Amazon Kendra acceso a los recursos necesarios. Consulte Roles de IAM para los orígenes de datos y VPC para ver la política requerida.

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de fuente de datos Amazon RDS (Microsoft SQL Server), proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos Amazon RDS (Microsoft SQL Server).
Permiso para llamar a las API públicas necesarias para el conector de fuente de datos Amazon RDS (Microsoft SQL Server).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos Amazon RDS (Microsoft SQL Server) a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de fuente de datos Amazon RDS (MySQL), proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos Amazon RDS (MySQL).
Permiso para llamar a las API públicas requeridas para el conector de fuente de datos Amazon RDS (MySQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos Amazon RDS (MySQL) a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de fuentes de datos de Amazon RDS Oracle, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos Amazon RDS (Oracle).
Permiso para llamar a las API públicas necesarias para el conector de la fuente de datos Amazon RDS (Oracle).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Amazon RDS Oracle a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de fuente de datos Amazon RDS (PostgreSQL), proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos Amazon RDS (PostgreSQL).
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Amazon RDS (PostgreSQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos Amazon RDS (PostgreSQL) a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

aviso

Amazon Kendra no utiliza una política de bucket que conceda permisos a un Amazon Kendra director para interactuar con un bucket de S3. En su lugar, usa IAM roles. Asegúrate de Amazon Kendra no incluirlo como miembro de confianza en tu política de grupos para evitar problemas de seguridad de los datos al conceder permisos accidentalmente a directores arbitrarios. Sin embargo, puede añadir una política de bucket para utilizar un bucket de Amazon S3 en distintas cuentas. Para obtener más información, consulte Políticas para usar Amazon S3 en varias cuentas (más abajo).

Cuando utiliza un Amazon S3 depósito como fuente de datos, proporciona un rol que tiene permiso para acceder al depósito y utilizar las BatchDeleteDocument operaciones BatchPutDocument y. Si los documentos del Amazon S3 depósito están cifrados, debe dar permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar los documentos.

Las siguientes políticas de rol deben permitir Amazon Kendra asumir un rol. Desplácese más abajo para ver una política de confianza para asumir un rol.

Una política de roles obligatoria para Amazon Kendra permitir el uso de un Amazon S3 bucket como fuente de datos.


{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            ]
        }
    ]
}

Una política de funciones opcional que permite Amazon Kendra utilizar una clave maestra AWS KMS del cliente (CMK) para descifrar los documentos de un Amazon S3 depósito.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de roles opcional que permite acceder Amazon Kendra a un Amazon S3 depósito mientras se usa un Amazon VPC depósito y sin activar AWS KMS ni compartir AWS KMS permisos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
      ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringLike": {
                "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringEquals": {
                "ec2:CreateAction": "CreateNetworkInterface"
            }
        }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:AuthorizedService": "kendra.amazonaws.com"
        },
        "ArnEquals": {
          "ec2:Subnet": [
            "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
    }
  ]
}

Una política de roles opcional que permite acceder Amazon Kendra a un Amazon S3 bucket mientras se usa un Amazon VPC bucket y con AWS KMS los permisos activados.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "s3.{{your-region}}.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
      ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringLike": {
                "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringEquals": {
                "ec2:CreateAction": "CreateNetworkInterface"
            }
        }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:AuthorizedService": "kendra.amazonaws.com"
        },
        "ArnEquals": {
          "ec2:Subnet": [
            "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
    }
  ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Políticas para usar Amazon S3 en varias cuentas

Si tu Amazon S3 grupo está en una cuenta diferente a la que usas para tu Amazon Kendra índice, puedes crear políticas para usarlo en todas las cuentas.

Una política de rol para usar el Amazon S3 depósito como fuente de datos cuando el depósito se encuentre en una cuenta diferente a la de su Amazon Kendra índice. Tenga en cuenta que s3:PutObject y s3:PutObjectAcl son opcionales y que puede utilizarlos si desea incluir un archivo de configuración para la lista de control de acceso.


{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:$your-region:$your-account-id:index/$index-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::$bucket-in-other-account/*"
        }
    ]
}

Una política de compartimentos para permitir que el rol de fuente de Amazon S3 datos acceda al Amazon S3 agrupamiento en todas las cuentas. Tenga en cuenta que s3:PutObject y s3:PutObjectAcl son opcionales y que puede utilizarlos si desea incluir un archivo de configuración para la lista de control de acceso.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "$kendra-s3-connector-role-arn"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "$kendra-s3-connector-role-arn"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::$bucket-in-other-account"
        }
    ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza Amazon Kendra Web Crawler, proporciona un rol con las siguientes políticas:

Permiso para acceder al AWS Secrets Manager secreto que contiene las credenciales para conectarse a sitios web o a un servidor proxy web respaldado por una autenticación básica. Para obtener más información sobre el contenido del secreto, consulte Utilizar un origen de datos de rastreador web.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secreta guardados en. Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Si utilizas un Amazon S3 depósito para almacenar tu lista de direcciones URL iniciales o mapas de sitio, incluye el permiso para acceder al depósito. Amazon S3

nota

Puede conectar una fuente de datos de Amazon Kendra Web Crawler a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Si guardas las URL iniciales o los mapas de sitio en un Amazon S3 depósito, debes añadir este permiso al rol.


,
{"Effect": "Allow",
     "Action": [
         "s3:GetObject"
      ],
      "Resource": [
         "arn:aws:s3:::bucket-name/*"
      ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando los usa Amazon WorkDocs, proporciona un rol con las siguientes políticas

Permiso para verificar el ID de directorio (ID de organización) que corresponde al repositorio del sitio de Amazon WorkDocs .
Permiso para obtener el nombre de dominio de Active Directory que contiene el directorio del sitio de Amazon WorkDocs .
Permiso para llamar a las API públicas necesarias para el conector de Amazon WorkDocs .
Permiso para llamar a las API BatchPutDocument y BatchDeleteDocument para actualizar el índice.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
      "Effect": "Allow",
      "Action": "ds:DescribeDirectories",
      "Resource": "*"
    },
    {
      "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs",
      "Effect": "Allow",
      "Action": [
        "workdocs:GetDocumentPath",
        "workdocs:GetGroup",
        "workdocs:GetDocument",
        "workdocs:DownloadDocumentVersions",
        "workdocs:DescribeUsers",
        "workdocs:DescribeFolderContents",
        "workdocs:DescribeActivities",
        "workdocs:DescribeComments",
        "workdocs:GetFolder",
        "workdocs:DescribeResourcePermissions",
        "workdocs:GetFolderPath",
        "workdocs:DescribeInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "kendra.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowsKendraToCallBatchPutDeleteAPIs",
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:account-id:index/$index-id"
      ]
    }
  ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Box, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Slack.
Permiso para llamar a las API públicas necesarias para el conector de Box.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puedes conectar una fuente de datos de Box a Amazon Kendra través de. Amazon VPC Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un servidor de Confluence como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder al AWS Secrets Manager secreto que contiene las credenciales necesarias para conectarse a Confluence. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Confluence.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secreta guardada por. Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puedes conectar una fuente de datos de Confluence a través de. Amazon Kendra Amazon VPC Si utilizas un Amazon VPC, necesitas añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Si utiliza una VPC, proporcione una política que dé Amazon Kendra acceso a los recursos necesarios. Consulte Roles de IAM para los orígenes de datos y VPC para ver la política requerida.

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Para un origen de datos de Confluence Connector v2.0, se proporciona un rol con las siguientes políticas.

Permiso para acceder al AWS Secrets Manager secreto que contiene las credenciales de autenticación de Confluence. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Confluence.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secreta que guarda. AWS Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

También debe adjuntar una política de confianza que permita Amazon Kendra asumir el rol.

nota

Puedes conectar una fuente de datos de Confluence a Amazon Kendra través Amazon VPC de. Si utilizas un Amazon VPC, necesitas añadir permisos adicionales.

Una política de roles que te permita conectarte Amazon Kendra a Confluence.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:your-region:your-account-id:key/key-id"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "secretsmanager.your-region.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
      ]
    }
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
    }
  ]
}

Una política de confianza que permite Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Dropbox, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Dropbox.
Permiso para llamar a las API públicas necesarias para el conector de Dropbox.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puedes conectar una fuente de datos de Dropbox a Amazon Kendra través Amazon VPC de. Si utilizas un Amazon VPC, tendrás que añadir permisos adicionales.


{
"Version": "2012-10-17",
  "Statement": [
  {"Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {"Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {"StringLike": {"kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {"Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {"Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Drupal, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Drupal.
Permiso para llamar a las API públicas necesarias para el conector de Drupal.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puedes conectar una fuente de datos de Drupal a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando los usa GitHub, proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu GitHub.
Permiso para llamar a las API públicas necesarias para el GitHub conector.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente GitHub de datos a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Gmail, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu cuenta de Gmail.
Permiso para llamar a las API públicas necesarias para el conector de Gmail.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puedes conectar una fuente de datos de Gmail a Amazon Kendra través Amazon VPC de. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
"Version": "2012-10-17",
  "Statement": [
  {"Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {"Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {"StringLike": {"kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {"Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {"Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utilizas una fuente de datos de Google Workspace Drive, Amazon Kendra asignas un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el correo electrónico de la cuenta de cliente, el correo de la cuenta de administrador y la clave privada necesarios para conectarse al sitio de Google Drive. Para obtener más información acerca del contenido de este secreto, consulte orígenes de datos de Google Drive.
Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

nota

Puedes conectar una fuente de datos de Google Drive a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.

La siguiente IAM política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un conector de origen de datos de IBM DB2, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos de IBM DB2.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de IBM DB2.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de IBM DB2 a través de. Amazon Kendra Amazon VPC Si utiliza un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Jira, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Jira.
Permiso para llamar a las API públicas necesarias para el conector de Jira.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puedes conectar una fuente de datos de Jira a través de. Amazon Kendra Amazon VPC Si utilizas un Amazon VPC, tendrás que añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de datos de Microsoft Exchange, Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el identificador de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Exchange. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Exchange.
Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

nota

Puede conectar una fuente de datos de Microsoft Exchange a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.

La siguiente IAM política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Si va a almacenar la lista de usuarios para indexarlos en un Amazon S3 bucket, también debe conceder permiso para utilizar la GetObject operación S3. La siguiente política de IAM proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permita asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de OneDrive datos de Microsoft, Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el identificador de la aplicación y la clave secreta necesarios para conectarse al OneDrive sitio. Para obtener más información sobre el contenido del secreto, consulte Fuentes de OneDrive datos de Microsoft.
Permiso para usar las BatchDeleteDocumentAPI BatchPutDocumenty.

nota

Puede conectar una fuente de OneDrive datos de Microsoft a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.

La siguiente IAM política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permita asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Para una fuente de datos de Microsoft SharePoint Connector v1.0, debe proporcionar un rol con las siguientes políticas.

Permiso para acceder al AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del SharePoint sitio. Para obtener más información sobre el contenido del secreto, consulte Fuentes de SharePoint datos de Microsoft.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados en. AWS Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al Amazon S3 depósito que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio.

También debes adjuntar una política de confianza que Amazon Kendra permita asumir el rol.

nota

Puede conectar una fuente de SharePoint datos de Microsoft a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Si has cifrado el Amazon S3 depósito que contiene el certificado SSL utilizado para comunicarte con el SharePoint sitio, proporciona una política para dar Amazon Kendra acceso a la clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que Amazon Kendra permita asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Para una fuente de datos de Microsoft SharePoint Connector v2.0, debe proporcionar un rol con las siguientes políticas.

Permiso para acceder al AWS Secrets Manager secreto que contiene las credenciales de autenticación del SharePoint sitio. Para obtener más información sobre el contenido del secreto, consulte Fuentes de SharePoint datos de Microsoft.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados en. AWS Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al Amazon S3 depósito que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio.

También debes adjuntar una política de confianza que Amazon Kendra permita asumir el rol.

nota

Puede conectar una fuente de SharePoint datos de Microsoft a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:your-region:your-account-id:key/key-id"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "secretsmanager.your-region.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
      ]
    },
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/key-name"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids",
        "arn:aws:ec2:your-region:your-account-id:security-group/security-group"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:region:account_id:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
  ]
}

Si has cifrado el Amazon S3 depósito que contiene el certificado SSL utilizado para comunicarte con el SharePoint sitio, proporciona una política para dar Amazon Kendra acceso a la clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:youraccount-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que Amazon Kendra permita asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Microsoft SQL Server, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de Microsoft SQL Server.
Permiso para llamar a las API públicas necesarias para el conector de Microsoft SQL Server.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Microsoft SQL Server a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de datos de Microsoft Teams, Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el ID de cliente y el secreto de cliente necesarios para conectarse a Microsoft Teams. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Teams.

nota

Puede conectar una fuente de datos de Microsoft Teams a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.

La siguiente IAM política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:client-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de datos de Microsoft Yammer, Amazon Kendra proporciona un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el identificador de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Yammer. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Yammer.
Permiso para usar las API BatchPutDocumenty. BatchDeleteDocument

nota

Puede conectar una fuente de datos de Microsoft Yammer a Amazon Kendra través Amazon VPC de. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.

La siguiente IAM política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permita asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un conector de origen de datos de MySQL, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos de My SQL.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de MySQL.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos MySQL a Amazon Kendra través de Amazon VPC. Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un conector de origen de datos de Oracle, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos de Oracle.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Oracle.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Oracle a Amazon Kendra través Amazon VPC de. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un conector de origen de datos de PostgreSQL, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos de PostgreSQL.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de PostgreSQL.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de PostgreSQL a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Quip, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Quip.
Permiso para llamar a las API públicas necesarias para el conector de Quip.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Quip a través de. Amazon Kendra Amazon VPC Si utiliza un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Salesforce como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder al AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del sitio de Salesforce. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Salesforce.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados en. Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar una fuente de datos de Salesforce a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un ServiceNow como fuente de datos, proporciona un rol con las siguientes políticas:

Permiso para acceder al Secrets Manager secreto que contiene el nombre de usuario y la contraseña del ServiceNow sitio. Para obtener más información sobre el contenido del secreto, consulte ServiceNow orígenes de datos.
Permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados en. Secrets Manager
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar una fuente de ServiceNow datos a Amazon Kendra través de. Amazon VPC Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Slack, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Slack.
Permiso para llamar a las API públicas necesarias para el conector de Slack.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puedes conectar una fuente de datos de Slack a través de. Amazon Kendra Amazon VPC Si utilizas un Amazon VPC, debes añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Zendesk, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Zendesk Suite.
Permiso para llamar a las API públicas necesarias para el conector de Zendesk.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar una fuente de datos de Zendesk a través de. Amazon Kendra Amazon VPC Si está utilizando un Amazon VPC, debe agregar permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Función de nube privada virtual (VPC) IAM

Si utiliza una nube privada virtual (VPC) para conectarse a la fuente de datos, debe proporcionar los siguientes permisos adicionales.


{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
        "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
}

Una política de confianza que permite Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para las preguntas frecuentes (FAQ)

Cuando utilizas la CreateFaqAPI para cargar preguntas y respuestas en un índice, debes proporcionar Amazon Kendra un IAM rol con acceso al Amazon S3 depósito que contiene los archivos de origen. Si los archivos de origen están cifrados, debe dar permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar los archivos.

Una política de roles obligatoria para permitir Amazon Kendra el acceso a un Amazon S3 bucket.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de funciones opcional que permite Amazon Kendra utilizar una clave maestra AWS KMS del cliente (CMK) para descifrar los archivos de un Amazon S3 depósito.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Una política de confianza que permite Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para sugerencias de consultas

Cuando utilizas un Amazon S3 archivo como lista de sugerencias de consultas bloqueadas, proporcionas un rol que tenga permiso para acceder al Amazon S3 archivo y al Amazon S3 bucket. Si el archivo de texto de la lista de bloqueados (el Amazon S3 archivo) del Amazon S3 depósito está cifrado, debe dar permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar los documentos.

Una política de funciones obligatoria Amazon Kendra para poder utilizar el Amazon S3 archivo como lista de sugerencias de consulta bloqueadas.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de funciones opcional que permite Amazon Kendra utilizar una clave maestra AWS KMS del cliente (CMK) para descifrar los documentos de un Amazon S3 depósito.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que permite Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para el mapeo principal de usuarios y grupos

Al utilizar la PutPrincipalMappingAPI para asignar usuarios a sus grupos y filtrar los resultados de búsqueda por contexto de usuario, es necesario proporcionar una lista de los usuarios o subgrupos que pertenecen a un grupo. Si tu lista contiene más de 1000 usuarios o subgrupos para un grupo, debes proporcionar un rol que tenga permiso para acceder al Amazon S3 archivo de la lista y al Amazon S3 bucket. Si el archivo de texto (el Amazon S3 archivo) de la lista del Amazon S3 depósito está cifrado, debes dar permiso para usar la clave maestra del AWS KMS cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria Amazon Kendra para poder usar el Amazon S3 archivo como lista de usuarios y subgrupos que pertenecen a un grupo.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de funciones opcional que permite Amazon Kendra utilizar una clave maestra AWS KMS del cliente (CMK) para descifrar los documentos de un Amazon S3 depósito.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que permite Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

IAM funciones para AWS IAM Identity Center

Cuando usas el UserGroupResolutionConfigurationobjeto para obtener los niveles de acceso de grupos y usuarios de una fuente de AWS IAM Identity Center identidad, debes proporcionar un rol que tenga permiso de acceso IAM Identity Center.

Una política de roles obligatoria para Amazon Kendra permitir el acceso IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:SearchUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:DescribeGroups",
                "sso:ListDirectoryAssociations"
            ],
            "Resource": [
                 "*"
            ]
        },
        {
          "Sid": "iamPassRole",
          "Effect": "Allow",
          "Action": "iam:PassRole",
          "Resource": "*",
          "Condition": {
            "StringEquals": {
              "iam:PassedToService": [
                "kendra.amazonaws.com"
              ]
            }
          }
        }
     ]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM roles para Amazon Kendra experiencias

Cuando utilice UpdateExperiencelas API CreateExperienceo las API para crear o actualizar una aplicación de búsqueda, debe proporcionar un rol que tenga permiso para acceder a las operaciones necesarias y al Centro de identidad de IAM.

Una política de funciones obligatoria para poder acceder Amazon Kendra a Query las operaciones, QuerySuggestions SubmitFeedback las operaciones y el centro de identidad de IAM, que almacena la información de sus usuarios y grupos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowsKendraSearchAppToCallKendraApi",
      "Effect": "Allow",
      "Action": [
        "kendra:GetQuerySuggestions",
        "kendra:Query",
        "kendra:DescribeIndex",
        "kendra:ListFaqs",
        "kendra:DescribeDataSource",
        "kendra:ListDataSources",
        "kendra:DescribeFaq",
        "kendra:SubmitFeedback"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id"
      ]
    },
    {
      "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
      "Effect": "Allow",
      "Action": [
        "kendra:DescribeDataSource",
        "kendra:DescribeFaq"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id"
      ]
    },
    {
      "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
      "Effect": "Allow",
      "Action": [
        "sso-directory:ListGroupsForUser",
        "sso-directory:SearchGroups",
        "sso-directory:SearchUsers",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUsers",
        "sso:ListDirectoryAssociations"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "kendra.your-region.amazonaws.com"
          ]
        }
      }
    }
  ]
}

Una política de confianza que permite Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

IAM funciones para el enriquecimiento de documentos personalizados

Cuando utilice el CustomDocumentEnrichmentConfigurationobjeto para realizar modificaciones avanzadas en los metadatos y el contenido del documento, debe proporcionar un rol que tenga los permisos necesarios para ejecutar PreExtractionHookConfiguration y/oPostExtractionHookConfiguration. Se configura una función de Lambda para PreExtractionHookConfiguration o PostExtractionHookConfiguration para aplicar modificaciones avanzadas de los metadatos y el contenido del documento durante el proceso de ingesta. Si decide activar el cifrado del lado del servidor para su Amazon S3 depósito, debe conceder permiso para utilizar la clave maestra del AWS KMS cliente (CMK) a fin de cifrar y descifrar los objetos almacenados en el depósito. Amazon S3

Una política de roles obligatoria para Amazon Kendra permitir la ejecución PreExtractionHookConfiguration y PostExtractionHookConfiguration el cifrado de su Amazon S3 bucket.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Action": [
      "s3:ListBucket"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "lambda:InvokeFunction"
    ],
    "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
  }]
}

Una política de roles opcional Amazon Kendra que permite ejecutar PreExtractionHookConfiguration el Amazon S3 bucket PostExtractionHookConfiguration sin cifrar.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Action": [
      "s3:ListBucket"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "lambda:InvokeFunction"
    ],
    "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
  }]
}

Una política de confianza que Amazon Kendra permite asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de los SDK AWS

Implementación de Amazon Kendra