Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
IAMroles de acceso paraAmazon Kendra
Si crea un índice, fuente de datos o preguntas frecuentes,Amazon Kendranecesita acceso alAWSrecursos necesarios para crear elAmazon Kendrarecurso. Debe crear unAWS Identity and Access Management(IAM) política antes de crear laAmazon Kendrarecurso. Si llama a la operación, ingrese el nombre de recurso de Amazon (ARN) del rol con la política adjunta. Por ejemplo, si llama alBatchPutDocumentAPI para añadir documentos desde unAmazon S3bucket, tú proporcionasAmazon Kendracon un rol con una política que tenga acceso al depósito.
Puedes crear una nuevaIAMpapel en elAmazon Kendraconsola o elige unaIAMrol existente para usar. La consola muestra las funciones que tienen la cadena «kendra» o «Kendra» en el nombre de la función.
En los temas siguientes se proporcionan detalles sobre las políticas necesarias. Si creaIAMfunciones que utilizanAmazon Kendraconsola: estas políticas se crean para usted.
Temas
- IAMfunciones para índices
- IAMfunciones para el BatchPutDocumentAPI
- IAMfunciones para fuentes de datos
- IAMfunciones para las preguntas más frecuentes (FAQ)
- IAMfunciones para sugerencias de consultas
- IAMfunciones para el mapeo principal de usuarios y grupos
- Roles de IAM para AWS IAM Identity Center (successor to AWS Single Sign-On)
- IAMfunciones paraAmazon Kendraexperiencias
- IAMfunciones para el enriquecimiento de documentos personalizados
IAMfunciones para índices
Si crea el índice, ingrese elIAMrol con permiso para escribir a unAmazon CloudWatch. Si especifica también una política de confianza que permitaAmazon Kendrapara asumir la función. Las siguientes son las políticas que se deben proporcionar.
Una política de roles para permitirAmazon Kendrapara acceder a unCloudWatchregistro.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:
your-region
:your-account-id
:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:your-region
:your-account-id
:log-group:/aws/kendra/*:log-stream:*" } ] }
Una política de roles para permitirAmazon Kendrapara accederAWS Secrets Manager. Si utiliza el contexto de usuario conSecrets Managercomo ubicación clave, puede usar la siguiente política.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:
your-region
:your-account-id
:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:your-region
:your-account-id
:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.your-region
.amazonaws.com" ] } } } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un papel.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAMfunciones para el BatchPutDocumentAPI
aviso
Amazon Kendrano utiliza una política de bucket que conceda permisos a unAmazon Kendraprincipal para interactuar con un bucket de S3. En cambio, usaIAMroles. Asegúrese deAmazon Kendrano está incluido como miembro de confianza en tu política de grupos para evitar problemas de seguridad de los datos al conceder accidentalmente permisos a directores arbitrarios. Si embargo, puede agregar una política de bucket para usar elAmazon S3agrupar en diferentes cuentas. Para obtener más información, consulteUso deAmazon S3en todas las cuentas. Para obtener información sobreIAMfunciones para fuentes de datos de S3, consulteIAMpapeles.
Uso deBatchPutDocumentAPI para indexar documentos en unAmazon S3bucket, debes proporcionarAmazon Kendracon unIAMrol con acceso al depósito. Si especifica también una política de confianza que permitaAmazon Kendrapara asumir la función. Si los documentos del depósito están cifrados, debe dar permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar los documentos.
Una política de roles obligatoria para permitirAmazon Kendrapara acceder a unAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ] } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Se recomienda que incluyaaws:sourceAccount
yaws:sourceArn
en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccount
yaws:sourceArn
son los mismos que los que figuran en elIAMpolítica de roles parasts:AssumeRole
acción. Esto evita que entidades no autorizadas accedan a suIAMfunciones y sus permisos. Para obtener más información, consulte la .AWS Identity and Access Managementguía sobreproblema de diputado confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
your-account-id
" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region
:your-account-id
:index/*" } } } ] }
Una política de roles opcional para permitirAmazon Kendrausar unAWS KMSclave maestra del cliente (CMK) para descifrar documentos en elAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ] } ] }
IAMfunciones para fuentes de datos
Uso deCreateDataSourceAPI, debes darAmazon KendraunIAMfunción que tiene permiso para acceder a los recursos de la base de datos. Los permisos específicos necesarios dependen de la fuente de datos.
Cuando utilizas Adobe Experience Manager, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar su Adobe Experience Manager.
-
Permiso para llamar a las API públicas necesarias para el conector de Adobe Experience Manager.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza Alfresco, proporciona un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar su Alfresco.
-
Permiso para llamar a las API públicas necesarias para el conector de Alfresco.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
aviso
Amazon Kendrano utiliza una política de bucket que conceda permisos a unAmazon Kendraprincipal para interactuar con un bucket de S3. En cambio, usaIAMroles. Asegúrese deAmazon Kendrano está incluido como miembro de confianza en tu política de grupos para evitar problemas de seguridad de los datos al conceder accidentalmente permisos a directores arbitrarios. Si embargo, puede agregar una política de bucket para usar elAmazon S3agrupar en diferentes cuentas. Para obtener más información, consulteUso deAmazon S3en todas las cuentas(desplácese hacia abajo).
Uso deAmazon S3como fuente de datos, se proporciona un rol que tiene permiso para acceder al depósito y usar elBatchPutDocument
yBatchDeleteDocument
operaciones. Si los documentos delAmazon S3el bucket está cifrado, debe proporcionar permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar los documentos.
Las siguientes políticas de roles deben permitirAmazon Kendrapara asumir un rol. Desplázate más abajo para ver una política de confianza para asumir un rol.
Una política de roles obligatoria para permitirAmazon Kendrausar unAmazon S3bucket como fuente de datos.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name
" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" ] } ] }
Una política de roles opcional para permitirAmazon Kendrausar unAWS KMSclave maestra del cliente (CMK) para descifrar documentos en elAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ] } ] }
Una política de roles opcional para permitirAmazon Kendrapara acceder a unAmazon S3balde, mientras se usa unAmazon VPC, y sin activarAWS KMSo compartirAWS KMSpermisos.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una política de roles opcional para permitirAmazon Kendrapara acceder a unAmazon S3balde mientras se usa unAmazon VPC, y conAWS KMSpermisos activados.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Uso deAmazon S3en todas las cuentas
Si tuAmazon S3el bucket está en una cuenta diferente a la cuenta que usa para suAmazon Kendraíndice, puedes crear políticas para usarlo en todas las cuentas.
Una política de roles para usar suAmazon S3bucket como fuente de datos cuando el bucket se encuentra en una cuenta diferente a la suyaAmazon Kendraíndice. Tenga en cuenta ques3:PutObject
ys3:PutObjectAcl
son opcionales, y se utilizan si se quiere incluir unfichero de configuración para su lista de control de acceso.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$
bucket-in-other-account
/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account
/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$your-region
:$your-account-id
:index/$index-id
" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$bucket-in-other-account
/*" } ] }
Una política de cubeta que permite laAmazon S3función de fuente de datos para acceder alAmazon S3repartir entre cuentas. Tenga en cuenta ques3:PutObject
ys3:PutObjectAcl
son opcionales, y se utilizan si se quiere incluir unfichero de configuración para su lista de control de acceso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$
kendra-s3-connector-role-arn
" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account
/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn
" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$bucket-in-other-account
" } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza una base de datos como fuente de datos, proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse a la base de datos. Entre ellas se incluyen:
-
Permiso de acceso alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña del sitio de base de datos. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de bases de datos.
-
Permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porSecrets Manager.
-
Permiso para usar el
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice. -
Permiso de acceso alAmazon S3depósito que contiene el certificado SSL utilizado para comunicarse con el sitio de la base de datos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name
/*" ] } ] }
Hay dos políticas opcionales que puede usar con una fuente de datos de base de datos.
Si ha cifrado elAmazon S3depósito que contiene el certificado SSL utilizado para comunicarse con la base de datos, proporcione una política para proporcionarlaAmazon Kendraacceso a la clave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ] } ] }
Si utiliza una VPC, proporcione una política que déAmazon Kendraacceso a los recursos necesarios. VerIAMfunciones para fuentes de datos, VPCpara la política requerida.
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
UsoAmazon FSx, usted proporciona un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar suAmazon FSx.
-
Permiso para usarAmazon Virtual Private Cloud(VPC) donde suAmazon FSxreside.
-
Permiso para obtener el nombre de dominio de su Active Directory para suAmazon FSxSistema de archivos de Windows.
-
Permiso para llamar a las API públicas necesarias paraAmazon FSxconector
-
Permiso para llamar al
BatchPutDocument
yBatchDeleteDocument
API para actualizar el índice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
UsoAmazon KendraWeb Crawler, usted proporciona un rol con las siguientes políticas:
-
Permiso de acceso alAWS Secrets Managersecreto que contiene las credenciales para conectarse a sitios web o a un servidor proxy web respaldado por una autenticación básica. Si desea más información sobre el contenido del secreto, consulteUso de una fuente de datos de un rastreador web.
-
Permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porSecrets Manager.
-
Permiso para usar el
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice. -
Si usa unAmazon S3para almacenar tu lista de URL iniciales o mapas de sitio, incluye permiso para acceder aAmazon S3cubo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Si guardas las URL iniciales o los mapas de sitio en unAmazon S3bucket, debes añadir este permiso al rol.
, {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
UsoAmazon WorkDocs, usted proporciona un rol con las siguientes políticas
-
Permiso para verificar el ID de directorio (ID de organización) que corresponde a suAmazon WorkDocsrepositorio del sitio.
-
Permiso para obtener el nombre de dominio de su Active Directory que contiene suAmazon WorkDocsdirectorio del sitio.
-
Permiso para llamar a las API públicas necesarias para elAmazon WorkDocsconector
-
Permiso para llamar al
BatchPutDocument
yBatchDeleteDocument
API para actualizar el índice.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:
your-region
:account-id
:index/$index-id
" ] } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas Box, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Slack.
-
Permiso para llamar a las API públicas necesarias para el conector Box.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas un servidor de Confluence como fuente de datos, asignas un rol con las siguientes políticas:
-
Permiso de acceso alAWS Secrets Managersecreto que contiene las credenciales necesarias para conectarse a Confluence. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Confluence.
-
Permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porSecrets Manager.
-
Permiso para usar el
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Si utiliza una VPC, proporcione una política que déAmazon Kendraacceso a los recursos necesarios. VerIAMfunciones para fuentes de datos, VPCpara la política requerida.
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Para una fuente de datos de Confluence Connector v2.0, debes proporcionar un rol con las siguientes políticas.
-
Permiso de acceso alAWS Secrets Managersecreto que contiene las credenciales de autenticación de Confluence. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Confluence.
-
Permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porAWS Secrets Manager.
-
Permiso para usar el
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice.
También debes adjuntar una política de confianza que permitaAmazon Kendrapara asumir la función.
Una política de roles que permitaAmazon Kendrapara conectarse a Confluence.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
", "arn:aws:kendra:your-region
:your-account-id
:index/index-id
/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" } ] }
Una política de roles que permitaAmazon Kendrapara conectarse a Confluence con una configuración de VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
", "arn:aws:kendra:your-region
:your-account-id
:index/index-id
/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region
:your-account-id
:subnet/subnet-ids
", "arn:aws:ec2:your-region
:your-account-id
:security-group/security-group
" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:your-region
:your-account-id
:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id
_index-id
_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region
:your-account-id
:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region
:your-account-id
:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id
_index-id
_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas Dropbox, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Dropbox.
-
Permiso para llamar a las API públicas necesarias para el conector de Dropbox.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas Drupal, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Drupal.
-
Permiso para llamar a las API públicas requeridas para el conector de Drupal.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Uso GitHub, usted proporciona un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar su GitHub.
-
Permiso para llamar a las API públicas necesarias para el GitHub conector
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas Gmail, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Gmail.
-
Permiso para llamar a las API públicas necesarias para el conector de Gmail.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si usa una fuente de datos de Google Workspace Drive, proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:
-
Permiso para obtener y descifrar elAWS Secrets Managersecreto que contiene el correo electrónico de la cuenta de cliente, el correo electrónico de la cuenta de administrador y la clave privada necesarios para conectarse al sitio de Google Drive. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Google Drive.
-
Permiso para usar elBatchPutDocumentyBatchDeleteDocumentAPI.
Lo siguienteIAMla política proporciona los permisos necesarios:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas Jira, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Jira.
-
Permiso para llamar a las API públicas necesarias para el conector de Jira.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza una fuente de datos de Microsoft Exchange, proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:
-
Permiso para obtener y descifrar elAWS Secrets Managersecreto que contiene el identificador de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Exchange. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Microsoft Exchange.
-
Permiso para usarBatchPutDocumentyBatchDeleteDocumentAPI.
Lo siguienteIAMLa política de ejemplo proporciona el permiso necesario:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Si está almacenando la lista de usuarios para indexarlos en unAmazon S3bucket, también debe proporcionar permiso para usar el S3GetObject
operación. Lo siguienteIAMLa política de ejemplo proporciona el permiso necesario:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name
/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com", "s3.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando usas un Microsoft OneDrive fuente de datos, usted proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:
-
Permiso para obtener y descifrar elAWS Secrets Managersecreto que contiene el identificador de la aplicación y la clave secreta necesarios para conectarse al OneDrive sitio. Si desea más información sobre el contenido del secreto, consulteMicrosoft OneDrive fuentes de datos.
-
Permiso para usarBatchPutDocumentyBatchDeleteDocumentAPI.
Lo siguienteIAMLa política de ejemplo proporciona el permiso necesario:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Si va a almacenar la lista de usuarios para indexarlos en unAmazon S3bucket, también debe proporcionar permiso para usar el S3GetObject
operación. Lo siguienteIAMLa política de ejemplo proporciona el permiso necesario:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name
/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com", "s3.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Para un Microsoft SharePoint Para la fuente de datos del conector v1.0, usted proporciona un rol con las siguientes políticas.
-
Permiso de acceso alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña del SharePoint sitio. Si desea más información sobre el contenido del secreto, consulteMicrosoft SharePoint fuentes de datos.
-
Permiso para usarAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porAWS Secrets Manager.
-
Permiso para usar
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice. -
Permiso de acceso alAmazon S3depósito que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio.
También debes adjuntar una política de confianza que permitaAmazon Kendrapara asumir la función.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name
/*" ] } ] }
Si ha cifrado elAmazon S3depósito que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio, proporcione una política para proporcionarAmazon Kendraacceso a la clave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ] } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Para un Microsoft SharePoint Para la fuente de datos del conector v2.0, usted proporciona un rol con las siguientes políticas.
-
Permiso de acceso alAWS Secrets Managersecreto que contiene las credenciales de autenticación del SharePoint sitio. Si desea más información sobre el contenido del secreto, consulteMicrosoft SharePoint fuentes de datos.
-
Permiso para usarAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porAWS Secrets Manager.
-
Permiso para usar
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice. -
Permiso de acceso alAmazon S3depósito que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio.
También debes adjuntar una política de confianza que permitaAmazon Kendrapara asumir la función.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
", "arn:aws:kendra:your-region
:your-account-id
:index/index-id
/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name
/key-name
" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region
:your-account-id
:subnet/subnet-ids
", "arn:aws:ec2:your-region
:your-account-id
:security-group/security-group
" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region
:account_id
:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id
_index-id
_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region
:your-account-id
:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region
:your-account-id
:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id
_index-id
_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }
Si ha cifrado elAmazon S3depósito que contiene el certificado SSL utilizado para comunicarse con el SharePoint sitio, proporcione una política para proporcionarAmazon Kendraacceso a la clave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:youraccount-id
:key/key-id
" ] } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza una fuente de datos de Microsoft Teams, proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:
-
Permiso para obtener y descifrar elAWS Secrets Managersecreto que contiene el ID de cliente y el secreto de cliente necesarios para conectarse a Microsoft Teams. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Microsoft Teams.
Lo siguienteIAMla política proporciona los permisos necesarios:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:client-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza una fuente de datos de Microsoft Yammer, proporcionaAmazon Kendracon un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellas se incluyen:
-
Permiso para obtener y descifrar elAWS Secrets Managersecreto que contiene el identificador de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Yammer. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Microsoft Yammer.
-
Permiso para usarBatchPutDocumentyBatchDeleteDocumentAPI.
Lo siguienteIAMla política proporciona los permisos necesarios:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Si está almacenando la lista de usuarios para indexarlos en unAmazon S3bucket, también debe proporcionar permiso para usar el S3GetObject
operación. Lo siguienteIAMla política proporciona los permisos necesarios:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name
/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com", "s3.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Una política de confianza para permitirAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza Quip, proporciona un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar su Quip.
-
Permiso para llamar a las API públicas necesarias para el conector de Quip.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utiliza Salesforce como fuente de datos, proporciona un rol con las siguientes políticas:
-
Permiso de acceso alAWS Secrets Managersecreto que contiene el nombre de usuario y la contraseña del sitio de Salesforce. Si desea más información sobre el contenido del secreto, consulteFuentes de datos de Salesforce.
-
Permiso para usarAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porSecrets Manager.
-
Permiso para usar
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:account-id
:index/index-id
" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Uso de ServiceNow como fuente de datos, proporciona un rol con las siguientes políticas:
-
Permiso de acceso alSecrets Managersecreto que contiene el nombre de usuario y la contraseña del ServiceNow sitio. Si desea más información sobre el contenido del secreto, consulteServiceNow fuentes de datos.
-
Permiso para usarAWS KMSclave maestra del cliente (CMK) para descifrar el secreto del nombre de usuario y la contraseña almacenados porSecrets Manager.
-
Permiso para usar
BatchPutDocument
yBatchDeleteDocument
operaciones para actualizar el índice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
your-region
:your-account-id
:secret:secret-id
" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region
.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region
:your-account-id
:index/index-id
" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando utilizas Slack, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar tu Slack.
-
Permiso para llamar a las API públicas necesarias para el conector de Slack.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cuando usas Zendesk, asignas un rol con las siguientes políticas.
-
Permiso para acceder a suAWS Secrets Managersecreto para autenticar su Zendesk Suite.
-
Permiso para llamar a las API públicas requeridas para el conector de Zendesk.
-
Permiso para llamar al
BatchPutDocument
,BatchDeleteDocument
,PutPrincipalMapping
,DeletePrincipalMapping
,DescribePrincipalMapping
, yListGroupsOlderThanOrderingId
API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si usa una nube privada virtual (VPC) para conectarse a su fuente de datos, debe proporcionar los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:
your-region
:your-account-id
:subnet/subnet-ids
" ] } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAMfunciones para las preguntas más frecuentes (FAQ)
Uso deCreateFaqPara cargar preguntas y respuestas en un índice, debe proporcionarAmazon Kendracon unIAMrol con acceso alAmazon S3depósito que contiene los archivos fuente. Si los archivos de origen están cifrados, debe dar permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar los archivos.
Una política de roles obligatoria para permitirAmazon Kendrapara acceder a unAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ] } ] }
Una política de roles opcional para permitirAmazon Kendrausar unAWS KMSclave maestra del cliente (CMK) para descifrar los archivos de unAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region
.amazonaws.com" ] } } } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAMfunciones para sugerencias de consultas
Uso deAmazon S3archivo como lista de sugerencias de consulta, ingrese el rol que tenga permiso para acceder aAmazon S3archivo y elAmazon S3balde. Si el archivo de texto de la lista de bloqueados (elAmazon S3archivo) en elAmazon S3el depósito está cifrado, debe proporcionar permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar los documentos.
Una política de roles obligatoria para permitirAmazon Kendrauso deAmazon S3archivo como lista de sugerencias de consulta bloqueadas.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ] } ] }
Una política de roles opcional para permitirAmazon Kendrausar unAWS KMSclave maestra del cliente (CMK) para descifrar documentos en elAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ] } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAMfunciones para el mapeo principal de usuarios y grupos
Uso dePutPrincipalMappingLa API para asignar los usuarios a sus grupos y filtrar los resultados de la búsqueda por contexto de usuario, debe proporcionar una lista de los usuarios o subgrupos que pertenecen a un grupo. Si tu lista incluye más de 1000 usuarios o subgrupos para un grupo, debes proporcionar un rol que tenga permiso para acceder aAmazon S3el archivo de tu lista y elAmazon S3balde. Si el archivo de texto (elAmazon S3archivo) de la lista delAmazon S3el bucket está cifrado, debe proporcionar permiso para usar elAWS KMSclave maestra del cliente (CMK) para descifrar los documentos.
Una política de roles necesaria para permitirAmazon Kendrapara usar elAmazon S3archivo como lista de usuarios y subgrupos que pertenecen a un grupo.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ] } ] }
Una política de roles opcional para permitirAmazon Kendrausar unAWS KMSclave maestra del cliente (CMK) para descifrar documentos en elAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
your-region
:your-account-id
:key/key-id
" ] } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Se recomienda que incluyaaws:sourceAccount
yaws:sourceArn
en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccount
yaws:sourceArn
son los mismos que los que figuran en elIAMpolítica de roles parasts:AssumeRole
acción. Esto evita que entidades no autorizadas accedan a suIAMfunciones y sus permisos. Para obtener más información, consulte la .AWS Identity and Access Managementguía sobreproblema de diputado confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
your-account-id
" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region
:your-account-id
:index-id
/*" } } } ] }
Roles de IAM para AWS IAM Identity Center (successor to AWS Single Sign-On)
Uso deUserGroupResolutionConfigurationobjeto para obtener los niveles de acceso de grupos y usuarios de unAWS IAM Identity Center (successor to AWS Single Sign-On)fuente de identidad, debe proporcionar un rol que tenga permiso para accederIAM Identity Center.
Una política de roles obligatoria para permitirAmazon Kendrapara accederIAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAMfunciones paraAmazon Kendraexperiencias
Uso deCreateExperienceoUpdateExperiencePara crear o actualizar una aplicación de búsqueda, debe proporcionar un rol que tenga permiso para acceder a las operaciones necesarias y al IAM Identity Center.
Una política de roles necesaria para permitirAmazon Kendrapara accederQuery
operaciones,QuerySuggestions
operaciones,SubmitFeedback
operaciones y el centro de identidad de IAM, que almacena la información de sus usuarios y grupos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:
your-region
:your-account-id
:index/index-id
" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:your-region
:your-account-id
:index/index-id
/data-source/data-source-id
", "arn:aws:kendra:your-region
:your-account-id
:index/index-id
/faq/faq-id
" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region
.amazonaws.com" ] } } } ] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Se recomienda que incluyaaws:sourceAccount
yaws:sourceArn
en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccount
yaws:sourceArn
son los mismos que los que figuran en elIAMpolítica de roles parasts:AssumeRole
acción. Esto evita que entidades no autorizadas accedan a suIAMfunciones y sus permisos. Para obtener más información, consulte la .AWS Identity and Access Managementguía sobreproblema de diputado confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
your-account-id
" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region
:your-account-id
:index-id
/*" } } } ] }
IAMfunciones para el enriquecimiento de documentos personalizados
Uso deCustomDocumentEnrichmentConfigurationobjeto para aplicar modificaciones avanzadas a los metadatos y el contenido del documento, debe proporcionar un rol que tenga los permisos necesarios para ejecutarsePreExtractionHookConfiguration
y/oPostExtractionHookConfiguration
. Se configura una función de Lambda paraPreExtractionHookConfiguration
y/oPostExtractionHookConfiguration
para aplicar alteraciones avanzadas de los metadatos y el contenido de su documento durante el proceso de ingesta. Si decide activar el cifrado del lado del servidor para suAmazon S3bucket, debe proporcionar permiso para usar elAWS KMSclave maestra del cliente (CMK) para cifrar y descifrar los objetos almacenados en suAmazon S3cubo.
Una política de roles obligatoria para permitirAmazon Kendrapara ejecutarPreExtractionHookConfiguration
yPostExtractionHookConfiguration
con cifrado para suAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name
" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:your-region
:your-account-id
:key/key-id
" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region
:your-account-id
:function:lambda-function
" }] }
Una política de roles opcional para permitirAmazon Kendrapara ejecutarPreExtractionHookConfiguration
yPostExtractionHookConfiguration
sin cifrado para suAmazon S3balde.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket-name
/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name
" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region
:your-account-id
:function:lambda-function
" }] }
Una política de confianza que permitaAmazon Kendrapara asumir un rol.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Se recomienda que incluyaaws:sourceAccount
yaws:sourceArn
en la política de confianza. Esto limita los permisos y comprueba de forma segura siaws:sourceAccount
yaws:sourceArn
son los mismos que los que figuran en elIAMpolítica de roles parasts:AssumeRole
acción. Esto evita que entidades no autorizadas accedan a suIAMfunciones y sus permisos. Para obtener más información, consulte la .AWS Identity and Access Managementguía sobreproblema de diputado confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.*.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
your-account-id
" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region
:your-account-id
:index-id
/*" } } } ] }