IAM roles para índices IAM funciones para el BatchPutDocument API IAM funciones para las fuentes de datos Nube privada virtual (VPC) IAM role IAM funciones para las preguntas más frecuentes (FAQs)IAM funciones para sugerencias de consultas IAM funciones para el mapeo principal de usuarios y grupos IAM funciones para AWS IAM Identity Center IAM funciones para Amazon Kendra experiencias IAM funciones para el enriquecimiento de documentos personalizados

IAM roles de acceso para Amazon Kendra

Al crear un índice, una fuente de datos o un FAQ Amazon Kendra necesita acceso a AWS recursos necesarios para crear el Amazon Kendra recurso. Debe crear un AWS Identity and Access Management (IAM) política antes de crear la Amazon Kendra recurso. Cuando llamas a la operación, proporcionas el nombre de recurso de Amazon (ARN) del rol con la política adjunta. Por ejemplo, si llama al BatchPutDocumentAPIpara añadir documentos desde un Amazon S3 bucket, usted proporciona Amazon Kendra con un rol con una política que tenga acceso al depósito.

Puedes crear una nueva IAM papel en el Amazon Kendra consola o elige una IAM rol existente para usar. La consola muestra los roles que tienen la cadena “kendra” o “Kendra” en el nombre del rol.

En los temas siguientes se proporcionan detalles sobre las políticas necesarias. Si creas IAM roles utilizando el Amazon Kendra consola: estas políticas se crean para usted.

Temas

IAM roles para índices
IAM funciones para el BatchPutDocument API
IAM funciones para las fuentes de datos
Nube privada virtual (VPC) IAM role
IAM funciones para las preguntas más frecuentes (FAQs)
IAM funciones para sugerencias de consultas
IAM funciones para el mapeo principal de usuarios y grupos
IAM funciones para AWS IAM Identity Center
IAM funciones para Amazon Kendra experiencias
IAM funciones para el enriquecimiento de documentos personalizados

IAM roles para índices

Al crear un índice, debe proporcionar un IAM rol con permiso para escribir en un Amazon CloudWatch. También debe proporcionar una política de confianza que permita Amazon Kendra para asumir el rol. Las siguientes son las políticas que se deben proporcionar.

Una política de roles para permitir Amazon Kendra para acceder a un CloudWatch registro.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "logs:DescribeLogGroups",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
        }
    ]
}

Una política de roles para permitir Amazon Kendra para acceder AWS Secrets Manager. Si utiliza el contexto de usuario con Secrets Manager como ubicación clave, puede utilizar la siguiente política.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"cloudwatch:PutMetricData",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "cloudwatch:namespace":"AWS/Kendra"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":"logs:DescribeLogGroups",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"logs:CreateLogGroup",
         "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "logs:DescribeLogStreams",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
         ],
         "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "secretsmanager:GetSecretValue"
         ],
         "Resource":[
            "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:Decrypt"
         ],
         "Resource":[
            "arn:aws:kms:your-region:your-account-id:key/key-id"
         ],
         "Condition":{
            "StringLike":{
               "kms:ViaService":[
                  "secretsmanager.your-region.amazonaws.com"
               ]
            }
         }
      }
   ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para el BatchPutDocument API

aviso

Amazon Kendra no utiliza una política de bucket que conceda permisos a un Amazon Kendra principal para interactuar con un bucket de S3. En su lugar, usa IAM roles. Asegúrese de que Amazon Kendra no está incluido como miembro de confianza en tu política de grupos para evitar problemas de seguridad de los datos al conceder accidentalmente permisos a directores arbitrarios. Sin embargo, puedes añadir una política de bucket para usar una Amazon S3 agrupar en diferentes cuentas. Para obtener más información, consulte Políticas de uso Amazon S3 en todas las cuentas. Para obtener más información IAM funciones para las fuentes de datos de S3, consulte IAM roles.

Cuando se utiliza BatchPutDocumentAPIpara indexar documentos en un Amazon S3 bucket, debes proporcionar Amazon Kendra con un IAM rol con acceso al depósito. También debe proporcionar una política de confianza que permita Amazon Kendra para asumir el rol. Si los documentos del depósito están cifrados, debe dar permiso para usar el AWS KMS la clave maestra del cliente (CMK) para descifrar los documentos.

Una política de roles necesaria para permitir Amazon Kendra para acceder a un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Se recomienda incluir aws:sourceAccount y aws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura si aws:sourceAccount aws:sourceArn son los mismos que los proporcionados en la IAM política de roles para la sts:AssumeRole acción. Esto impide que entidades no autorizadas accedan a su IAM funciones y sus permisos. Para obtener más información, consulte la AWS Identity and Access Management guía sobre el confuso problema de los diputados.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*"
                }
            }
        }
    ]
}

Una política de roles opcional para permitir Amazon Kendra usar un AWS KMS la clave maestra del cliente (CMK) para descifrar documentos en un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

IAM funciones para las fuentes de datos

Cuando utilice el CreateDataSourceAPI, debe dar Amazon Kendra un IAM rol que tiene permiso para acceder a los recursos. Los permisos específicos necesarios dependen del origen de datos.

Cuando se utiliza Adobe Experience Manager, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Adobe Experience Manager.
Permiso para llamar al público requerido APIs para utilizar el conector de Adobe Experience Manager.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Adobe Experience Manager a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Alfresco, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Alfresco.
Permiso para llamar al público requerido APIs para utilizar el conector de Alfresco.
Permiso para llamar al BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping, DeletePrincipalMappingDescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Alfresco a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas Aurora (MySQL), usted proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Aurora (MiSQL).
Permiso para convocar al público APIs requerido Aurora (MiSQL) conector.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar un Aurora (MiSQL) fuente de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas Aurora (PostgreSQL), usted proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Aurora (PostgreSQL).
Permiso para convocar al público APIs requerido para el Aurora Conector (PostgreSQL).
Permiso para llamar alBatchPutDocument,BatchDeleteDocument, PutPrincipalMapping DeletePrincipalMappingDescribePrincipalMapping, y. ListGroupsOlderThanOrderingId APIs

nota

Puede conectar un Aurora (PostgreSQL) fuente de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas Amazon FSx, usted proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Amazon FSx sistema de archivos.
Permiso de acceso Amazon Virtual Private Cloud (VPC) donde su Amazon FSx sistema de archivos.
Permiso para obtener el nombre de dominio de su Active Directory para su Amazon FSx sistema de archivos.
Permiso para llamar al público requerido APIs para el Amazon FSx conector.
Permiso para llamar BatchDeleteDocument APIs al índice BatchPutDocument y actualizarlo.


{
    "Version": "2012-10-17",
        "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "secretsmanager:GetSecretValue"
          ],
          "Resource": [
            "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Decrypt"
          ],
          "Resource": [
            "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
          ],
          "Condition": {
            "StringLike": {
              "kms:ViaService": [
                "secretsmanager.{{your-region}}.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action":[
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface"
          ],
          "Resource": [
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]   
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:CreateNetworkInterfacePermission"
          ],
          "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
          "Condition": {
            "StringEquals": {
              "ec2:AuthorizedService": "kendra.*.amazonaws.com"
            },
            "ArnEquals": {
              "ec2:Subnet": [
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
              ]
            }
          }
        },
        {
          "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
          "Effect": "Allow",
          "Action": "ds:DescribeDirectories",
          "Resource": "*"
        },
        {
          "Sid": "AllowsKendraToCallRequiredFsxAPIs",
          "Effect": "Allow",
          "Action": [
              "fsx:DescribeFileSystems"
          ],
          "Resource": "*"
        },
        {
          "Sid": "iamPassRole",
          "Effect": "Allow",
          "Action": "iam:PassRole",
          "Resource": "*",
          "Condition": {
            "StringEquals": {
              "iam:PassedToService": [
                "kendra.*.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kendra:BatchPutDocument",
            "kendra:BatchDeleteDocument"
          ],
          "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
        }
        ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una base de datos como fuente de datos, proporciona Amazon Kendra con un rol que tenga los permisos necesarios para conectarse a. Entre ellos se incluyen:

Permiso para acceder al AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del sitio. Para obtener más información sobre el contenido del secreto, consulte orígenes de datos.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al Amazon S3 depósito que contiene el SSL certificado utilizado para comunicarse con el sitio.

nota

Puede conectar las fuentes de datos de la base de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Hay dos políticas opcionales que puede utilizar con un origen de datos.

Si ha cifrado el Amazon S3 el depósito que contiene el SSL certificado utilizado para comunicarse con el, proporcione una política para dar Amazon Kendra acceso a la clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Si está utilizando unaVPC, proporcione una política que dé Amazon Kendra acceso a los recursos necesarios. Consulte IAM funciones para las fuentes de datos, VPC para la política requerida.

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un Amazon RDS Conector de fuente de datos (Microsoft SQL Server), usted proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Amazon RDS Instancia de fuente de datos (Microsoft SQL Server).
Permiso para llamar al público requerido APIs para la Amazon RDS Conector de fuente de datos (Microsoft SQL Server).
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar un Amazon RDS (Microsoft SQL Server) fuente de datos para Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas un Amazon RDS (MiSQL) conector de fuente de datos, usted proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Amazon RDS (MiSQL) instancia de fuente de datos.
Permiso para llamar al público requerido APIs para el Amazon RDS (MiSQL) conector de fuente de datos.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar un Amazon RDS (MiSQL) fuente de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un Amazon RDS El conector de fuentes de datos de Oracle proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Amazon RDS instancia de fuente de datos (Oracle).
Permiso para llamar al público requerido APIs para Amazon RDS Conector de fuente de datos (Oracle).
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar un Amazon RDS Fuente de datos de Oracle a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas un Amazon RDS Al conectar una fuente de datos (PostgreSQL), se le asigna un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Amazon RDS instancia de fuente de datos (PostgreSQL).
Permiso para llamar al público requerido para la APIs Amazon RDS Conector de fuente de datos (PostgreSQL).
Permiso para llamar alBatchPutDocument,BatchDeleteDocument, PutPrincipalMapping DeletePrincipalMappingDescribePrincipalMapping, y. ListGroupsOlderThanOrderingId APIs

nota

Puede conectar un Amazon RDS (PostgreSQL) fuente de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

aviso

Amazon Kendra no utiliza una política de bucket que conceda permisos a un Amazon Kendra principal para interactuar con un bucket de S3. En su lugar, usa IAM roles. Asegúrese de que Amazon Kendra no está incluido como miembro de confianza en tu política de grupos para evitar problemas de seguridad de los datos al conceder accidentalmente permisos a directores arbitrarios. Sin embargo, puedes añadir una política de bucket para usar una Amazon S3 agrupar en diferentes cuentas. Para obtener más información, consulte Políticas a utilizar Amazon S3 en todas las cuentas (más abajo).

Cuando usas un Amazon S3 como fuente de datos, se proporciona un rol que tiene permiso para acceder al depósito y usar las BatchDeleteDocument operaciones BatchPutDocument y. Si los documentos del Amazon S3 el bucket está cifrado, debe proporcionar permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar los documentos.

Las siguientes políticas de roles deben permitir Amazon Kendra asumir un rol. Desplácese más abajo para ver una política de confianza para asumir un rol.

Una política de roles necesaria para permitir Amazon Kendra usar un Amazon S3 bucket como fuente de datos.


{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            ]
        }
    ]
}

Una política de roles opcional para permitir Amazon Kendra usar un AWS KMS la clave maestra del cliente (CMK) para descifrar documentos en un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de roles opcional para permitir Amazon Kendra para acceder a un Amazon S3 balde, mientras se usa un Amazon VPC, y sin activar AWS KMS o compartir AWS KMS permisos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
      ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringLike": {
                "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringEquals": {
                "ec2:CreateAction": "CreateNetworkInterface"
            }
        }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:AuthorizedService": "kendra.amazonaws.com"
        },
        "ArnEquals": {
          "ec2:Subnet": [
            "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
    }
  ]
}

Una política de roles opcional para permitir Amazon Kendra para acceder a un Amazon S3 balde mientras se usa un Amazon VPC, y con AWS KMS permisos activados.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "s3.{{your-region}}.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
      ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringLike": {
                "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringEquals": {
                "ec2:CreateAction": "CreateNetworkInterface"
            }
        }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:AuthorizedService": "kendra.amazonaws.com"
        },
        "ArnEquals": {
          "ec2:Subnet": [
            "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
    }
  ]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Políticas a utilizar Amazon S3 en todas las cuentas

Si las recetas Amazon S3 el bucket está en una cuenta diferente a la que utilizas para tu Amazon Kendra índice, puedes crear políticas para usarlo en todas las cuentas.

Una política de roles para usar su Amazon S3 bucket como fuente de datos cuando el bucket se encuentra en una cuenta diferente a la suya Amazon Kendra índice. Tenga en cuenta que s3:PutObject y s3:PutObjectAcl son opcionales y que puede utilizarlos si desea incluir un archivo de configuración para la lista de control de acceso.


{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:$your-region:$your-account-id:index/$index-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::$bucket-in-other-account/*"
        }
    ]
}

Una política de compartimentos que permita la Amazon S3 función de fuente de datos para acceder al Amazon S3 agrupar entre cuentas. Tenga en cuenta que s3:PutObject y s3:PutObjectAcl son opcionales y que puede utilizarlos si desea incluir un archivo de configuración para la lista de control de acceso.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "$kendra-s3-connector-role-arn"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "$kendra-s3-connector-role-arn"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::$bucket-in-other-account"
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas Amazon Kendra Web Crawler, usted proporciona un rol con las siguientes políticas:

Permiso para acceder al AWS Secrets Manager secreto que contiene las credenciales para conectarse a sitios web o a un servidor proxy web respaldado por una autenticación básica. Para obtener más información sobre el contenido del secreto, consulte Utilizar un origen de datos de rastreador web.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Si usa un Amazon S3 para almacenar tu lista de semillas URLs o mapas del sitio, incluye permiso para acceder al Amazon S3 cubo.

nota

Puedes conectar un Amazon Kendra Fuente de datos de Web Crawler a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Si guardas tus semillas URLs o mapas del sitio en un Amazon S3 bucket, debes añadir este permiso al rol.


,
{"Effect": "Allow",
     "Action": [
         "s3:GetObject"
      ],
      "Resource": [
         "arn:aws:s3:::bucket-name/*"
      ]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usas Amazon WorkDocs, usted proporciona un rol con las siguientes políticas

Permiso para verificar el ID de directorio (ID de organización) que se corresponde con su Amazon WorkDocs repositorio del sitio.
Permiso para obtener el nombre de dominio de su Active Directory que contiene su Amazon WorkDocs directorio del sitio.
Permiso para llamar al público requerido APIs para el Amazon WorkDocs conector.
Permiso para llamar BatchDeleteDocument APIs al índice BatchPutDocument y actualizarlo.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
      "Effect": "Allow",
      "Action": "ds:DescribeDirectories",
      "Resource": "*"
    },
    {
      "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs",
      "Effect": "Allow",
      "Action": [
        "workdocs:GetDocumentPath",
        "workdocs:GetGroup",
        "workdocs:GetDocument",
        "workdocs:DownloadDocumentVersions",
        "workdocs:DescribeUsers",
        "workdocs:DescribeFolderContents",
        "workdocs:DescribeActivities",
        "workdocs:DescribeComments",
        "workdocs:GetFolder",
        "workdocs:DescribeResourcePermissions",
        "workdocs:GetFolderPath",
        "workdocs:DescribeInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "kendra.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowsKendraToCallBatchPutDeleteAPIs",
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:account-id:index/$index-id"
      ]
    }
  ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Box, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar tu Slack.
Permiso para llamar al público requerido APIs para usar el conector Box.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Box a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un servidor de Confluence como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder a AWS Secrets Manager secreto que contiene las credenciales necesarias para conectarse a Confluence. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Confluence.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puedes conectar una fuente de datos de Confluence a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Si está utilizando unVPC, proporcione una política que dé Amazon Kendra acceso a los recursos necesarios. Consulte IAM funciones para las fuentes de datos, VPC para la política requerida.

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Para un origen de datos de Confluence Connector v2.0, se proporciona un rol con las siguientes políticas.

Permiso para acceder a AWS Secrets Manager secreto que contiene las credenciales de autenticación de Confluence. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Confluence.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por AWS Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

También debe adjuntar una política de confianza que permita Amazon Kendra para asumir el rol.

nota

Puedes conectar una fuente de datos de Confluence a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.

Una política de roles para permitir Amazon Kendra para conectarse a Confluence.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:your-region:your-account-id:key/key-id"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "secretsmanager.your-region.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
      ]
    }
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
    }
  ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Dropbox, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Dropbox.
Permiso para llamar al público requerido APIs para el conector de Dropbox.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puedes conectar una fuente de datos de Dropbox a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
"Version": "2012-10-17",
  "Statement": [
  {"Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {"Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {"StringLike": {"kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {"Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {"Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Drupal, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar tu Drupal.
Permiso para llamar al público requerido APIs para el conector de Drupal.
Permiso para llamar al BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping, DeletePrincipalMappingDescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Drupal a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando los usa GitHub, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su. GitHub
Permiso para llamar al público requerido APIs para el GitHub conector.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente GitHub de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Gmail, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Gmail.
Permiso para llamar al público requerido APIs para el conector de Gmail.
Permiso para llamar alBatchPutDocument,BatchDeleteDocument, PutPrincipalMapping DeletePrincipalMappingDescribePrincipalMapping, y. ListGroupsOlderThanOrderingId APIs

nota

Puedes conectar una fuente de datos de Gmail a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
"Version": "2012-10-17",
  "Statement": [
  {"Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {"Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {"StringLike": {"kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {"Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {"Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utilizas una fuente de datos de Google Workspace Drive, proporcionas Amazon Kendra con un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el correo electrónico de la cuenta de cliente, el correo electrónico de la cuenta de administrador y la clave privada necesarios para conectarse al sitio de Google Drive. Para obtener más información acerca del contenido de este secreto, consulte orígenes de datos de Google Drive.
Permiso para usar la BatchPutDocumenty BatchDeleteDocumentAPIs.

nota

Puede conectar una fuente de datos de Google Drive a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.

Los siguientes ejemplos de IAM la política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de fuente de IBM DB2 datos, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de IBM DB2 datos.
Permiso para llamar al público requerido APIs para el conector de la fuente de IBM DB2 datos.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente IBM DB2 de datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Jira, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar tu Jira.
Permiso para llamar al público requerido APIs para usar el conector de Jira.
Permiso para llamar al BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping, DeletePrincipalMappingDescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puedes conectar una fuente de datos de Jira a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de datos de Microsoft Exchange, proporciona Amazon Kendra con un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el identificador de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Exchange. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Exchange.
Permiso para usar las teclas BatchPutDocumenty BatchDeleteDocumentAPIs.

nota

Puede conectar una fuente de datos de Microsoft Exchange a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.

Los siguientes ejemplos de IAM la política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Si está almacenando la lista de usuarios para indexarlos en un Amazon S3 bucket, también debe proporcionar permiso para usar la GetObject operación S3. Los siguientes ejemplos de IAM la política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de OneDrive datos de Microsoft, proporciona Amazon Kendra con un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el ID de la aplicación y la clave secreta necesarios para conectarse al OneDrive sitio. Para obtener más información sobre el contenido del secreto, consulte Fuentes de OneDrive datos de Microsoft.
Permiso para usar el BatchPutDocumenty BatchDeleteDocumentAPIs.

nota

Puede conectar una fuente de OneDrive datos de Microsoft a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.

Los siguientes ejemplos de IAM la política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Para una fuente de datos de Microsoft SharePoint Connector v1.0, debe proporcionar un rol con las siguientes políticas.

Permiso para acceder al AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del SharePoint sitio. Para obtener más información sobre el contenido del secreto, consulte Fuentes de SharePoint datos de Microsoft.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por AWS Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al Amazon S3 depósito que contiene el SSL certificado utilizado para comunicarse con el SharePoint sitio.

También debe adjuntar una política de confianza que permita Amazon Kendra para asumir el rol.

nota

Puede conectar una fuente de SharePoint datos de Microsoft a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Si ha cifrado el Amazon S3 depósito que contiene el SSL certificado utilizado para comunicarse con el SharePoint sitio, proporcione una política para proporcionarla Amazon Kendra acceso a la clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Para una fuente de datos de Microsoft SharePoint Connector v2.0, debe proporcionar un rol con las siguientes políticas.

Permiso para acceder a AWS Secrets Manager secreto que contiene las credenciales de autenticación del SharePoint sitio. Para obtener más información sobre el contenido del secreto, consulte Fuentes de SharePoint datos de Microsoft.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por AWS Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al Amazon S3 depósito que contiene el SSL certificado utilizado para comunicarse con el SharePoint sitio.

También debe adjuntar una política de confianza que permita Amazon Kendra para asumir el rol.

nota

Puede conectar una fuente de SharePoint datos de Microsoft a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:your-region:your-account-id:key/key-id"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "secretsmanager.your-region.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
      ]
    },
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/key-name"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids",
        "arn:aws:ec2:your-region:your-account-id:security-group/security-group"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:region:account_id:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
  ]
}

Si ha cifrado el Amazon S3 depósito que contiene el SSL certificado utilizado para comunicarse con el SharePoint sitio, proporcione una política para proporcionarla Amazon Kendra acceso a la clave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:youraccount-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando usa Microsoft SQL Server, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de Microsoft SQL Server.
Permiso para llamar al público requerido APIs para el conector de Microsoft SQL Server.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos SQL de Microsoft Server a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de datos de Microsoft Teams, proporciona Amazon Kendra con un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el ID de cliente y el secreto de cliente necesarios para conectarse a Microsoft Teams. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Teams.

nota

Puede conectar una fuente de datos de Microsoft Teams a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.

Los siguientes ejemplos de IAM la política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:client-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza una fuente de datos de Microsoft Yammer, proporciona Amazon Kendra con un rol que tenga los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el AWS Secrets Manager secreto que contiene el identificador de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Yammer. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Yammer.
Permiso para usar las teclas BatchPutDocumenty. BatchDeleteDocumentAPIs

nota

Puede conectar una fuente de datos de Microsoft Yammer a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.

Los siguientes ejemplos de IAM la política proporciona los permisos necesarios:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de Mi fuente de SQL datos, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de My SQL data source.
Permiso para llamar al público requerido APIs para el conector My SQL Data Source.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de Mis SQL datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza un conector de origen de datos de Oracle, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de datos de Oracle.
Permiso para llamar al público requerido APIs para el conector de fuentes de datos de Oracle.
Permiso para llamar al BatchPutDocument BatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Oracle a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un conector de fuente de SQL datos de Postgre, proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su instancia de fuente de SQL datos de Postgre.
Permiso para llamar al público requerido APIs para el conector de fuente de datos de PostgreSQL.
Permiso para llamar alBatchPutDocument,BatchDeleteDocument, PutPrincipalMapping DeletePrincipalMappingDescribePrincipalMapping, y. ListGroupsOlderThanOrderingId APIs

nota

Puede conectar una fuente de SQL datos de Postgre a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Quip, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Quip.
Permiso para llamar al público requerido APIs para utilizar el conector Quip.
Permiso para llamar al BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping, DeletePrincipalMappingDescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Quip a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Salesforce como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder a AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña del sitio de Salesforce. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Salesforce.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar una fuente de datos de Salesforce a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando utiliza un ServiceNow como fuente de datos, proporciona un rol con las siguientes políticas:

Permiso para acceder al Secrets Manager secreto que contiene el nombre de usuario y la contraseña del ServiceNow sitio. Para obtener más información sobre el contenido del secreto, consulte las fuentes ServiceNow de datos.
Permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar el nombre de usuario y la contraseña secretos almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar una fuente de ServiceNow datos a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Slack, se proporciona un rol con las siguientes políticas.

Permiso para acceder a tu AWS Secrets Manager secreto para autenticar tu Slack.
Permiso para llamar al público requerido APIs para el conector de Slack.
Permiso para llamar al BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping, DeletePrincipalMappingDescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puedes conectar una fuente de datos de Slack a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Cuando se utiliza Zendesk, se proporciona un rol con las siguientes políticas.

Permiso para acceder a su AWS Secrets Manager secreto para autenticar su Zendesk Suite.
Permiso para llamar al público requerido APIs para usar el conector de Zendesk.
Permiso para llamar al BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping, DeletePrincipalMappingDescribePrincipalMapping, y ListGroupsOlderThanOrderingIdAPIs.

nota

Puede conectar una fuente de datos de Zendesk a Amazon Kendra por Amazon VPC. Si está utilizando un Amazon VPC, debe añadir permisos adicionales.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Una política de confianza para permitir Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Nube privada virtual (VPC) IAM role

Si utiliza una nube privada virtual (VPC) para conectarse a su fuente de datos, debe proporcionar los siguientes permisos adicionales.


{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
        "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para las preguntas más frecuentes (FAQs)

Cuando utilice el CreateFaqAPIpara cargar preguntas y respuestas en un índice, debe proporcionar Amazon Kendra con un IAM rol con acceso al Amazon S3 depósito que contiene los archivos fuente. Si los archivos de origen están cifrados, debe dar permiso para usar el AWS KMS la clave maestra del cliente (CMK) para descifrar los archivos.

Una política de roles necesaria para permitir Amazon Kendra para acceder a un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de roles opcional para permitir Amazon Kendra usar un AWS KMS clave maestra del cliente (CMK) para descifrar los archivos de un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para sugerencias de consultas

Cuando usas un Amazon S3 archivo como lista de sugerencias de consultas bloqueadas, debe proporcionar un rol que tenga permiso para acceder a Amazon S3 archivo y el Amazon S3 balde. Si el archivo de texto de la lista de bloqueados (el Amazon S3 archivo) en el Amazon S3 el depósito está cifrado, debe proporcionar permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar los documentos.

Una política de roles obligatoria para permitir Amazon Kendra para usar el Amazon S3 archivo como lista de sugerencias de consulta bloqueadas.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de roles opcional para permitir Amazon Kendra usar un AWS KMS la clave maestra del cliente (CMK) para descifrar documentos en un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para el mapeo principal de usuarios y grupos

Si lo utiliza PutPrincipalMappingAPIpara asignar usuarios a sus grupos para filtrar los resultados de la búsqueda por contexto de usuario, debe proporcionar una lista de los usuarios o subgrupos que pertenecen a un grupo. Si tu lista incluye más de 1000 usuarios o subgrupos para un grupo, debes proporcionar un rol que tenga permiso para acceder al Amazon S3 el archivo de tu lista y el Amazon S3 balde. Si el archivo de texto (el Amazon S3 archivo) de la lista del Amazon S3 el bucket está cifrado, debe proporcionar permiso para usar el AWS KMS clave maestra del cliente (CMK) para descifrar los documentos.

Una política de roles necesaria para permitir Amazon Kendra para usar el Amazon S3 archivo como lista de usuarios y subgrupos que pertenecen a un grupo.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Una política de roles opcional para permitir Amazon Kendra usar un AWS KMS la clave maestra del cliente (CMK) para descifrar documentos en un Amazon S3 balde.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

IAM funciones para AWS IAM Identity Center

Cuando se utiliza el UserGroupResolutionConfigurationobjeto para obtener los niveles de acceso de grupos y usuarios de un AWS IAM Identity Center fuente de identidad, debe proporcionar un rol que tenga permiso de acceso IAM Identity Center.

Una política de roles necesaria para permitir Amazon Kendra para acceder IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:SearchUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:DescribeGroups",
                "sso:ListDirectoryAssociations"
            ],
            "Resource": [
                 "*"
            ]
        },
        {
          "Sid": "iamPassRole",
          "Effect": "Allow",
          "Action": "iam:PassRole",
          "Resource": "*",
          "Condition": {
            "StringEquals": {
              "iam:PassedToService": [
                "kendra.amazonaws.com"
              ]
            }
          }
        }
     ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM funciones para Amazon Kendra experiencias

Cuando utilice CreateExperienceo UpdateExperienceAPIspara crear o actualizar una aplicación de búsqueda, debe proporcionar un rol que tenga permiso para acceder a las operaciones necesarias y al Centro de IAM Identidad.

Una política de roles necesaria para permitir Amazon Kendra para acceder a Query las QuerySuggestions operaciones, SubmitFeedback operaciones y al Centro de IAM identidad que almacena la información de sus usuarios y grupos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowsKendraSearchAppToCallKendraApi",
      "Effect": "Allow",
      "Action": [
        "kendra:GetQuerySuggestions",
        "kendra:Query",
        "kendra:DescribeIndex",
        "kendra:ListFaqs",
        "kendra:DescribeDataSource",
        "kendra:ListDataSources",
        "kendra:DescribeFaq",
        "kendra:SubmitFeedback"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id"
      ]
    },
    {
      "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
      "Effect": "Allow",
      "Action": [
        "kendra:DescribeDataSource",
        "kendra:DescribeFaq"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id"
      ]
    },
    {
      "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
      "Effect": "Allow",
      "Action": [
        "sso-directory:ListGroupsForUser",
        "sso-directory:SearchGroups",
        "sso-directory:SearchUsers",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUsers",
        "sso:ListDirectoryAssociations"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "kendra.your-region.amazonaws.com"
          ]
        }
      }
    }
  ]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

IAM funciones para el enriquecimiento de documentos personalizados

Cuando utilice el CustomDocumentEnrichmentConfigurationobjeto para realizar modificaciones avanzadas en los metadatos y el contenido del documento, debe proporcionar un rol que tenga los permisos necesarios para ejecutar PreExtractionHookConfiguration y/oPostExtractionHookConfiguration. Se configura una función de Lambda para PreExtractionHookConfiguration o PostExtractionHookConfiguration para aplicar modificaciones avanzadas de los metadatos y el contenido del documento durante el proceso de ingesta. Si decide activar el cifrado del lado del servidor para su Amazon S3 bucket, debe proporcionar permiso para usar el AWS KMS clave maestra del cliente (CMK) para cifrar y descifrar los objetos almacenados en su Amazon S3 cubo.

Una política de roles obligatoria para permitir Amazon Kendra para ejecutar PreExtractionHookConfiguration y PostExtractionHookConfiguration con cifrado para su Amazon S3 balde.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Action": [
      "s3:ListBucket"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "lambda:InvokeFunction"
    ],
    "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
  }]
}

Una política de roles opcional para permitir Amazon Kendra para ejecutar PreExtractionHookConfiguration y PostExtractionHookConfiguration sin cifrado para su Amazon S3 balde.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Action": [
      "s3:ListBucket"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "lambda:InvokeFunction"
    ],
    "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
  }]
}

Una política de confianza que permita Amazon Kendra asumir un rol.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de los SDK AWS

Implementación de Amazon Kendra