Prérequis - Amazon Kendra
Inscrivez-vous pour un Compte AWSCréation d'un utilisateur doté d'un accès administratifAmazon Kendra ressources : AWS CLI SDK, console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Les étapes suivantes sont des prérequis pour les exercices de démarrage. Les étapes vous montrent comment configurer votre compte, créer un IAM rôle qui donne Amazon Kendra autorisation de passer des appels en votre nom et d'indexer des documents à partir d'un Amazon S3 seau. Un compartiment S3 est utilisé à titre d'exemple, mais vous pouvez utiliser d'autres sources de données qui Amazon Kendra soutient. Voir Sources de données.

Inscrivez-vous pour un Compte AWS

Si vous n'avez pas de Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

  1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, une Utilisateur racine d'un compte AWSest créé. L'utilisateur root a accès à tous Services AWS et les ressources du compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l‘utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Après avoir souscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activer AWS IAM Identity Center, et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

  1. Connectez-vous au AWS Management Consoleen tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre Compte AWS adresse e-mail. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l'aide pour vous connecter à l'aide de l'utilisateur root, consultez la section Connexion en tant qu'utilisateur root dans Connexion à AWS Guide de l'utilisateur.

  2. Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.

    Pour obtenir des instructions, voir Activer un MFA appareil virtuel pour votre Compte AWS utilisateur root (console) dans le guide de IAM l'utilisateur.

Création d'un utilisateur doté d'un accès administratif

  1. Activez IAM Identity Center.

    Pour obtenir des instructions, voir Activation AWS IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur.

  2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

    Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur avec la valeur par défaut Répertoire IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur.

Connexion en tant qu‘utilisateur doté d'un accès administratif

  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'URLidentifiant envoyé à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur d'IAMIdentity Center, consultez la section Connexion au AWS portail d'accès dans le Connexion à AWS Guide de l'utilisateur.

Attribution d'un accès à d'autres utilisateurs

  1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme à la meilleure pratique consistant à appliquer les autorisations du moindre privilège.

    Pour obtenir des instructions, voir Créer un ensemble d'autorisations dans le AWS IAM Identity Center Guide de l'utilisateur.

  2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

    Pour obtenir des instructions, voir Ajouter des groupes dans le AWS IAM Identity Center Guide de l'utilisateur.

  • Si vous utilisez un compartiment S3 contenant des documents à tester Amazon Kendra, créez un compartiment S3 dans la même région que celle que vous utilisez Amazon Kendra. Pour obtenir des instructions, consultez la section Création et configuration d'un compartiment S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

    Téléchargez vos documents dans votre compartiment S3. Pour obtenir des instructions, consultez la section Chargement, téléchargement et gestion d'objets dans le guide de l'utilisateur d'Amazon Simple Storage Service.

    Si vous utilisez une autre source de données, vous devez disposer d'un site actif et d'informations d'identification pour vous connecter à la source de données.

Si vous utilisez la console pour commencer, commencez parDémarrage avec le plugin Amazon Kendra console.

Amazon Kendra ressources : AWS CLI SDK, console

Certaines autorisations sont requises si vous utilisez CLISDK, ou si vous utilisez la console.

Pour utiliser Amazon Kendra pour la console CLISDK, ou, vous devez disposer des autorisations nécessaires pour autoriser Amazon Kendra pour créer et gérer des ressources en votre nom. Selon votre cas d'utilisation, ces autorisations incluent l'accès au Amazon Kendra APIlui-même, AWS KMS keys si vous souhaitez chiffrer vos données par le biais d'un annuaire Identity Center personnalisé CMK si vous souhaitez intégrer AWS IAM Identity Center ou créez une expérience de recherche. Pour obtenir la liste complète des autorisations pour différents cas d'utilisation, voir IAM rôles.

Tout d'abord, vous devez associer les autorisations ci-dessous à votre IAM utilisateur.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Deuxièmement, si vous utilisez le CLI ouSDK, vous devez également créer un IAM rôle et politique d'accès Amazon CloudWatch Logs. Si vous utilisez la console, il n'est pas nécessaire de créer un IAM rôle et politique à cet égard. Vous le créez dans le cadre de la procédure de console.

Pour créer un IAM rôle et politique du AWS CLI et SDK cela permet Amazon Kendra pour accéder à votre Amazon CloudWatch Logs.

  1. Connectez-vous au AWS Management Console et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le menu de gauche, choisissez Politiques, puis choisissez Créer une politique.

  3. Choisissez JSONpuis remplacez la politique par défaut par la suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. Choisissez Review policy (Examiner une politique).

  5. Donnez un nom à la politique "KendraPolicyForGettingStartedIndex" puis choisissez Create policy.

  6. Dans le menu de gauche, choisissez Rôles, puis sélectionnez Créer un rôle.

  7. Choisissez-en un autre AWS puis saisissez votre identifiant de compte dans Identifiant du compte. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  8. Choisissez la politique que vous avez créée ci-dessus, puis cliquez sur Suivant : Tags

  9. N’ajoutez aucune balise. Choisissez Suivant : vérification.

  10. Nommez le rôle "KendraRoleForGettingStartedIndex" puis choisissez Create role.

  11. Trouvez le rôle que vous venez de créer. Choisissez le nom du rôle pour ouvrir le résumé. Choisissez Relations de confiance, puis Modifier la relation de confiance.

  12. Remplacez la relation de confiance existante par la suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Choisissez Update Trust Policy (Mettre à jour la stratégie d’approbation).

Troisièmement, si vous utilisez un Amazon S3 pour stocker vos documents ou vous utilisez S3 pour tester Amazon Kendra, vous devez également créer un IAM rôle et politique d'accès à votre compartiment. Si vous utilisez une autre source de données, voir IAM rôles pour les sources de données.

Pour créer un IAM rôle et politique qui permettent Amazon Kendra pour accéder à et indexer votre Amazon S3 seau.

  1. Connectez-vous au AWS Management Console et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le menu de gauche, choisissez Politiques, puis choisissez Créer une politique.

  3. Choisissez JSONpuis remplacez la politique par défaut par la suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:region:account ID:index/*"
        }
    ]
}

  4. Choisissez Review policy (Examiner une politique).

  5. Nommez la politique « KendraPolicyForGettingStartedDataSource », puis choisissez Create policy.

  6. Dans le menu de gauche, choisissez Rôles, puis sélectionnez Créer un rôle.

  7. Choisissez-en un autre AWS puis saisissez votre identifiant de compte dans Identifiant du compte. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  8. Choisissez la politique que vous avez créée ci-dessus, puis cliquez sur Suivant : Tags

  9. N’ajoutez aucune balise. Choisissez Suivant : vérification.

  10. Nommez le rôle « KendraRoleForGettingStartedDataSource », puis choisissez Créer un rôle.

  11. Trouvez le rôle que vous venez de créer. Choisissez le nom du rôle pour ouvrir le résumé. Choisissez Relations de confiance, puis Modifier la relation de confiance.

  12. Remplacez la relation de confiance existante par la suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Choisissez Update Trust Policy (Mettre à jour la stratégie d’approbation).

Selon la manière dont vous souhaitez utiliser le Amazon Kendra API, effectuez l'une des opérations suivantes.