IAM peran untuk indeks IAM peran untuk BatchPutDocument API IAM peran untuk sumber data Peran cloud pribadi virtual (VPC) IAM IAM peran untuk pertanyaan yang sering diajukan (FAQ)IAM peran untuk saran kueri IAM peran untuk pemetaan utama pengguna dan grup IAM peran untuk AWS IAM Identity Center IAM peran untuk Amazon Kendra pengalaman IAM peran untuk Pengayaan Dokumen Kustom

IAM peran akses untuk Amazon Kendra

Saat Anda membuat indeks, sumber data, atau FAQ, Amazon Kendra memerlukan akses ke AWS sumber daya yang diperlukan untuk membuat Amazon Kendra sumber daya. Anda harus membuat kebijakan AWS Identity and Access Management (IAM) sebelum membuat Amazon Kendra sumber daya. Ketika Anda memanggil operasi, Anda menyediakan Amazon Resource Name (ARN) dari peran dengan kebijakan yang dilampirkan. Misalnya, jika Anda memanggil BatchPutDocumentAPI untuk menambahkan dokumen dari Amazon S3 bucket, Anda menyediakan peran Amazon Kendra dengan kebijakan yang memiliki akses ke bucket.

Anda dapat membuat IAM peran baru di Amazon Kendra konsol atau memilih peran yang IAM ada untuk digunakan. Konsol tersebut menampilkan peran yang memiliki string “kendra” atau “Kendra” dalam nama peran.

Topik berikut memberikan detail untuk kebijakan yang diperlukan. Jika Anda membuat IAM peran menggunakan Amazon Kendra konsol, kebijakan ini dibuat untuk Anda.

Topik

IAM peran untuk indeks
IAM peran untuk BatchPutDocument API
IAM peran untuk sumber data
Peran cloud pribadi virtual (VPC) IAM
IAM peran untuk pertanyaan yang sering diajukan (FAQ)
IAM peran untuk saran kueri
IAM peran untuk pemetaan utama pengguna dan grup
IAM peran untuk AWS IAM Identity Center
IAM peran untuk Amazon Kendra pengalaman
IAM peran untuk Pengayaan Dokumen Kustom

IAM peran untuk indeks

Ketika Anda membuat indeks, Anda harus memberikan IAM peran dengan izin untuk menulis ke Amazon CloudWatch. Anda juga harus memberikan kebijakan kepercayaan yang memungkinkan Amazon Kendra untuk mengambil peran. Berikut ini adalah kebijakan yang harus disediakan.

Kebijakan peran Amazon Kendra untuk mengizinkan mengakses CloudWatch log.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "logs:DescribeLogGroups",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
        }
    ]
}

Kebijakan peran untuk Amazon Kendra memungkinkan akses AWS Secrets Manager. Jika Anda menggunakan konteks pengguna Secrets Manager sebagai lokasi utama, Anda dapat menggunakan kebijakan berikut.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"cloudwatch:PutMetricData",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "cloudwatch:namespace":"AWS/Kendra"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":"logs:DescribeLogGroups",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"logs:CreateLogGroup",
         "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "logs:DescribeLogStreams",
            "logs:CreateLogStream",
            "logs:PutLogEvents"
         ],
         "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "secretsmanager:GetSecretValue"
         ],
         "Resource":[
            "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:Decrypt"
         ],
         "Resource":[
            "arn:aws:kms:your-region:your-account-id:key/key-id"
         ],
         "Condition":{
            "StringLike":{
               "kms:ViaService":[
                  "secretsmanager.your-region.amazonaws.com"
               ]
            }
         }
      }
   ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM peran untuk BatchPutDocument API

Awas

Amazon Kendra tidak menggunakan kebijakan bucket yang memberikan izin kepada Amazon Kendra kepala sekolah untuk berinteraksi dengan bucket S3. Sebaliknya, ia menggunakan IAM peran. Pastikan itu Amazon Kendra tidak disertakan sebagai anggota tepercaya dalam kebijakan bucket Anda untuk menghindari masalah keamanan data dalam pemberian izin secara tidak sengaja kepada prinsipal arbitrer. Namun, Anda dapat menambahkan kebijakan bucket untuk menggunakan Amazon S3 bucket di berbagai akun. Untuk informasi selengkapnya, lihat Kebijakan untuk digunakan Amazon S3 di seluruh akun. Untuk informasi tentang IAM peran untuk sumber data S3, lihat IAM peran.

Saat Anda menggunakan BatchPutDocumentAPI untuk mengindeks dokumen dalam Amazon S3 bucket, Anda harus menyediakan IAM peran Amazon Kendra dengan akses ke bucket. Anda juga harus memberikan kebijakan kepercayaan yang memungkinkan Amazon Kendra untuk mengambil peran. Jika dokumen dalam bucket dienkripsi, Anda harus memberikan izin untuk menggunakan AWS KMS customer master key (CMK) untuk mendekripsi dokumen.

Kebijakan peran yang diperlukan Amazon Kendra untuk memungkinkan mengakses Amazon S3 bucket.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Disarankan agar Anda memasukkan aws:sourceAccount dan aws:sourceArn dalam kebijakan kepercayaan. Ini membatasi izin dan memeriksa dengan aman apakah aws:sourceAccount dan sama seperti yang aws:sourceArn disediakan dalam kebijakan IAM peran untuk tindakan tersebutsts:AssumeRole. Ini mencegah entitas yang tidak sah mengakses IAM peran Anda dan izinnya. Untuk informasi lebih lanjut, lihat AWS Identity and Access Management panduan tentang masalah wakil yang bingung.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*"
                }
            }
        }
    ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan penggunaan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi dokumen dalam bucket. Amazon S3


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

IAM peran untuk sumber data

Saat Anda menggunakan CreateDataSourceAPI, Anda harus memberikan Amazon Kendra IAM peran yang memiliki izin untuk mengakses sumber daya. Izin khusus yang diperlukan tergantung pada sumber data.

Saat Anda menggunakan Adobe Experience Manager, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Adobe Experience Manager Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Adobe Experience Manager.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Adobe Experience Manager ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Alfresco, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Alfresco Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Alfresco.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Alfresco ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Aurora (MySQL), Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Aurora (MySQL) Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Aurora (MySQL).
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Aurora (MySQL) ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Aurora (PostgreSQL), Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Aurora (PostgreSQL) Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Aurora (PostgreSQL).
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Aurora (PostgreSQL) ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Amazon FSx, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi sistem Amazon FSx file Anda.
Izin untuk mengakses Amazon Virtual Private Cloud (VPC) di mana sistem Amazon FSx file Anda berada.
Izin untuk mendapatkan nama domain Direktori Aktif Anda untuk sistem Amazon FSx file Anda.
Izin untuk memanggil API publik yang diperlukan untuk Amazon FSx konektor.
Izin untuk memanggil BatchPutDocument dan BatchDeleteDocument API untuk memperbarui indeks.


{
    "Version": "2012-10-17",
        "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "secretsmanager:GetSecretValue"
          ],
          "Resource": [
            "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "kms:Decrypt"
          ],
          "Resource": [
            "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
          ],
          "Condition": {
            "StringLike": {
              "kms:ViaService": [
                "secretsmanager.{{your-region}}.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action":[
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface"
          ],
          "Resource": [
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]   
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:CreateNetworkInterfacePermission"
          ],
          "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
          "Condition": {
            "StringEquals": {
              "ec2:AuthorizedService": "kendra.*.amazonaws.com"
            },
            "ArnEquals": {
              "ec2:Subnet": [
                "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
              ]
            }
          }
        },
        {
          "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
          "Effect": "Allow",
          "Action": "ds:DescribeDirectories",
          "Resource": "*"
        },
        {
          "Sid": "AllowsKendraToCallRequiredFsxAPIs",
          "Effect": "Allow",
          "Action": [
              "fsx:DescribeFileSystems"
          ],
          "Resource": "*"
        },
        {
          "Sid": "iamPassRole",
          "Effect": "Allow",
          "Action": "iam:PassRole",
          "Resource": "*",
          "Condition": {
            "StringEquals": {
              "iam:PassedToService": [
                "kendra.*.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "kendra:BatchPutDocument",
            "kendra:BatchDeleteDocument"
          ],
          "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
        }
        ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan database sebagai sumber data, Anda memberikan peran Amazon Kendra yang memiliki izin yang diperlukan untuk menghubungkan ke. Ini termasuk:

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi nama pengguna dan kata sandi untuk situs. Untuk informasi lebih lanjut tentang isi rahasia, lihat sumber data.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.
Izin untuk mengakses Amazon S3 bucket yang berisi sertifikat SSL yang digunakan untuk berkomunikasi dengan situs.

catatan

Anda dapat menghubungkan sumber data database ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Ada dua kebijakan opsional yang mungkin Anda gunakan dengan sumber data.

Jika Anda telah mengenkripsi Amazon S3 bucket yang berisi sertifikat SSL yang digunakan untuk berkomunikasi dengan, berikan kebijakan untuk memberikan Amazon Kendra akses ke kunci.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Jika Anda menggunakan VPC, berikan kebijakan yang memberikan Amazon Kendra akses ke sumber daya yang diperlukan. Lihat IAM peran untuk sumber data, VPC untuk kebijakan yang diperlukan.

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data Amazon RDS (Microsoft SQL Server), Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance sumber data Amazon RDS (Microsoft SQL Server) Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber data Amazon RDS (Microsoft SQL Server).
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Amazon RDS (Microsoft SQL Server) ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data Amazon RDS (MySQL), Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance Amazon RDS sumber data (MySQL) Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Amazon RDS sumber data (MySQL).
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Amazon RDS (MySQL) ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data Amazon RDS Oracle, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance sumber data Amazon RDS (Oracle) Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber data Amazon RDS (Oracle).
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Amazon RDS Oracle ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data Amazon RDS (PostgreSQL), Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance sumber Amazon RDS data (PostgreSQL) Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber Amazon RDS data (PostgreSQL).
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Amazon RDS (PostgreSQL) ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Awas

Bila Anda menggunakan Amazon S3 bucket sebagai sumber data, Anda menyediakan peran yang memiliki izin untuk mengakses bucket, serta untuk menggunakan BatchPutDocument dan BatchDeleteDocument operasi. Jika dokumen dalam Amazon S3 bucket dienkripsi, Anda harus memberikan izin untuk menggunakan AWS KMS customer master key (CMK) untuk mendekripsi dokumen.

Kebijakan peran berikut harus memungkinkan Amazon Kendra untuk mengambil peran. Gulir lebih jauh ke bawah untuk melihat kebijakan kepercayaan untuk mengambil peran.

Kebijakan peran yang diperlukan Amazon Kendra untuk memungkinkan penggunaan Amazon S3 bucket sebagai sumber data.


{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            ]
        }
    ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan penggunaan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi dokumen dalam bucket. Amazon S3


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan mengakses Amazon S3 bucket, saat menggunakan Amazon VPC, dan tanpa mengaktifkan AWS KMS atau berbagi AWS KMS izin.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
      ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringLike": {
                "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringEquals": {
                "ec2:CreateAction": "CreateNetworkInterface"
            }
        }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:AuthorizedService": "kendra.amazonaws.com"
        },
        "ArnEquals": {
          "ec2:Subnet": [
            "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
    }
  ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan mengakses Amazon S3 bucket saat menggunakan Amazon VPC, dan dengan AWS KMS izin diaktifkan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::{{bucket-name}}"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "s3.{{your-region}}.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
        "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
      ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringLike": {
                "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "ec2:CreateTags"
        ],
        "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
        "Condition": {
            "StringEquals": {
                "ec2:CreateAction": "CreateNetworkInterface"
            }
        }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:AuthorizedService": "kendra.amazonaws.com"
        },
        "ArnEquals": {
          "ec2:Subnet": [
            "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
        "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
    }
  ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Kebijakan untuk digunakan Amazon S3 di seluruh akun

Jika Amazon S3 bucket Anda berada di akun yang berbeda dengan akun yang Anda gunakan untuk Amazon Kendra indeks, Anda dapat membuat kebijakan untuk menggunakannya di seluruh akun.

Kebijakan peran untuk menggunakan Amazon S3 bucket sebagai sumber data saat bucket berada di akun yang berbeda dengan Amazon Kendra indeks Anda. Perhatikan bahwa s3:PutObject dan s3:PutObjectAcl bersifat opsional, dan Anda menggunakan ini jika Anda ingin menyertakan file konfigurasi untuk daftar kontrol akses Anda.


{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:$your-region:$your-account-id:index/$index-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::$bucket-in-other-account/*"
        }
    ]
}

Kebijakan bucket untuk mengizinkan peran sumber Amazon S3 data mengakses Amazon S3 bucket di seluruh akun. Perhatikan bahwa s3:PutObject dan s3:PutObjectAcl bersifat opsional, dan Anda menggunakan ini jika Anda ingin menyertakan file konfigurasi untuk daftar kontrol akses Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "$kendra-s3-connector-role-arn"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::$bucket-in-other-account/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "$kendra-s3-connector-role-arn"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::$bucket-in-other-account"
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Amazon Kendra Web Crawler, Anda memberikan peran dengan kebijakan berikut:

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi kredensil untuk terhubung ke situs web atau server proxy web yang didukung oleh otentikasi dasar. Untuk informasi selengkapnya tentang konten rahasia, lihat Menggunakan sumber data crawler web.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.
Jika Anda menggunakan Amazon S3 bucket untuk menyimpan daftar URL benih atau peta situs, sertakan izin untuk mengakses bucket. Amazon S3

catatan

Anda dapat menghubungkan sumber data Amazon Kendra Web Crawler ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Jika menyimpan URL benih atau peta situs dalam Amazon S3 bucket, Anda harus menambahkan izin ini ke peran tersebut.


,
{"Effect": "Allow",
     "Action": [
         "s3:GetObject"
      ],
      "Resource": [
         "arn:aws:s3:::bucket-name/*"
      ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Amazon WorkDocs, Anda memberikan peran dengan kebijakan berikut

Izin untuk memverifikasi ID direktori (ID organisasi) yang sesuai dengan repositori Amazon WorkDocs situs Anda.
Izin untuk mendapatkan nama domain Direktori Aktif Anda yang berisi direktori Amazon WorkDocs situs Anda.
Izin untuk memanggil API publik yang diperlukan untuk Amazon WorkDocs konektor.
Izin untuk memanggil BatchPutDocument dan BatchDeleteDocument API untuk memperbarui indeks.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
      "Effect": "Allow",
      "Action": "ds:DescribeDirectories",
      "Resource": "*"
    },
    {
      "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs",
      "Effect": "Allow",
      "Action": [
        "workdocs:GetDocumentPath",
        "workdocs:GetGroup",
        "workdocs:GetDocument",
        "workdocs:DownloadDocumentVersions",
        "workdocs:DescribeUsers",
        "workdocs:DescribeFolderContents",
        "workdocs:DescribeActivities",
        "workdocs:DescribeComments",
        "workdocs:GetFolder",
        "workdocs:DescribeResourcePermissions",
        "workdocs:GetFolderPath",
        "workdocs:DescribeInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "kendra.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowsKendraToCallBatchPutDeleteAPIs",
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:account-id:index/$index-id"
      ]
    }
  ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Box, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Slack Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Box.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Box ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Ketika Anda menggunakan server Confluence sebagai sumber data, Anda memberikan peran dengan kebijakan berikut:

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi kredensyal yang diperlukan untuk terhubung ke Confluence. Untuk informasi lebih lanjut tentang isi rahasia, lihat Sumber data pertemuan.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.

catatan

Anda dapat menghubungkan sumber data Confluence ke Amazon Kendra through. Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Jika Anda menggunakan VPC, berikan kebijakan yang memberikan Amazon Kendra akses ke sumber daya yang diperlukan. Lihat IAM peran untuk sumber data, VPC untuk kebijakan yang diperlukan.

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Untuk sumber data konektor Confluence v2.0, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi kredensi otentikasi untuk Confluence. Untuk informasi lebih lanjut tentang isi rahasia, lihat Sumber data pertemuan.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. AWS Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.

Anda juga harus melampirkan kebijakan kepercayaan yang memungkinkan Amazon Kendra untuk mengambil peran.

catatan

Anda dapat menghubungkan sumber data Confluence ke Amazon Kendra through. Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.

Kebijakan peran untuk memungkinkan terhubung Amazon Kendra ke Confluence.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:your-region:your-account-id:key/key-id"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "secretsmanager.your-region.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
      ]
    }
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
    }
  ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Dropbox, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Dropbox Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Dropbox.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Dropbox ke Amazon Kendra melalui Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
"Version": "2012-10-17",
  "Statement": [
  {"Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {"Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {"StringLike": {"kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {"Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {"Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Ketika Anda menggunakan Drupal, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengotentikasi Drupal Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Drupal.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Drupal ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan GitHub, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Anda GitHub.
Izin untuk memanggil API publik yang diperlukan untuk GitHub konektor.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber GitHub data ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Gmail, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Gmail Anda.
Izin untuk memanggil API publik yang diperlukan untuk Gmailconnector.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Gmail ke Amazon Kendra melalui Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
"Version": "2012-10-17",
  "Statement": [
  {"Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {"Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {"StringLike": {"kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {"Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {"Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan sumber data Google Workspace Drive, Anda Amazon Kendra memberikan peran yang memiliki izin yang diperlukan untuk menyambung ke situs. Ini termasuk:

Izin untuk mendapatkan dan mendekripsi AWS Secrets Manager rahasia yang berisi email akun klien, email akun admin, dan kunci pribadi yang diperlukan untuk terhubung ke situs Google Drive. Untuk informasi selengkapnya tentang isi rahasia, lihat sumber data Google Drive.
Izin untuk menggunakan BatchPutDocumentdan BatchDeleteDocumentAPI.

catatan

Anda dapat menghubungkan sumber data Google Drive ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.

IAM Kebijakan berikut memberikan izin yang diperlukan:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data IBM DB2, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi contoh sumber data IBM DB2 Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber data IBM DB2.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data IBM DB2 ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Jira, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengotentikasi Jira Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Jira.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Jira ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan sumber data Microsoft Exchange, Anda memberikan Amazon Kendra peran yang memiliki izin yang diperlukan untuk menghubungkan ke situs. Ini termasuk:

Izin untuk mendapatkan dan mendekripsi AWS Secrets Manager rahasia yang berisi ID aplikasi dan kunci rahasia yang diperlukan untuk terhubung ke situs Microsoft Exchange. Untuk informasi selengkapnya tentang isi rahasia, lihat sumber data Microsoft Exchange.
Izin untuk menggunakan BatchPutDocumentdan BatchDeleteDocumentAPI.

catatan

Anda dapat menghubungkan sumber data Microsoft Exchange ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.

IAM Kebijakan berikut memberikan izin yang diperlukan:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Jika Anda menyimpan daftar pengguna untuk diindeks dalam Amazon S3 bucket, Anda juga harus memberikan izin untuk menggunakan GetObject operasi S3. IAM Kebijakan berikut memberikan izin yang diperlukan:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan sumber OneDrive data Microsoft, Anda Amazon Kendra memberikan peran yang memiliki izin yang diperlukan untuk menghubungkan ke situs. Ini termasuk:

Izin untuk mendapatkan dan mendekripsi AWS Secrets Manager rahasia yang berisi ID aplikasi dan kunci rahasia yang diperlukan untuk terhubung ke situs. OneDrive Untuk informasi selengkapnya tentang isi rahasia, lihat Sumber OneDrive data Microsoft.
Izin untuk menggunakan BatchPutDocumentdan BatchDeleteDocumentAPI.

catatan

Anda dapat menghubungkan sumber OneDrive data Microsoft ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.

IAM Kebijakan berikut memberikan izin yang diperlukan:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Untuk sumber data SharePoint konektor Microsoft v1.0, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi nama pengguna dan kata sandi untuk SharePoint situs. Untuk informasi selengkapnya tentang isi rahasia, lihat Sumber SharePoint data Microsoft.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. AWS Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.
Izin untuk mengakses Amazon S3 bucket yang berisi sertifikat SSL yang digunakan untuk berkomunikasi dengan SharePoint situs.

Anda juga harus melampirkan kebijakan kepercayaan yang memungkinkan Amazon Kendra untuk mengambil peran.

catatan

Anda dapat menghubungkan sumber SharePoint data Microsoft ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": [
                "arn:aws:kendra:your-region:your-account-id:index/index-id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Jika Anda telah mengenkripsi Amazon S3 bucket yang berisi sertifikat SSL yang digunakan untuk berkomunikasi dengan SharePoint situs, berikan kebijakan untuk memberikan Amazon Kendra akses ke kunci tersebut.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Untuk sumber data SharePoint konektor Microsoft v2.0, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi kredensyal otentikasi untuk situs. SharePoint Untuk informasi selengkapnya tentang isi rahasia, lihat Sumber SharePoint data Microsoft.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. AWS Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.
Izin untuk mengakses Amazon S3 bucket yang berisi sertifikat SSL yang digunakan untuk berkomunikasi dengan SharePoint situs.

Anda juga harus melampirkan kebijakan kepercayaan yang memungkinkan Amazon Kendra untuk mengambil peran.

catatan

Anda dapat menghubungkan sumber SharePoint data Microsoft ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:your-region:your-account-id:key/key-id"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "secretsmanager.your-region.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
      ]
    },
    {
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/key-name"
      ],
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kendra:BatchPutDocument",
        "kendra:BatchDeleteDocument"
      ],
      "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids",
        "arn:aws:ec2:your-region:your-account-id:security-group/security-group"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:region:account_id:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
  ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:youraccount-id:key/key-id"
            ]
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan Microsoft SQL Server, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance Microsoft SQL Server Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Microsoft SQL Server.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Microsoft SQL Server ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan sumber data Microsoft Teams, Anda memberikan Amazon Kendra peran yang memiliki izin yang diperlukan untuk menghubungkan ke situs. Ini termasuk:

Izin untuk mendapatkan dan mendekripsi AWS Secrets Manager rahasia yang berisi ID klien dan rahasia klien yang diperlukan untuk terhubung ke Microsoft Teams. Untuk informasi selengkapnya tentang isi rahasia, lihat Sumber data Microsoft Teams.

catatan

Anda dapat menghubungkan sumber data Microsoft Teams ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.

IAM Kebijakan berikut memberikan izin yang diperlukan:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:client-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan sumber data Microsoft Yammer, Anda Amazon Kendra memberikan peran yang memiliki izin yang diperlukan untuk menghubungkan ke situs. Ini termasuk:

Izin untuk mendapatkan dan mendekripsi AWS Secrets Manager rahasia yang berisi ID aplikasi dan kunci rahasia yang diperlukan untuk terhubung ke situs Microsoft Yammer. Untuk informasi selengkapnya tentang isi rahasia, lihat Sumber data Microsoft Yammer.
Izin untuk menggunakan BatchPutDocumentdan BatchDeleteDocumentAPI.

catatan

Anda dapat menghubungkan sumber data Microsoft Yammer ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.

IAM Kebijakan berikut memberikan izin yang diperlukan:


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Action": [
      "s3:GetObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com",
          "s3.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data SQL Saya, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance sumber data SQL Saya.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber data SQL Saya.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data MySQL ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data Oracle, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance sumber data Oracle Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber data Oracle.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Oracle ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan konektor sumber data PostgreSQL, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi instance sumber data PostgreSQL Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor sumber data PostgreSQL.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data PostgreSQL ke through. Amazon Kendra Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.*.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Quip, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Quip Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Quip.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Quip ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Ketika Anda menggunakan Salesforce sebagai sumber data, Anda memberikan peran dengan kebijakan berikut:

Izin untuk mengakses AWS Secrets Manager rahasia yang berisi nama pengguna dan kata sandi untuk situs Salesforce. Untuk informasi selengkapnya tentang isi rahasia, lihat Sumber data Salesforce.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.

catatan

Anda dapat menghubungkan sumber data Salesforce ke Amazon Kendra through. Amazon VPC Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Bila Anda menggunakan ServiceNow sebagai sumber data, Anda memberikan peran dengan kebijakan berikut:

Izin untuk mengakses Secrets Manager rahasia yang berisi nama pengguna dan kata sandi untuk ServiceNow situs. Untuk informasi lebih lanjut tentang isi rahasia, lihat sumber ServiceNow data.
Izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi nama pengguna dan rahasia kata sandi yang disimpan oleh. Secrets Manager
Izin untuk menggunakan operasi BatchPutDocument dan BatchDeleteDocument untuk memperbarui indeks.

catatan

Anda dapat menghubungkan sumber ServiceNow data ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.your-region.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Slack, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Slack Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Slack.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Slack ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Saat Anda menggunakan Zendesk, Anda memberikan peran dengan kebijakan berikut.

Izin untuk mengakses AWS Secrets Manager rahasia Anda untuk mengautentikasi Zendesk Suite Anda.
Izin untuk memanggil API publik yang diperlukan untuk konektor Zendesk.
Izin untuk memanggil BatchPutDocumentBatchDeleteDocument,,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, dan ListGroupsOlderThanOrderingId API.

catatan

Anda dapat menghubungkan sumber data Zendesk ke Amazon Kendra through Amazon VPC. Jika Anda menggunakan Amazon VPC, Anda perlu menambahkan izin tambahan.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "secretsmanager:GetSecretValue"
    ],
    "Resource": [
      "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
    ],
    "Condition": {
      "StringLike": {
        "kms:ViaService": [
          "secretsmanager.{{your-region}}.amazonaws.com"
        ]
      }
    }
  },
  {
    "Effect": "Allow",
    "Action": [
        "kendra:PutPrincipalMapping",
        "kendra:DeletePrincipalMapping",
        "kendra:ListGroupsOlderThanOrderingId",
        "kendra:DescribePrincipalMapping"
    ],
    "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
  },
  {
    "Effect": "Allow",
    "Action": [
      "kendra:BatchPutDocument",
      "kendra:BatchDeleteDocument"
    ],
    "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Peran cloud pribadi virtual (VPC) IAM

Jika Anda menggunakan virtual private cloud (VPC) untuk terhubung ke sumber data Anda, Anda harus memberikan izin tambahan berikut.


{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
        "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM peran untuk pertanyaan yang sering diajukan (FAQ)

Saat menggunakan CreateFaqAPI untuk memuat pertanyaan dan jawaban ke dalam indeks, Anda harus menyediakan IAM peran Amazon Kendra dengan akses ke Amazon S3 bucket yang berisi file sumber. Jika file sumber dienkripsi, Anda harus memberikan izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi file.

Kebijakan peran yang diperlukan Amazon Kendra untuk memungkinkan mengakses Amazon S3 bucket.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan penggunaan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi file dalam bucket. Amazon S3


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.your-region.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM peran untuk saran kueri

Saat Anda menggunakan Amazon S3 file sebagai daftar blokir saran kueri, Anda menyediakan peran yang memiliki izin untuk mengakses Amazon S3 file dan Amazon S3 bucket. Jika file teks daftar blokir ( Amazon S3 file) di Amazon S3 bucket dienkripsi, Anda harus memberikan izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi dokumen.

Kebijakan peran yang diperlukan Amazon Kendra untuk mengizinkan penggunaan Amazon S3 file sebagai daftar blokir saran kueri Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan penggunaan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi dokumen dalam bucket. Amazon S3


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM peran untuk pemetaan utama pengguna dan grup

Saat Anda menggunakan PutPrincipalMappingAPI untuk memetakan pengguna ke grup mereka untuk memfilter hasil penelusuran berdasarkan konteks pengguna, Anda perlu memberikan daftar pengguna atau sub grup yang termasuk dalam grup. Jika daftar Anda lebih dari 1000 pengguna atau sub grup untuk grup, Anda harus menyediakan peran yang memiliki izin untuk mengakses Amazon S3 file daftar dan Amazon S3 bucket Anda. Jika file teks ( Amazon S3 file) dari daftar dalam Amazon S3 bucket dienkripsi, Anda harus memberikan izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi dokumen.

Kebijakan peran yang diperlukan Amazon Kendra untuk mengizinkan penggunaan Amazon S3 file sebagai daftar pengguna dan sub grup milik grup.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan penggunaan kunci master AWS KMS pelanggan (CMK) untuk mendekripsi dokumen dalam bucket. Amazon S3


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:your-region:your-account-id:key/key-id"
            ]
        }
    ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

IAM peran untuk AWS IAM Identity Center

Saat Anda menggunakan UserGroupResolutionConfigurationobjek untuk mengambil tingkat akses grup dan pengguna dari sumber AWS IAM Identity Center identitas, Anda perlu menyediakan peran yang memiliki izin untuk mengakses IAM Identity Center.

Kebijakan peran yang diperlukan untuk Amazon Kendra memungkinkan akses IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:SearchUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:DescribeGroups",
                "sso:ListDirectoryAssociations"
            ],
            "Resource": [
                 "*"
            ]
        },
        {
          "Sid": "iamPassRole",
          "Effect": "Allow",
          "Action": "iam:PassRole",
          "Resource": "*",
          "Condition": {
            "StringEquals": {
              "iam:PassedToService": [
                "kendra.amazonaws.com"
              ]
            }
          }
        }
     ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

IAM peran untuk Amazon Kendra pengalaman

Saat Anda menggunakan UpdateExperienceAPI CreateExperienceatau untuk membuat atau memperbarui aplikasi pencarian, Anda harus menyediakan peran yang memiliki izin untuk mengakses operasi yang diperlukan dan Pusat Identitas IAM.

Kebijakan peran yang diperlukan Amazon Kendra untuk memungkinkan mengakses Query operasi, operasi, QuerySuggestions SubmitFeedback operasi, dan Pusat Identitas IAM yang menyimpan informasi pengguna dan grup Anda.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowsKendraSearchAppToCallKendraApi",
      "Effect": "Allow",
      "Action": [
        "kendra:GetQuerySuggestions",
        "kendra:Query",
        "kendra:DescribeIndex",
        "kendra:ListFaqs",
        "kendra:DescribeDataSource",
        "kendra:ListDataSources",
        "kendra:DescribeFaq",
        "kendra:SubmitFeedback"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id"
      ]
    },
    {
      "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
      "Effect": "Allow",
      "Action": [
        "kendra:DescribeDataSource",
        "kendra:DescribeFaq"
      ],
      "Resource": [
        "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id",
        "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id"
      ]
    },
    {
      "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
      "Effect": "Allow",
      "Action": [
        "sso-directory:ListGroupsForUser",
        "sso-directory:SearchGroups",
        "sso-directory:SearchUsers",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUsers",
        "sso:ListDirectoryAssociations"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "kms:ViaService": [
            "kendra.your-region.amazonaws.com"
          ]
        }
      }
    }
  ]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

IAM peran untuk Pengayaan Dokumen Kustom

Saat Anda menggunakan CustomDocumentEnrichmentConfigurationobjek untuk menerapkan perubahan lanjutan dari metadata dan konten dokumen Anda, Anda harus menyediakan peran yang memiliki izin yang diperlukan untuk dijalankan dan/atau. PreExtractionHookConfiguration PostExtractionHookConfiguration Anda mengonfigurasi fungsi Lambda PostExtractionHookConfiguration untuk PreExtractionHookConfiguration dan/atau menerapkan perubahan lanjutan dari metadata dan konten dokumen Anda selama proses konsumsi. Jika Anda memilih untuk mengaktifkan Enkripsi Sisi Server untuk Amazon S3 bucket Anda, Anda harus memberikan izin untuk menggunakan kunci master AWS KMS pelanggan (CMK) untuk mengenkripsi dan mendekripsi objek yang disimpan di bucket Anda. Amazon S3

Kebijakan peran yang diperlukan Amazon Kendra untuk memungkinkan menjalankan PreExtractionHookConfiguration dan PostExtractionHookConfiguration dengan enkripsi untuk Amazon S3 bucket Anda.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Action": [
      "s3:ListBucket"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey"
    ],
    "Resource": [
      "arn:aws:kms:your-region:your-account-id:key/key-id"
    ]
  },
  {
    "Effect": "Allow",
    "Action": [
      "lambda:InvokeFunction"
    ],
    "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
  }]
}

Kebijakan peran opsional Amazon Kendra untuk memungkinkan menjalankan PreExtractionHookConfiguration dan PostExtractionHookConfiguration tanpa enkripsi untuk Amazon S3 bucket Anda.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name/*"
    ],
    "Effect": "Allow"
  },
  {
    "Action": [
      "s3:ListBucket"
    ],
    "Resource": [
      "arn:aws:s3:::bucket-name"
    ],
    "Effect": "Allow"
  },
  {
    "Effect": "Allow",
    "Action": [
      "lambda:InvokeFunction"
    ],
    "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
  }]
}

Kebijakan kepercayaan untuk memungkinkan Amazon Kendra untuk mengambil peran.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kendra.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "kendra.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your-account-id"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan AWS SDK

Penerapan Amazon Kendra