Prerequisiti - Amazon Kendra
Iscriviti a un Account AWSCrea un utente con accesso amministrativoAmazon Kendra risorse: AWS CLI, SDK, console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

I passaggi seguenti sono i prerequisiti per gli esercizi iniziali. I passaggi mostrano come configurare il tuo account, creare un IAM ruolo che Amazon Kendra autorizzi a effettuare chiamate per tuo conto e indicizzare i documenti da un Amazon S3 bucket. Un bucket S3 viene utilizzato come esempio, ma puoi utilizzare altre fonti di dati che lo supportano. Amazon Kendra Vedi Fonti di dati.

Iscriviti a un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

  1. Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .

  2. Abilita l'autenticazione a più fattori (MFA) per l'utente root.

    Per istruzioni, consulta Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console) nella Guida per l'utente IAM.

Crea un utente con accesso amministrativo

  1. Abilita Centro identità IAM.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .

  2. In IAM Identity Center, assegna l'accesso amministrativo a un utente.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

  • Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta AWS Accedere al portale di accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

  1. In IAM Identity Center, crea un set di autorizzazioni conforme alla best practice dell'applicazione di autorizzazioni con il privilegio minimo.

    Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  2. Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

    Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

  • Se utilizzi un bucket S3 contenente documenti da testare Amazon Kendra, crea un bucket S3 nella stessa regione che stai utilizzando. Amazon Kendra Per istruzioni, consulta Creazione e configurazione di un bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.

    Carica i tuoi documenti nel tuo bucket S3. Per istruzioni, consulta Caricamento, download e gestione di oggetti nella Guida per l'utente di Amazon Simple Storage Service.

    Se utilizzi un'altra fonte di dati, devi disporre di un sito attivo e delle credenziali per connetterti all'origine dati.

Se utilizzi la console per iniziare, inizia conGuida introduttiva alla Amazon Kendra console.

Amazon Kendra risorse: AWS CLI, SDK, console

Sono necessarie alcune autorizzazioni se utilizzi CLI, SDK o la console.

Per utilizzarlo Amazon Kendra per la CLI, l'SDK o la console, devi disporre delle autorizzazioni necessarie per creare e gestire risorse Amazon Kendra per tuo conto. A seconda del caso d'uso, queste autorizzazioni includono l'accesso all' Amazon Kendra API stessa, AWS KMS keys se desideri crittografare i dati tramite una directory CMK personalizzata, Identity Center se desideri integrare o creare un'esperienza di AWS IAM Identity Center ricerca. Per un elenco completo delle autorizzazioni per diversi casi d'uso, consulta i ruoli.IAM

Innanzitutto, devi assegnare le seguenti autorizzazioni al tuo utente IAM.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

In secondo luogo, se utilizzi la CLI o l'SDK, devi anche creare un IAM ruolo e una policy per l'accesso. Amazon CloudWatch Logs Se si utilizza la console, non è necessario creare un IAM ruolo e una politica a tale scopo. Lo crei come parte della procedura della console.

Per creare un IAM ruolo e una politica per l' AWS CLI SDK che consentano di accedere Amazon KendraAmazon CloudWatch Logs a.

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Dal menu a sinistra, scegli Policies, quindi scegli Crea policy.

  3. Scegli JSON, quindi sostituisci la politica predefinita con la seguente:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. Scegli Verifica policy.

  5. Assegna un nome alla politica "KendraPolicyForGettingStartedIndex" e quindi scegli Crea politica.

  6. Dal menu a sinistra, scegli Ruoli, quindi scegli Crea ruolo.

  7. Scegli Un altro AWS account, quindi digita l'ID del tuo account in ID account. Scegli Successivo: autorizzazioni.

  8. Scegli la politica che hai creato sopra, quindi scegli Avanti: Tag

  9. Non aggiungere alcun tag. Scegli Prossimo: Rivedi.

  10. Assegna un nome al ruolo "KendraRoleForGettingStartedIndex" e quindi scegli Crea ruolo.

  11. Trova il ruolo che hai appena creato. Scegli il nome del ruolo per aprire il riepilogo. Scegli Relazioni di fiducia, quindi scegli Modifica relazione di fiducia.

  12. Sostituisci la relazione di fiducia esistente con la seguente:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Scegliere Update trust Policy (Aggiorna policy di attendibilità).

In terzo luogo, se utilizzi an Amazon S3 per archiviare i tuoi documenti o utilizzi S3 per eseguire dei test Amazon Kendra, devi anche creare un IAM ruolo e una policy per accedere al tuo bucket. Se utilizzi un'altra fonte di dati, consulta i IAM ruoli per le fonti di dati.

Per creare un IAM ruolo e una politica che consentano di Amazon Kendra accedere e indicizzare il tuo Amazon S3 bucket.

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Dal menu a sinistra, scegli Policies, quindi scegli Crea policy.

  3. Scegli JSON, quindi sostituisci la politica predefinita con la seguente:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:us-east-1:123456789012:index/*"
        }
    ]
}

  4. Scegli Verifica policy.

  5. Assegna un nome alla politica KendraPolicyForGettingStartedDataSource "" e quindi scegli Crea politica.

  6. Dal menu a sinistra, scegli Ruoli, quindi scegli Crea ruolo.

  7. Scegli Un altro AWS account, quindi digita l'ID del tuo account in ID account. Scegli Successivo: autorizzazioni.

  8. Scegli la politica che hai creato sopra, quindi scegli Avanti: Tag

  9. Non aggiungere alcun tag. Scegli Prossimo: Rivedi.

  10. Assegna un nome al ruolo KendraRoleForGettingStartedDataSource "", quindi scegli Crea ruolo.

  11. Trova il ruolo che hai appena creato. Scegli il nome del ruolo per aprire il riepilogo. Scegli Relazioni di fiducia, quindi scegli Modifica relazione di fiducia.

  12. Sostituisci la relazione di fiducia esistente con la seguente:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Scegliere Update trust Policy (Aggiorna policy di attendibilità).

A seconda di come desideri utilizzare l' Amazon Kendra API, esegui una delle seguenti operazioni.