Prerequisiti - Amazon Kendra
Iscriviti per un Account AWSCrea un utente con accesso amministrativoAmazon Kendra risorse: AWS CLI SDK, console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

I passaggi seguenti sono i prerequisiti per gli esercizi iniziali. I passaggi mostrano come configurare il tuo account, creare un IAM ruolo che Amazon Kendra autorizzi a effettuare chiamate per tuo conto e indicizzare i documenti da un Amazon S3 bucket. Un bucket S3 viene utilizzato come esempio, ma puoi utilizzare altre fonti di dati che lo supportano. Amazon Kendra Vedi Fonti di dati.

Iscriviti per un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i AWS servizi nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. È possibile visualizzare l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://aws.amazon.com/ e selezionando Il mio account.

Crea un utente con accesso amministrativo

Dopo la registrazione Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

  1. Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .

  2. Attiva l'autenticazione a più fattori (MFA) per il tuo utente root.

    Per istruzioni, consulta Abilitare un MFA dispositivo virtuale per l'utente Account AWS root (console) nella Guida per l'IAMutente.

Crea un utente con accesso amministrativo

  1. Abilita IAM Identity Center.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .

  2. In IAM Identity Center, concedi l'accesso amministrativo a un utente.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con i valori predefiniti IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

  • Per accedere con l'utente dell'IAMIdentity Center, utilizza l'accesso URL che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per informazioni sull'accesso con un utente di IAM Identity Center, consulta Accesso al portale di AWS accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

  1. In IAM Identity Center, crea un set di autorizzazioni che segua la migliore pratica di applicazione delle autorizzazioni con privilegi minimi.

    Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .

  2. Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

    Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

  • Se utilizzi un bucket S3 contenente documenti da testare Amazon Kendra, crea un bucket S3 nella stessa regione che stai utilizzando. Amazon Kendra Per istruzioni, consulta Creazione e configurazione di un bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.

    Carica i tuoi documenti nel tuo bucket S3. Per istruzioni, consulta Caricamento, download e gestione di oggetti nella Guida per l'utente di Amazon Simple Storage Service.

    Se utilizzi un'altra fonte di dati, devi disporre di un sito attivo e delle credenziali per connetterti all'origine dati.

Se utilizzi la console per iniziare, inizia conGuida introduttiva alla Amazon Kendra console.

Amazon Kendra risorse: AWS CLI SDK, console

Sono necessarie alcune autorizzazioni se si utilizza CLISDK, o la console.

Per Amazon Kendra utilizzarla per la console CLISDK, o devi disporre delle autorizzazioni necessarie per Amazon Kendra creare e gestire risorse per tuo conto. A seconda del caso d'uso, queste autorizzazioni includono l'accesso ai dati Amazon Kendra API stessi, AWS KMS keys se desideri crittografare i dati tramite una directory personalizzata CMK di Identity Center se desideri integrare AWS IAM Identity Center o creare un'esperienza di ricerca. Per un elenco completo delle autorizzazioni per diversi casi d'uso, consulta i ruoli.IAM

Innanzitutto, devi assegnare le seguenti autorizzazioni al tuo utenteIAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

In secondo luogo, se si utilizza l'CLIopzione oSDK, è necessario creare anche un IAM ruolo e una politica di accesso Amazon CloudWatch Logs. Se si utilizza la console, non è necessario creare un IAM ruolo e una politica a tale scopo. Lo crei come parte della procedura della console.

Per creare un IAM ruolo e una politica per il AWS CLI e SDK che consentano di accedere Amazon Kendra ai tuoi Amazon CloudWatch Logs.

  1. Accedi a AWS Management Console e apri la IAM console su https://console.aws.amazon.com/iam/.

  2. Dal menu a sinistra, scegli Politiche, quindi scegli Crea politica.

  3. Scegli JSONe sostituisci la politica predefinita con la seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. Scegli Verifica policy.

  5. Assegna un nome "KendraPolicyForGettingStartedIndex" alla politica, quindi scegli Crea politica.

  6. Dal menu a sinistra, scegli Ruoli, quindi scegli Crea ruolo.

  7. Scegli Un altro AWS account, quindi digita l'ID del tuo account in ID account. Scegli Successivo: autorizzazioni.

  8. Scegli la politica che hai creato sopra, quindi scegli Avanti: Tag

  9. Non aggiungere alcun tag. Scegli Prossimo: Rivedi.

  10. Assegna un nome al ruolo "KendraRoleForGettingStartedIndex" e quindi scegli Crea ruolo.

  11. Trova il ruolo che hai appena creato. Scegli il nome del ruolo per aprire il riepilogo. Scegli Relazioni di fiducia, quindi scegli Modifica relazione di fiducia.

  12. Sostituisci la relazione di fiducia esistente con la seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Scegliere Update trust Policy (Aggiorna policy di attendibilità).

In terzo luogo, se utilizzi an Amazon S3 per archiviare i tuoi documenti o utilizzi S3 per eseguire dei test Amazon Kendra, devi anche creare un IAM ruolo e una policy per accedere al tuo bucket. Se utilizzi un'altra fonte di dati, consulta i IAM ruoli per le fonti di dati.

Per creare un IAM ruolo e una politica che consentano di Amazon Kendra accedere e indicizzare il tuo Amazon S3 bucket.

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Dal menu a sinistra, scegli Politiche, quindi scegli Crea politica.

  3. Scegli JSONe sostituisci la politica predefinita con la seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:region:account ID:index/*"
        }
    ]
}

  4. Scegli Verifica policy.

  5. Assegna un nome alla politica KendraPolicyForGettingStartedDataSource "" e quindi scegli Crea politica.

  6. Dal menu a sinistra, scegli Ruoli, quindi scegli Crea ruolo.

  7. Scegli Un altro AWS account, quindi digita l'ID del tuo account in ID account. Scegli Successivo: autorizzazioni.

  8. Scegli la politica che hai creato sopra, quindi scegli Avanti: Tag

  9. Non aggiungere alcun tag. Scegli Prossimo: Rivedi.

  10. Assegna un nome al ruolo KendraRoleForGettingStartedDataSource "", quindi scegli Crea ruolo.

  11. Trova il ruolo che hai appena creato. Scegli il nome del ruolo per aprire il riepilogo. Scegli Relazioni di fiducia, quindi scegli Modifica relazione di fiducia.

  12. Sostituisci la relazione di fiducia esistente con la seguente:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Scegliere Update trust Policy (Aggiorna policy di attendibilità).

A seconda di come si desidera utilizzare il Amazon Kendra API, effettuare una delle seguenti operazioni.