Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAM ruoli di accesso per Amazon Kendra
Quando si crea un indice, una fonte di dati o una FAQ, è Amazon Kendra necessario accedere alle AWS risorse necessarie per creare la Amazon Kendra risorsa. È necessario creare una politica AWS Identity and Access Management (IAM) prima di creare la Amazon Kendra risorsa. Quando chiami l'operazione, fornisci l'Amazon Resource Name (ARN) del ruolo con la policy allegata. Ad esempio, se stai chiamando l'BatchPutDocumentAPI per aggiungere documenti da un Amazon S3 bucket, fornisci un ruolo Amazon Kendra con una policy che ha accesso al bucket.
Puoi creare un nuovo IAM ruolo nella Amazon Kendra console o scegliere un ruolo IAM esistente da utilizzare. La console mostra i ruoli che hanno la stringa «kendra» o «Kendra» nel nome del ruolo.
I seguenti argomenti forniscono dettagli sulle politiche richieste. Se IAM crei ruoli utilizzando la Amazon Kendra console, queste politiche vengono create automaticamente.
Argomenti
- IAM ruoli per gli indici
- IAM ruoli per l' BatchPutDocumentAPI
- IAM ruoli per le fonti di dati
- Ruolo del cloud privato virtuale (VPC) IAM
- IAM ruoli per le domande frequenti (FAQ)
- IAM ruoli per i suggerimenti di interrogazione
- IAM ruoli per la mappatura principale di utenti e gruppi
- IAM ruoli per AWS IAM Identity Center
- IAM ruoli per Amazon Kendra le esperienze
- IAM ruoli per Custom Document Enrichment
IAM ruoli per gli indici
Quando si crea un indice, è necessario fornire a un IAM ruolo il permesso di scrivere a un. Amazon CloudWatch È inoltre necessario fornire una politica di fiducia che Amazon Kendra consenta di assumere il ruolo. Di seguito sono riportate le politiche che devono essere fornite.
Una politica di ruolo per consentire l'accesso Amazon Kendra a un CloudWatch registro.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" } ] }
Una politica di ruolo per consentire l' Amazon Kendra accesso AWS Secrets Manager. Se si utilizza il contesto utente con Secrets Manager come posizione chiave, è possibile utilizzare la seguente politica.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.your-region.amazonaws.com" ] } } } ] }
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per l' BatchPutDocumentAPI
avvertimento
Amazon Kendra non utilizza una policy bucket che concede le autorizzazioni a un Amazon Kendra principale per interagire con un bucket S3. Utilizza invece i ruoli. IAM Assicurati che Amazon Kendra non sia incluso come membro fidato nella tua bucket policy per evitare problemi di sicurezza dei dati derivanti dalla concessione accidentale di autorizzazioni a responsabili arbitrari. Tuttavia, puoi aggiungere una policy sui bucket per utilizzare un bucket su account diversi. Amazon S3 Per ulteriori informazioni, consulta Politiche da utilizzare Amazon S3 su più account. Per informazioni sui IAM ruoli per le fonti di dati S3, consulta IAM ruoli.
Quando utilizzi l'BatchPutDocumentAPI per indicizzare i documenti in un Amazon S3 bucket, devi fornire un IAM ruolo Amazon Kendra con accesso al bucket. È inoltre necessario fornire una politica di fiducia che Amazon Kendra consenta di assumere il ruolo. Se i documenti nel bucket sono crittografati, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
Una politica di ruolo richiesta per consentire l'accesso Amazon Kendra a un Amazon S3 bucket.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nella politica di IAM ruolo per l'azionests:AssumeRole. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del vice confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*" } } } ] }
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
IAM ruoli per le fonti di dati
Quando utilizzi l'CreateDataSourceAPI, devi assegnare a Amazon Kendra un IAM ruolo che disponga dell'autorizzazione ad accedere alle risorse. Le autorizzazioni specifiche richieste dipendono dall'origine dei dati.
Quando utilizzi Adobe Experience Manager, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Adobe Experience Manager.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Adobe Experience Manager.
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, e leListGroupsOlderThanOrderingIdAPI.
Nota
Puoi connettere un'origine dati di Adobe Experience Manager a Amazon Kendra through Amazon VPC. Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Alfresco, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Alfresco.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Alfresco.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati Alfresco a Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Aurora (MySQL), si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Aurora (MySQL).
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Aurora (MySQL).
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, e API.ListGroupsOlderThanOrderingId
Nota
È possibile connettere un' Aurora origine dati (MySQL) a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Aurora (PostgreSQL), si assegna un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Aurora (PostgreSQL).
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Aurora (PostgreSQL).
-
Autorizzazione a chiamare le
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMapping,DescribePrincipalMappinge API.ListGroupsOlderThanOrderingId
Nota
È possibile connettere un' Aurora origine dati (PostgreSQL) a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Amazon FSx, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il Amazon FSx file system.
-
Autorizzazione di accesso Amazon Virtual Private Cloud (VPC) dove risiede il Amazon FSx file system.
-
Autorizzazione a ottenere il nome di dominio di Active Directory per il Amazon FSx file system.
-
Autorizzazione a chiamare le API pubbliche richieste per il Amazon FSx connettore.
-
Autorizzazione a chiamare
BatchPutDocumente alleBatchDeleteDocumentAPI per aggiornare l'indice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un database come origine dati, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per connettersi a. Ciò include:
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene il nome utente e la password per il sito. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di dati.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice. -
Autorizzazione ad accedere al Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il sito.
Nota
È possibile connettere le sorgenti di dati del database a Through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Esistono due politiche opzionali che è possibile utilizzare con un'origine dati.
Se hai crittografato il Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con, fornisci una politica per consentire Amazon Kendra l'accesso alla chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Se utilizzi un VPC, fornisci una policy che dia Amazon Kendra accesso alle risorse richieste. Consulta IAM i ruoli per le fonti di dati, VPC per la policy richiesta.
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine dati Amazon RDS (Microsoft SQL Server), si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di origine dati Amazon RDS (Microsoft SQL Server).
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di origine dati Amazon RDS (Microsoft SQL Server).
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati Amazon RDS (Microsoft SQL Server) a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine dati Amazon RDS (MySQL), si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare la tua Amazon RDS istanza di origine dati (MySQL).
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di Amazon RDS origine dati (MySQL).
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, e le API.ListGroupsOlderThanOrderingId
Nota
È possibile connettere un' Amazon RDS origine dati (MySQL) a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine dati Amazon RDS Oracle, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza dell'origine dati Amazon RDS (Oracle).
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di origine dati Amazon RDS (Oracle).
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati Amazon RDS Amazon Kendra Oracle Amazon VPC a. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un connettore di origine dati Amazon RDS (PostgreSQL), fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di Amazon RDS origine dati (PostgreSQL).
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di Amazon RDS origine dati (PostgreSQL).
-
Autorizzazione a chiamare le
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMapping,DescribePrincipalMappinge le API.ListGroupsOlderThanOrderingId
Nota
È possibile connettere un' Amazon RDS origine dati (PostgreSQL) a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
avvertimento
Amazon Kendra non utilizza una policy bucket che concede le autorizzazioni a un Amazon Kendra principale per interagire con un bucket S3. Utilizza invece i ruoli. IAM Assicurati che Amazon Kendra non sia incluso come membro fidato nella tua bucket policy per evitare problemi di sicurezza dei dati derivanti dalla concessione accidentale di autorizzazioni a responsabili arbitrari. Tuttavia, puoi aggiungere una policy sui bucket per utilizzare un bucket su account diversi. Amazon S3 Per ulteriori informazioni, consulta Politiche da utilizzare Amazon S3 su più account (scorri verso il basso).
Quando si utilizza un Amazon S3 bucket come fonte di dati, si fornisce un ruolo autorizzato ad accedere al bucket e a utilizzare le operazioni BatchPutDocument andBatchDeleteDocument. Se i documenti nel Amazon S3
bucket sono crittografati, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
Le seguenti politiche relative ai ruoli devono consentire l'assunzione di un ruolo Amazon Kendra . Scorri più in basso per visualizzare una politica di fiducia per assumere un ruolo.
Una politica di ruolo obbligatoria Amazon Kendra per consentire l'utilizzo di un Amazon S3 bucket come fonte di dati.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] } ] }
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di ruolo opzionale per consentire l'accesso Amazon Kendra a un Amazon S3 bucket, utilizzando un e senza attivare o condividere Amazon VPC le autorizzazioni. AWS KMS AWS KMS
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una politica di ruolo opzionale per consentire l'accesso Amazon Kendra a un Amazon S3 bucket mentre si utilizza un e con le autorizzazioni Amazon VPC attivate. AWS KMS
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Politiche da utilizzare Amazon S3 su più account
Se il Amazon S3 bucket si trova in un account diverso da quello utilizzato per l' Amazon Kendra indice, puoi creare politiche per utilizzarlo su più account.
Una politica di ruolo per utilizzare il Amazon S3 bucket come fonte di dati quando il bucket si trova in un account diverso da quello dell'indice. Amazon Kendra Nota che s3:PutObjectAcl i s3:PutObject e sono facoltativi e li usi se desideri includere un file di configurazione per la tua lista di controllo degli accessi.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$your-region:$your-account-id:index/$index-id" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$bucket-in-other-account/*" } ] }
Una policy relativa ai bucket per consentire al ruolo della fonte di Amazon S3 dati di accedere al Amazon S3 bucket su più account. Tieni presente che s3:PutObjectAcl i s3:PutObject e sono facoltativi e li usi se desideri includere un file di configurazione per la tua lista di controllo degli accessi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$bucket-in-other-account" } ] }
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Amazon Kendra Web Crawler, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene le credenziali per connettersi ai siti Web o a un server proxy Web supportato dall'autenticazione di base. Per ulteriori informazioni sul contenuto del segreto, consulta Utilizzo di un'origine dati del web crawler.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice. -
Se utilizzi un Amazon S3 bucket per archiviare l'elenco di URL iniziali o sitemap, includi l'autorizzazione ad accedere al bucket. Amazon S3
Nota
Puoi connettere un'origine dati del Amazon Kendra Web Crawler a. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se memorizzi gli URL iniziali o le sitemap in un Amazon S3 bucket, devi aggiungere questa autorizzazione al ruolo.
, {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] }
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Amazon WorkDocs, si fornisce un ruolo con le seguenti politiche
-
Autorizzazione a verificare l'ID della directory (ID dell'organizzazione) che corrisponde all'archivio Amazon WorkDocs del sito.
-
Autorizzazione a ottenere il nome di dominio di Active Directory che contiene la directory Amazon WorkDocs del sito.
-
Autorizzazione a chiamare le API pubbliche richieste per il Amazon WorkDocs connettore.
-
Autorizzazione a chiamare
BatchPutDocumente alleBatchDeleteDocumentAPI per aggiornare l'indice.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:account-id:index/$index-id" ] } ] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Box, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Slack.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Box.
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
Puoi connettere un'origine dati Box a Amazon Kendra . Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un server Confluence come origine dati, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene le credenziali necessarie per connettersi a Confluence. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati Confluence.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice.
Nota
Puoi connettere un'origine dati Confluence a Amazon Kendra through. Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se utilizzi un VPC, fornisci una policy che dia Amazon Kendra accesso alle risorse richieste. Consulta IAM i ruoli per le fonti di dati, VPC per la policy richiesta.
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Per un'origine dati Confluence Connector v2.0, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene le credenziali di autenticazione per Confluence. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati Confluence.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. AWS Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice.
È inoltre necessario allegare una politica di fiducia che Amazon Kendra consenta di assumere il ruolo.
Nota
Puoi connettere un'origine dati Confluence a Amazon Kendra through. Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni aggiuntive.
Una politica di ruolo per consentire la connessione Amazon Kendra a Confluence.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" } ] }
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Dropbox, fornisci un ruolo con le seguenti norme.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Dropbox.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Dropbox.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdle API.
Nota
Puoi connettere una fonte di dati Dropbox a Amazon Kendra . Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere ulteriori autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Drupal, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Drupal.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Drupal.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, e API.ListGroupsOlderThanOrderingId
Nota
Puoi connettere una fonte di dati Drupal a tramite. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza GitHub, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo GitHub.
-
Autorizzazione a chiamare le API pubbliche richieste per il GitHub connettore.
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine GitHub dati a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Gmail, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Gmail.
-
Autorizzazione a chiamare le API pubbliche richieste per Gmailconnector.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, e API.ListGroupsOlderThanOrderingId
Nota
Puoi connettere un'origine dati Gmail a Amazon Kendra . Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un'origine dati Google Workspace Drive, fornisci un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il codice AWS Secrets Manager segreto contenente l'e-mail dell'account cliente, l'e-mail dell'account amministratore e la chiave privata necessari per connettersi al sito di Google Drive. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati di Google Drive.
-
Autorizzazione all'uso delle BatchDeleteDocumentAPI BatchPutDocumente.
Nota
Puoi connettere una fonte di dati di Google Drive a Amazon Kendra tramite Amazon VPC. Se utilizzi un Amazon VPC, devi aggiungere ulteriori autorizzazioni.
La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un connettore di origine dati IBM DB2, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di origine dati IBM DB2.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di origine dati IBM DB2.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, e API.ListGroupsOlderThanOrderingId
Nota
È possibile connettere un'origine dati IBM DB2 a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Jira, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Jira.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Jira.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
Puoi connettere un'origine dati Jira a Amazon Kendra . Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un'origine dati di Microsoft Exchange, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito di Microsoft Exchange. Per ulteriori informazioni sul contenuto del segreto, vedere Origini dati di Microsoft Exchange.
-
Autorizzazione all'uso delle BatchDeleteDocumentAPI BatchPutDocumente.
Nota
È possibile connettere un'origine dati Microsoft Exchange a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere ulteriori autorizzazioni.
La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se stai archiviando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione GetObject S3. La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un'origine OneDrive dati Microsoft, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito. OneDrive Per ulteriori informazioni sul contenuto del segreto, vedi Origini OneDrive dati Microsoft.
-
Autorizzazione all'uso delle BatchDeleteDocumentAPI BatchPutDocumente.
Nota
È possibile connettere un'origine OneDrive dati Microsoft a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se stai archiviando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione GetObject S3. La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Per un'origine dati Microsoft SharePoint Connector v1.0, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene il nome utente e la password per il SharePoint sito. Per ulteriori informazioni sul contenuto del segreto, vedi Origini SharePoint dati Microsoft.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. AWS Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice. -
Autorizzazione ad accedere al Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito.
È inoltre necessario allegare una politica di fiducia che Amazon Kendra consenta di assumere il ruolo.
Nota
È possibile connettere un'origine SharePoint dati Microsoft a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Se hai crittografato il Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito, fornisci una politica per consentire Amazon Kendra l'accesso alla chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Per un'origine dati Microsoft SharePoint Connector v2.0, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene le credenziali di autenticazione per il SharePoint sito. Per ulteriori informazioni sul contenuto del segreto, vedi Origini SharePoint dati Microsoft.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. AWS Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice. -
Autorizzazione ad accedere al Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito.
È inoltre necessario allegare una politica di fiducia che Amazon Kendra consenta di assumere il ruolo.
Nota
È possibile connettere un'origine SharePoint dati Microsoft a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/key-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids", "arn:aws:ec2:your-region:your-account-id:security-group/security-group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }
Se hai crittografato il Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito, fornisci una politica per consentire Amazon Kendra l'accesso alla chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:youraccount-id:key/key-id" ] } ] }
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Microsoft SQL Server, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di Microsoft SQL Server.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Microsoft SQL Server.
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati Microsoft SQL Server a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un'origine dati Microsoft Teams, fornisci un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID client e il segreto del client necessari per connettersi a Microsoft Teams. Per ulteriori informazioni sul contenuto del segreto, consulta Origini dati di Microsoft Teams.
Nota
Puoi connettere un'origine dati Microsoft Teams a Amazon Kendra Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:client-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un'origine dati Microsoft Yammer, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito Microsoft Yammer. Per ulteriori informazioni sul contenuto del segreto, vedere Origini dati di Microsoft Yammer.
-
Autorizzazione all'uso delle API BatchPutDocumente BatchDeleteDocument.
Nota
È possibile connettere un'origine dati Microsoft Yammer a Amazon Kendra through. Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se stai archiviando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione GetObject S3. La seguente IAM politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine dati My SQL, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di origine dati My SQL.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di origine dati My SQL.
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati MySQL a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine dati Oracle, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza dell'origine dati Oracle.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di origine dati Oracle.
-
Autorizzazione a chiamare le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati Amazon Kendra Oracle Amazon VPC a. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un connettore di origine dati PostgreSQL, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di origine dati PostgreSQL.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore di origine dati PostgreSQL.
-
Autorizzazione a chiamare le
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMapping,DescribePrincipalMappinge API.ListGroupsOlderThanOrderingId
Nota
È possibile connettere un'origine dati PostgreSQL a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Quip, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Quip.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Quip.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
Puoi connettere una fonte di dati Quip a Amazon Kendra . Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Salesforce come fonte di dati, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere al AWS Secrets Manager segreto che contiene il nome utente e la password per il sito Salesforce. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di dati di Salesforce.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice.
Nota
È possibile connettere un'origine dati Salesforce a Amazon Kendra through. Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un ServiceNow come fonte di dati, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere al Secrets Manager segreto che contiene il nome utente e la password per il ServiceNow sito. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di ServiceNow dati.
-
Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni di aggiornamento dell'indice.
Nota
È possibile connettere un'origine ServiceNow dati a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Slack, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Slack.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Slack.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
Puoi connettere una fonte di dati Slack a Amazon Kendra . Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Zendesk, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare la tua Zendesk Suite.
-
Autorizzazione a chiamare le API pubbliche richieste per il connettore Zendesk.
-
Autorizzazione a chiamare le
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPI.
Nota
È possibile connettere un'origine dati Zendesk a Amazon Kendra . Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Ruolo del cloud privato virtuale (VPC) IAM
Se utilizzi un cloud privato virtuale (VPC) per connetterti alla tua origine dati, devi fornire le seguenti autorizzazioni aggiuntive.
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per le domande frequenti (FAQ)
Quando utilizzi l'CreateFaqAPI per caricare domande e risposte in un indice, devi fornire un IAM ruolo Amazon Kendra con accesso al Amazon S3 bucket che contiene i file sorgente. Se i file di origine sono crittografati, è necessario fornire l'autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare i file.
Una politica di ruolo obbligatoria per consentire l'accesso Amazon Kendra a un Amazon S3 bucket.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i file in un bucket. Amazon S3
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per i suggerimenti di interrogazione
Quando si utilizza un Amazon S3 file come elenco di blocchi di suggerimenti per le interrogazioni, si fornisce un ruolo autorizzato ad accedere al Amazon S3 file e al Amazon S3 bucket. Se il file di testo della lista di blocco (il Amazon S3 file) nel Amazon S3 bucket è crittografato, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
Una politica di ruolo obbligatoria che consente di Amazon Kendra utilizzare il Amazon S3 file come elenco di blocchi per i suggerimenti di interrogazione.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per la mappatura principale di utenti e gruppi
Quando utilizzi l'PutPrincipalMappingAPI per mappare gli utenti ai rispettivi gruppi per filtrare i risultati della ricerca in base al contesto dell'utente, devi fornire un elenco di utenti o sottogruppi che appartengono a un gruppo. Se l'elenco include più di 1000 utenti o sottogruppi per gruppo, devi fornire un ruolo con l'autorizzazione ad accedere al Amazon S3 file dell'elenco e al bucket. Amazon S3 Se il file di testo (il Amazon S3 file) dell'elenco nel Amazon S3 bucket è crittografato, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
Una politica di ruolo obbligatoria Amazon Kendra per consentire l'utilizzo del Amazon S3 file come elenco di utenti e sottogruppi che appartengono a un gruppo.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nella politica di IAM ruolo per l'azionests:AssumeRole. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del vice confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
IAM ruoli per AWS IAM Identity Center
Quando si utilizza l'UserGroupResolutionConfigurationoggetto per recuperare i livelli di accesso di gruppi e utenti da una fonte di AWS IAM Identity Center identità, è necessario fornire un ruolo con autorizzazione di accesso IAM Identity Center.
Una politica di ruolo obbligatoria per consentire l' Amazon Kendra accesso IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per Amazon Kendra le esperienze
Quando utilizzi le CreateExperienceo UpdateExperienceAPI per creare o aggiornare un'applicazione di ricerca, devi fornire un ruolo con l'autorizzazione ad accedere alle operazioni necessarie e a IAM Identity Center.
Una politica di ruolo obbligatoria per consentire l'accesso Amazon Kendra a Query operazioni, QuerySuggestions SubmitFeedback operazioni e a IAM Identity Center che archivia le informazioni su utenti e gruppi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nella politica di IAM ruolo per l'azionests:AssumeRole. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del vice confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
IAM ruoli per Custom Document Enrichment
Quando si utilizza l'CustomDocumentEnrichmentConfigurationoggetto per applicare modifiche avanzate ai metadati e al contenuto del documento, è necessario fornire un ruolo con le autorizzazioni necessarie per l'esecuzione e/o. PreExtractionHookConfiguration PostExtractionHookConfiguration È possibile configurare una funzione Lambda per PreExtractionHookConfiguration e/o applicare modifiche avanzate PostExtractionHookConfiguration ai metadati e ai contenuti del documento durante il processo di inserimento. Se scegli di attivare Server Side Encryption per il tuo Amazon S3 bucket, devi fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per crittografare e decrittografare gli oggetti memorizzati nel bucket. Amazon S3
Una politica dei ruoli obbligatoria Amazon Kendra per consentire l'esecuzione PreExtractionHookConfiguration e PostExtractionHookConfiguration con crittografia per il Amazon S3
bucket.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }
Una politica di ruolo opzionale per Amazon Kendra consentirne l'esecuzione PreExtractionHookConfiguration e PostExtractionHookConfiguration senza crittografia per il Amazon S3 bucket.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nella politica di IAM ruolo per l'azionests:AssumeRole. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del vice confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
