Amazon Kendra の IAM アクセスロール - Amazon Kendra

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Kendra の IAM アクセスロール

インデックス、データソース、またはよくある質問を作成する場合、Amazon Kendra では AWS リソースの作成に必要な Amazon Kendra リソースへのアクセス許可が必要です。Amazon Kendra リソースを作成する前に、AWS Identity and Access Management (IAM) ポリシーを作成する必要があります。オペレーションを呼び出すときに、ポリシーをアタッチしたロールの Amazon リソースネーム (ARN) を指定します。例えば、 BatchPutDocument API を呼び出して Amazon S3バケットからドキュメントを追加する場合は、バケットにアクセスできるポリシーを持つAmazon Kendraロールを に提供します。

Amazon Kendra コンソールで新しい IAM ロールを作成するか、使用する IAM の既存のロールを選択できます。コンソールには、ロール名に「kendra」か、「Kendra」という文字列を含むロールが表示されます。

次のトピックでは、必要なポリシーの詳細について説明します。Amazon Kendra コンソールを使用して IAM ロールを作成すると、これらのポリシーが作成されます。

インデックスのための IAM ロール

インデックスを作成するときは、Amazon CloudWatch への書き込み許可を持つ IAM ロールを提供する必要があります。Amazon Kendra がロールを引き受けることを許可する信頼ポリシーを提供する必要があります。次のポリシーを提供する必要があります。

Amazon Kendra に CloudWatch ログへのアクセスを許可するロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" } ] }

Amazon Kendra が AWS Secrets Manager へのアクセスを許可するロールポリシー。キーの場所として Secrets Manager とのユーザーコンテキストを使用している場合は、次のポリシーを使用できます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.your-region.amazonaws.com" ] } } } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAM API の BatchPutDocumentロール

警告

Amazon Kendra では、Amazon Kendra プリンシパルによる S3 バケットの操作を許可するバケットポリシーを使用しません。代わりに IAM ロールを使用します。誤って任意のプリンシパルに許可を付与することによるデータセキュリティ上の問題を避けるため、Amazon Kendra が信頼できるメンバーとしてバケットポリシーに含まれていないことを確認してください。ただしバケットポリシーを追加すれば、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「複数のアカウント間で Amazon S3 を使用するポリシー」を参照してください。S3 データソースの IAM ロールについては、「IAM ロール」を参照してください。

BatchPutDocument API を使用して Amazon S3バケット内のドキュメントのインデックスを作成する場合は、 Amazon KendraIAMロールに バケットへのアクセスを提供する必要があります。Amazon Kendra がロールを引き受けることを許可する信頼ポリシーを提供する必要があります。バケット内のドキュメントが暗号化されている場合は、ドキュメントを復号する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。

Amazon Kendra に Amazon S3 バケットへのアクセスを許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccountaws:sourceArnsts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*" } } } ] }

Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

データソースのための IAM ロール

CreateDataSource API を使用する場合は、リソースへのアクセス許可を持つ Amazon Kendra IAMロールを付与する必要があります。必要な固有のアクセス許可は、データソースによって異なります。

Adobe Experience Manager を使用する場合、以下のようなポリシーでロールを提供します。

  • Adobe Experience Manager で認証するための AWS Secrets Manager シークレットへのアクセス許可。

  • Adobe Experience Manager コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Adobe Experience Manager データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Alfresco を使用する場合、以下のようなポリシーでロールを提供します。

  • Alfresco で認証するための AWS Secrets Manager シークレットへのアクセス許可

  • Alfresco コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Alfresco データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Aurora (MySQL) を使用する場合、以下のようなポリシーでロールを提供します。

  • Aurora (MySQL) で認証するための AWS Secrets Manager シークレットへのアクセス許可。

  • Aurora (MySQL) コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Aurora (MySQL ) データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Aurora (PostgreSQL) を使用する場合、以下のようなポリシーでロールを提供します。

  • Aurora (PostgreSQL) で認証するための AWS Secrets Manager シークレットへのアクセス許可。

  • Aurora (PostgreSQL) コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Aurora (PostgreSQL ) データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon FSx を使用する場合、以下のようなポリシーでロールを提供します。

  • Amazon FSx で認証するための AWS Secrets Manager シークレットへのアクセス許可。

  • Amazon FSx がある地域の Amazon Virtual Private Cloud (VPC) へのアクセス許可 。

  • Amazon FSxWindows ファイルシステムの Active Directory のドメイン名の取得許可。

  • Amazon FSx コネクタに必要なパブリック API アクションの呼び出し許可。

  • インデックスを更新する BatchPutDocument および BatchDeleteDocument API の呼び出し許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

データベースをデータソースとして使用する場合は、データベースへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。

  • このサイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「データソース」を参照してください。

  • Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • このサイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。

注記

データベースデータソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

データソースで使用できるポリシーには 2 つのオプションがあります。

このサイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、Amazon Kendra がキーにアクセスできる許可を付与するポリシーを提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

VPC を使用している場合は、必要なリソースに Amazon Kendra がアクセスできる許可を付与するポリシーを提供します。必要なポリシーについては「データソースおよび VPC の IAM ロール」を参照してください。

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon RDS (Microsoft SQL Server) のデータソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Manager シークレットにアクセスして Amazon RDS (Microsoft SQL Server) データソースインスタンスを認証するための許可。

  • Amazon RDS (Microsoft SQL Server) のデータソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Amazon RDS (Microsoft SQL Server) データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon RDS (MySQL) のデータソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Manager シークレットにアクセスして Amazon RDS (MySQL) データソースインスタンスを認証するための許可。

  • Amazon RDS (MySQL) データソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Amazon RDS (MySQL ) データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon RDS Oracle のデータソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Managerシークレットにアクセスして Amazon RDS (Oracle) データソースインスタンスを認証するための許可。

  • Amazon RDS (Oracle) データソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Amazon Kendra を介して Amazon RDS Oracle データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon RDS (PostgreSQL) データソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Managerシークレットにアクセスして Amazon RDS (PostgreSQL) データソースインスタンスを認証する許可。

  • Amazon RDS (PostgreSQL) データソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Amazon RDS (PostgreSQLAmazon Kendra ) データソースを 経由で に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
警告

Amazon Kendra では、Amazon Kendra プリンシパルによる S3 バケットの操作を許可するバケットポリシーを使用しません。代わりに IAM ロールを使用します。誤って任意のプリンシパルに許可を付与することによるデータセキュリティ上の問題を避けるため、Amazon Kendra が信頼できるメンバーとしてバケットポリシーに含まれていないことを確認してください。ただしバケットポリシーを追加すれば、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「複数のアカウントで Amazon S3 を使用するためのポリシー (下にスクロール)」を参照してください。

Amazon S3 バケットをデータソースとして使用する場合は、バケットへのアクセス許可を持つロールを提供し、BatchPutDocument および BatchDeleteDocument オペレーションを使用します。Amazon S3 バケット内のドキュメントが暗号化されている場合は、ドキュメントを復号する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。

以下のロールポリシーでは、Amazon Kendra がロールを引き受けられるようにする必要があります。下にスクロールすると、ロールを引き受けるための信頼ポリシーが表示されます。

データソースとしての Amazon S3 バケットへのアクセスを、Amazon Kendra に許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] } ] }

Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

Amazon VPC を使用中に、Amazon Kendra に Amazon S3 バケットへのアクセスを許可する任意のロールポリシーで、AWS KMS のアクティベートや、AWS KMS へのアクセス許可の共有が不要。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }

Amazon VPC を使用中に、Amazon Kendra に Amazon S3 バケットへのアクセスを許可する任意のロールポリシーで、AWS KMS へのアクセス許可が必要。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

複数のアカウントで Amazon S3 を使用するためのポリシー

Amazon S3 バケットが、Amazon Kendra インデックスに使用しているアカウントと異なるアカウントにある場合に、複数のアカウントでそのバケットを使用するためのポリシーを作成できます。

Amazon S3 バケットが Amazon Kendra インデックスとは別のアカウントにある場合に、そのバケットをデータソースとして使用するためのロールポリシー。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$your-region:$your-account-id:index/$index-id" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$bucket-in-other-account/*" } ] }

Amazon S3 データソースロールで複数のアカウントが Amazon S3 バケットにアクセスできるようにするバケットポリシー。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$bucket-in-other-account" } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon Kendra Web Crawler を使用する場合、以下のようなポリシーでロールを提供します。

  • 基本認証によってバックアップされるウェブサイトまたはウェブプロキシサーバーへの接続に使用するユーザー名とパスワードが含まれている AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Web クローラーデータソースの使用」を参照してください。

  • Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • シード URL またはサイトマップのリストを Amazon S3 バケットに保存する場合は、Amazon S3 バケットへのアクセス許可を含めてください。

注記

Amazon Kendra ウェブクローラーデータソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

シード URL またはサイトマップを Amazon S3 バケットに保存する場合は、このアクセス許可をロールに追加する必要があります。

, {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon WorkDocs を使用する場合、以下のようなポリシーでロールを提供します。

  • Amazon WorkDocs サイトリポジトリに対応するディレクトリ ID (組織 ID) の検証許可。

  • Amazon WorkDocs サイトディレクトリを含むアクティブディレクトリのドメイン名の取得許可。

  • Amazon WorkDocs コネクタに必要なパブリック API アクションの呼び出し許可。

  • インデックスを更新する BatchPutDocument および BatchDeleteDocument API の呼び出し許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:account-id:index/$index-id" ] } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Box を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Slack を認証する許可。

  • Box コネクタに必要なパブリック API アクションの呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Box データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • Confluence への接続に必要な認証情報が含まれている AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Confluence データソース」を参照してください。

  • Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

注記

Amazon Kendra を介して Confluence データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

VPC を使用している場合は、必要なリソースに Amazon Kendra がアクセスできる許可を付与するポリシーを提供します。必要なポリシーについては「データソースおよび VPC の IAM ロール」を参照してください。

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Confluence コネクタ v2.0 データソース用には、以下のようなポリシーを提供します。

  • Confluence の認証情報を含む AWS Secrets Manager シークレットにアクセスする許可。シークレットの内容の詳細については、「Confluence データソース」を参照してください。

  • AWS Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

Amazon Kendra がロールを引き受けることを許可する信頼ポリシーをアタッチする必要があります。

注記

Amazon Kendra を介して Confluence データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

Amazon Kendra が Confluence に接続することを許可するロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Dropbox を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Dropbox を認証する許可。

  • Dropbox コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Dropbox データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Drupal を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Drupal を認証するための許可。

  • Drupal コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Drupal データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合は GitHub、次のポリシーでロールを指定します。

  • GitHub で認証するための AWS Secrets Manager シークレットへのアクセス許可。

  • GitHub コネクタに必要なパブリック APIs を呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

GitHub を介してデータソースを Amazon Kendra に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Gmail を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Gmail を認証するための許可。

  • Gmail コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Gmail データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Google WorkSpaces Drive をデータソースとして使用する場合、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。

  • Google Drive サイトへの接続に必要なクライアントアカウントの E メール、管理者アカウントの E メール、およびプライベートキーを含む AWS Secrets Manager シークレットの取得および復号許可。シークレットの内容の詳細については、「Google Drive データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument APIsを使用するアクセス許可。

注記

Google Drive データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Managerシークレットにアクセスして IBM DB2 データソースインスタンスを認証する許可。

  • IBM DB2 データソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

IBM DB2 データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Jira を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Jira を認証するための許可。

  • Jira コネクタに必要なパブリック API アクションの呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Jira データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft Exchange をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。

  • Microsoft Exchange サイトへの接続に必要なアプリケーション ID とシークレットキーを含む AWS Secrets Manager シークレットの取得および復号許可。シークレットの内容に関する詳細は、「Microsoft Exchange データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument APIsを使用するアクセス許可。

注記

Microsoft Exchange データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon S3 バケットにインデックスとしてユーザーのリストを保存する場合は、S3 GetObject オペレーションの使用許可を提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft OneDrive データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つAmazon Kendraロールを に提供します。具体的には次のとおりです。

  • OneDrive サイトへの接続に必要なアプリケーション ID とシーAWS Secrets Managerクレットキーを含むシークレットを取得および復号するためのアクセス許可。シークレットの内容の詳細については、「Microsoft OneDrive データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument APIsを使用するアクセス許可。

注記

Amazon Kendra を介して Microsoft OneDrive データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon S3 バケットにインデックスとしてユーザーのリストを保存する場合は、S3 GetObject オペレーションの使用許可を提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft SharePoint コネクタ v1.0 データソースの場合は、次のポリシーでロールを指定します。

  • SharePoint サイトのユーザー名とパスワードを含むAWS Secrets Managerシークレットへのアクセス許可。シークレットの内容の詳細については、「Microsoft SharePoint データソース」を参照してください。

  • AWS Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • SharePoint サイトとの通信に使用される SSL 証明書を含むAmazon S3バケットへのアクセス許可。

Amazon Kendra がロールを引き受けることを許可する信頼ポリシーをアタッチする必要があります。

注記

Amazon Kendra を介して Microsoft SharePoint データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

SharePoint サイトとの通信に使用される SSL 証明書を含むAmazon S3バケットを暗号化している場合は、キーAmazon Kendraへのアクセスを許可するポリシーを指定します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft SharePoint コネクタ v2.0 データソースの場合は、次のポリシーでロールを指定します。

  • SharePoint サイトの認証情報を含むAWS Secrets Managerシークレットへのアクセス許可。シークレットの内容の詳細については、「Microsoft SharePoint データソース」を参照してください。

  • AWS Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • SharePoint サイトとの通信に使用される SSL 証明書を含むAmazon S3バケットへのアクセス許可。

Amazon Kendra がロールを引き受けることを許可する信頼ポリシーをアタッチする必要があります。

注記

Amazon Kendra を介して Microsoft SharePoint データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/key-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids", "arn:aws:ec2:your-region:your-account-id:security-group/security-group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }

SharePoint サイトとの通信に使用される SSL 証明書を含むAmazon S3バケットを暗号化している場合は、キーAmazon Kendraへのアクセスを許可するポリシーを指定します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:youraccount-id:key/key-id" ] } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft SQL Server をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Manager シークレットにアクセスして Microsoft SQL Server インスタンスを認証する許可。

  • Microsoft SQL Server コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Amazon Kendra を介して Microsoft SQL Server データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft Teams をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。

  • Microsoft Teams への接続に必要なクライアント ID とクライアントシークレットキーを含む AWS Secrets Manager シークレットの取得および復号許可。シークレットの内容に関する詳細は、「Microsoft Teams データソース」を参照してください。

注記

Microsoft Teams データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:client-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft Yammer をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。

  • Microsoft Yammer サイトへの接続に必要なアプリケーション ID とシークレットキーを含む AWS Secrets Manager シークレットの取得および復号許可。シークレットの内容に関する詳細は、「Microsoft Yammer データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument APIsを使用するアクセス許可。

注記

Microsoft Yammer データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon S3 バケットにインデックスとしてユーザーのリストを保存する場合は、S3 GetObject オペレーションの使用許可を提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

My SQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Manager シークレットにアクセスして My SQL データソースインスタンスを認証する許可。

  • My SQL データソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

MySQL データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Oracle をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Managerシークレットにアクセスして Oracle データソースインスタンスを認証する許可。

  • Oracle データソースコネクタに必要なパブリック API アクションの呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Oracle データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

PostgreSQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • AWS Secrets Manager シークレットにアクセスして PostgreSQL データソースインスタンスを認証する許可。

  • PostgreSQL データソースコネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

PostgreSQL データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Quip を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Quip を認証する許可。

  • Quip コネクタに必要なパブリック API アクションの呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Quip データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Slaesforce をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • Saleseforce サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Salesforce データソース」を参照してください。

  • Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

注記

Amazon Kendra を介して Salesforce データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

をデータソース ServiceNow として使用する場合は、次のポリシーでロールを指定します。

  • ServiceNow サイトのユーザー名とパスワードを含むSecrets Managerシークレットへのアクセス許可。シークレットの内容の詳細については、「ServiceNow データソース」を参照してください。

  • Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

注記

ServiceNow データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Slack を使用する場合、次のポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Slack を認証する許可。

  • Slack コネクタに必要なパブリック API アクションの呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Amazon Kendra を介して Slack データソースを に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Zendesk を使用する場合、以下のようなポリシーでロールを提供します。

  • AWS Secrets Manager シークレットにアクセスして Zendesk Suite を認証する許可。

  • Zendesk コネクタに必要なパブリック API の呼び出し許可。

  • BatchPutDocumentBatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。

注記

Zendesk データソースは、 Amazon Kendraを介して に接続できますAmazon VPC。を使用している場合はAmazon VPC、アクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Virtual Private Cloud (VPC) のための IAM ロール

Virtual Private Cloud (VPC) を使用してデータソースに接続する場合は、次の追加のアクセス許可を提供する必要があります。

{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

よくある質問 (FAQ) のための IAM ロール

CreateFaq API を使用して質問と回答をインデックスにロードする場合は、ソースファイルを含むAmazon S3バケットへのアクセス権を Amazon Kendra IAMロールに提供する必要があります。ソースファイルが暗号化されている場合は、ファイルを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可を提供する必要があります。

Amazon Kendra に Amazon S3 バケットへのアクセスを許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

Amazon Kendra が Amazon S3 バケットにあるファイルを復号するため、AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

クエリ提案のための IAM ロール

Amazon S3 ファイルをクエリ提案ブロックリストとして使用する場合、Amazon S3 ファイルおよび Amazon S3 バケットへのアクセス許可を持つロールを提供します。Amazon S3 バケット内のブロックリストテキストファイル (Amazon S3 ファイル) が暗号化されている場合は、ドキュメントを復号化する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。

Amazon Kendra がクエリ提案ブロックリストとして Amazon S3 ファイルを使用することを許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

ユーザーとグループのプリンシパルマッピングを行うための IAM ロール

PutPrincipalMapping API を使用してユーザーをグループにマッピングし、検索結果をユーザーコンテキストでフィルタリングする場合は、グループに属するユーザーまたはサブグループのリストを指定する必要があります。リストが 1 つのグループにつき 1,000 を超えるユーザーまたはサブグループを含む場合は、リストおよび Amazon S3 バケットにある Amazon S3 ファイルへのアクセス許可を持つロールを提供する必要があります。Amazon S3 バケット内のリストのテキスト (Amazon S3 ファイル) が暗号化されている場合は、ドキュメントを復号化する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。

Amazon Kendra がグループに属するユーザーおよびサブグループのリストとして Amazon S3 ファイルを使用することを許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccountaws:sourceArnsts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }

AWS IAM Identity Center のための IAM ロール

UserGroupResolutionConfiguration オブジェクトを使用して AWS IAM Identity Center ID ソースからグループとユーザーのアクセスレベルを取得する場合は、 へのアクセス許可を持つロールを指定する必要がありますIAM Identity Center。

Amazon Kendra が IAM Identity Center にアクセスできるようにする必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Amazon Kendra エクスペリエンスのための IAM ロール

CreateExperience または UpdateExperience APIs を使用して検索アプリケーションを作成または更新する場合は、必要なオペレーションと IAM Identity Center へのアクセス許可を持つロールを指定する必要があります。

Amazon Kendra が Query オペレーション、QuerySuggestions オペレーション、SubmitFeedbackオペレーション、およびユーザーおよびグループの情報を保存する IAM Identity Center へのアクセスを許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccountaws:sourceArnsts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }

Custom Document Enrichment のための IAM ロール

CustomDocumentEnrichmentConfiguration オブジェクトを使用してドキュメントのメタデータとコンテンツの高度な変更を適用する場合は、 PreExtractionHookConfigurationおよび/または を実行するために必要なアクセス許可を持つロールを指定する必要がありますPostExtractionHookConfigurationPreExtractionHookConfiguration および/または PostExtractionHookConfiguration の Lambda 関数を設定して、取り込みプロセス中にドキュメントのメタデータとコンテンツの高度な変更を適用します。Amazon S3 バケットの [サーバー側の暗号化] を有効にする場合は、Amazon S3 バケットに保存されているオブジェクトを暗号化および復号するための AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。

Amazon Kendra が Amazon S3 バケットの暗号化を使用して PreExtractionHookConfiguration および PostExtractionHookConfiguration を実行することを許可する必須ロールポリシー。

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }

Amazon Kendra が Amazon S3 バケットの暗号化を使用せずに PreExtractionHookConfiguration および PostExtractionHookConfiguration を実行することを許可するための任意のロールポリシー。

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }

Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccountaws:sourceArnsts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }