IAM の アクセスロール Amazon Kendra - Amazon Kendra

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM の アクセスロール Amazon Kendra

インデックス、データソース、または を作成する場合FAQ、 Amazon Kendra には へのアクセスが必要です AWS の作成に必要な リソース Amazon Kendra リソース。を作成する必要があります AWS Identity and Access Management (IAM) を作成する前の ポリシー Amazon Kendra リソース。オペレーションを呼び出すときは、ポリシーがアタッチされたロールの Amazon リソースネーム (ARN) を指定します。例えば、 を呼び出しBatchPutDocumentAPIて からドキュメントを追加する場合 Amazon S3 バケット、指定します Amazon Kendra バケットにアクセスできるポリシーを持つロールを持つ 。

新しい を作成できます。 IAM の ロール Amazon Kendra コンソールを使用するか、 を選択します。 IAM 使用する既存のロール。コンソールには、ロール名に「kendra」か、「Kendra」という文字列を含むロールが表示されます。

次のトピックでは、必要なポリシーの詳細について説明します。を作成する場合 IAM を使用した ロール Amazon Kendra コンソールでは、これらのポリシーが自動的に作成されます。

IAM インデックスの ロール

インデックスを作成するときは、 を指定する必要があります。 IAM に書き込むアクセス許可を持つ ロール Amazon CloudWatch。 また、 を許可する信頼ポリシーを指定する必要があります。 Amazon Kendra ロールを引き受けます。次のポリシーを提供する必要があります。

許可するロールポリシー Amazon Kendra にアクセスして CloudWatch ログ。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" } ] }

許可するロールポリシー Amazon Kendra アクセスする AWS Secrets Manager。 でユーザーコンテキストを使用している場合 Secrets Manager キーの場所として、次のポリシーを使用できます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.your-region.amazonaws.com" ] } } } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAM の ロール BatchPutDocument API

警告

Amazon Kendra は、 にアクセス許可を付与するバケットポリシーを使用しません。 Amazon Kendra S3 バケットを操作するプリンシパル。代わりに、 を使用します。 IAM ロール。以下を確認してください。 Amazon Kendra は、誤って任意のプリンシパルにアクセス許可を付与する際のデータセキュリティの問題を回避するために、バケットポリシーに信頼されたメンバーとして含まれていません。ただし、 を使用するバケットポリシーを追加できます。 Amazon S3 異なる アカウント間での バケット。詳細については、「使用するポリシー」を参照してください。 Amazon S3 アカウント 全体。参考情報 IAM S3 データソースの ロールについては、「」を参照してください。 IAM ロール

を使用して 内のドキュメントのBatchPutDocumentAPIインデックスを作成する場合 Amazon S3 バケット、 を指定する必要があります Amazon Kendra で IAM バケットへのアクセス権を持つ ロール。また、 を許可する信頼ポリシーを指定する必要があります。 Amazon Kendra ロールを引き受けます。バケット内のドキュメントが暗号化されている場合は、 を使用するためのアクセス許可を付与する必要があります。 AWS KMS ドキュメントを復号するための カスタマーマスターキー (CMK)。

が許可するために必要なロールポリシー Amazon Kendra にアクセスして Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountaws:sourceArn が で提供されているものと同じかどうかが安全に確認されます。 IAM sts:AssumeRole アクションの ロールポリシー。これにより、権限のないエンティティが にアクセスするのを防ぐことができます。 IAM ロールとそのアクセス許可。詳細については、「」を参照してください。 AWS Identity and Access Management 「混乱した代理問題」に関するガイド

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*" } } } ] }

許可するオプションのロールポリシー Amazon Kendra を使用して AWS KMS でドキュメントを復号するための カスタマーマスターキー (CMK) Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

IAM データソースの ロール

を使用する場合はAPI、 CreateDataSource を指定する必要があります。 Amazon Kendra の IAM リソースへのアクセス許可を持つ ロール。必要な固有のアクセス許可は、データソースによって異なります。

Adobe Experience Manager を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Adobe Experience Manager を認証するための シークレット。

  • Adobe Experience Manager コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Adobe Experience Manager データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Alfresco を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Alfresco を認証するための シークレット。

  • Alfresco コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Alfresco データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Aurora (私の SQL) では、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Aurora (マイ SQL)。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Aurora (マイ SQL) コネクタ。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

を接続できます。 Aurora (マイ SQL) データソースから Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Aurora (Postgre SQL) では、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Aurora (Postgre SQL)。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Aurora (Postgre SQL) コネクタ。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

を接続できます。 Aurora への (Postgre SQL) データソース Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon FSxでは、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Amazon FSx ファイルシステム。

  • アクセス許可 Amazon Virtual Private Cloud の (VPC) Amazon FSx ファイルシステムが存在する。

  • の Active Directory のドメイン名を取得するアクセス許可 Amazon FSx ファイルシステム。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Amazon FSx コネクタ。

  • BatchPutDocument および を呼び出しBatchDeleteDocumentAPIsてインデックスを更新するアクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

データベースをデータソースとして使用する場合は、 Amazon Kendra への接続に必要なアクセス許可を持つロールを持つ 。具体的には次のとおりです。

  • へのアクセス許可 AWS Secrets Manager サイトのユーザー名とパスワードを含む シークレット。シークレットの内容の詳細については、「データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • へのアクセス許可 Amazon S3 サイトとの通信に使用されるSSL証明書を含む バケット。

注記

データベースデータソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

データソースで使用できるポリシーには 2 つのオプションがあります。

を暗号化している場合 Amazon S3 との通信に使用されるSSL証明書を含む バケット。 に付与するポリシーを指定します。 Amazon Kendra キーへのアクセス。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

を使用している場合はVPC、 が付与するポリシーを指定します。 Amazon Kendra 必要なリソースへのアクセス。「」を参照してください。IAM 必要なポリシーのデータソースVPCの ロール。

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon RDS (Microsoft SQL Server) データソースコネクタでは、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Amazon RDS (Microsoft SQL Server) データソースインスタンス。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Amazon RDS (Microsoft SQL Server) データソースコネクタ。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

を接続できます。 Amazon RDS (Microsoft SQL Server) データソースから Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon RDS (マイ SQL) データソースコネクタでは、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Amazon RDS (マイ SQL) データソースインスタンス。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Amazon RDS (マイ SQL) データソースコネクタ。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

を接続できます。 Amazon RDS (マイ SQL) データソースから Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon RDS Oracle データソースコネクタでは、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Amazon RDS (Oracle) データソースインスタンス。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Amazon RDS (Oracle) データソースコネクタ。

  • BatchPutDocumentBatchDeleteDocument、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

を接続できます。 Amazon RDS Oracle データソースから Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon RDS (Postgre SQL) データソースコネクタでは、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット Amazon RDS (Postgre SQL) データソースインスタンス。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Amazon RDS (Postgre SQL) データソースコネクタ。

  • BatchPutDocumentBatchDeleteDocument、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

を接続できます。 Amazon RDS への (Postgre SQL) データソース Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
警告

Amazon Kendra は、 にアクセス許可を付与するバケットポリシーを使用しません。 Amazon Kendra S3 バケットを操作するプリンシパル。代わりに、 を使用します。 IAM ロール。以下を確認してください。 Amazon Kendra は、誤って任意のプリンシパルにアクセス許可を付与する際のデータセキュリティの問題を回避するために、バケットポリシーに信頼されたメンバーとして含まれていません。ただし、 を使用するバケットポリシーを追加できます。 Amazon S3 異なる アカウント間で バケット。詳細については、「使用するポリシー Amazon S3 アカウント間で (下にスクロール)」を参照してください。

を使用する場合 Amazon S3 バケットをデータソースとして指定すると、バケットにアクセスし、 および BatchPutDocumentBatchDeleteDocumentオペレーションを使用するアクセス許可を持つロールが提供されます。内のドキュメントが Amazon S3 バケットは暗号化されています。 を使用するためのアクセス許可を付与する必要があります。 AWS KMS ドキュメントを復号するための カスタマーマスターキー (CMK)。

次のロールポリシーでは、 を許可する必要があります。 Amazon Kendra ロールを引き受けるには、 にします。下にスクロールすると、ロールを引き受けるための信頼ポリシーが表示されます。

が許可するために必要なロールポリシー Amazon Kendra を使用して Amazon S3 データソースとしての バケット。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] } ] }

許可するオプションのロールポリシー Amazon Kendra を使用して AWS KMS でドキュメントを復号するための カスタマーマスターキー (CMK) Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

許可するオプションのロールポリシー Amazon Kendra にアクセスして Amazon S3 バケット、 の使用時 Amazon VPC、および をアクティブ化しない AWS KMS または の共有 AWS KMS アクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }

許可するオプションのロールポリシー Amazon Kendra にアクセスして Amazon S3 使用中の バケット Amazon VPC、、および と AWS KMS アクセス許可がアクティブ化されました。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

使用するポリシー Amazon S3 アカウント間で

の Amazon S3 バケットが、 に使用するアカウントとは異なるアカウントにある Amazon Kendra インデックス、アカウント間で使用するポリシーを作成できます。

を使用するロールポリシー Amazon S3 バケットが の別のアカウントにある場合のデータソースとしての バケット Amazon Kendra インデックス。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$your-region:$your-account-id:index/$index-id" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$bucket-in-other-account/*" } ] }

を許可するバケットポリシー Amazon S3 にアクセスするためのデータソースロール Amazon S3 アカウント間の バケット。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$bucket-in-other-account" } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon Kendra Web Crawler では、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager 基本認証によってバックアップされたウェブサイトまたはウェブプロキシサーバーに接続するための認証情報を含む シークレット。シークレットの内容に関する詳細は、「Web クローラーデータソースの使用」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • を使用する場合 Amazon S3 シードURLsまたはサイトマップのリストを保存するための バケット、 へのアクセス許可を含める Amazon S3 バケット。

注記

を接続できます。 Amazon Kendra ウェブクローラーデータソースから へ Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

シードURLsまたはサイトマップを に保存する場合 Amazon S3 バケットでは、このアクセス許可をロールに追加する必要があります。

, {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合 Amazon WorkDocs、次のポリシーでロールを指定します。

  • に対応するディレクトリ ID (組織 ID) を検証するアクセス許可 Amazon WorkDocs サイトリポジトリ。

  • を含む Active Directory のドメイン名を取得するアクセス許可 Amazon WorkDocs サイトディレクトリ。

  • に必要なパブリックを呼び出すAPIsアクセス許可 Amazon WorkDocs コネクタ。

  • BatchPutDocument および を呼び出しBatchDeleteDocumentAPIsてインデックスを更新するアクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:account-id:index/$index-id" ] } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Box を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Slack を認証するための シークレット。

  • APIs Box コネクタに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Box データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager Confluence への接続に必要な認証情報を含む シークレット。シークレットの内容の詳細については、「Confluence データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

注記

Confluence データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を使用している場合はVPC、 が付与するポリシーを指定します。 Amazon Kendra 必要なリソースへのアクセス。「」を参照してください。IAM 必要なポリシーのデータソースVPCの ロール。

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Confluence コネクタ v2.0 データソース用には、以下のようなポリシーを提供します。

  • へのアクセス許可 AWS Secrets Manager Confluence の認証情報を含む シークレット。シークレットの内容の詳細については、「Confluence データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) AWS Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

また、 を許可する信頼ポリシーをアタッチする必要があります。 Amazon Kendra ロールを引き受けます。

注記

Confluence データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

許可するロールポリシー Amazon Kendra Confluence に接続するには、 にします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Dropbox を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Dropbox を認証するための シークレット。

  • Dropbox コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Dropbox データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Drupal を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Drupal を認証するための シークレット。

  • Drupal コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Drupal データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

を使用する場合は GitHub、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager を認証するための シークレット GitHub。

  • GitHub コネクタに必要なパブリックを呼び出すAPIsアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

GitHub データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Gmail を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Gmail を認証するための シークレット。

  • Gmailconnector に必要なパブリックを呼び出すAPIsアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Gmail データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Google Workspace Drive データソースを使用する場合は、 を指定します。 Amazon Kendra サイトへの接続に必要なアクセス許可を持つロールを持つ 。具体的には次のとおりです。

  • を取得および復号するためのアクセス許可 AWS Secrets Manager Google Drive サイトへの接続に必要なクライアントアカウントの E メール、管理者アカウントの E メール、プライベートキーを含む シークレット。シークレットの内容の詳細については、「Google Drive データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument を使用するアクセス許可APIs。

注記

Google Drive データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IBM DB2 データソースコネクタを使用する場合は、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager IBM DB2 データソースインスタンスを認証するための シークレット。

  • IBM DB2 データソースコネクタに必要なパブリックを呼び出すAPIsアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

IBM DB2 データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Jira を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Jira を認証するための シークレット。

  • APIs Jira コネクタに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Jira データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft Exchange データソースを使用する場合は、 を指定します。 Amazon Kendra サイトへの接続に必要なアクセス許可を持つロールを持つ 。具体的には次のとおりです。

  • を取得および復号するためのアクセス許可 AWS Secrets Manager Microsoft Exchange サイトへの接続に必要なアプリケーション ID とシークレットキーを含む シークレット。シークレットの内容に関する詳細は、「Microsoft Exchange データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument を使用するためのアクセス許可APIs。

注記

Microsoft Exchange データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

インデックスを作成するユーザーのリストを に保存している場合 Amazon S3 バケットでは、S3 GetObjectオペレーションを使用するアクセス許可も指定する必要があります。以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft OneDrive データソースを使用する場合は、 を指定します。 Amazon Kendra サイトへの接続に必要なアクセス許可を持つロールを持つ 。具体的には次のとおりです。

  • を取得および復号するためのアクセス許可 AWS Secrets Manager OneDrive サイトへの接続に必要なアプリケーション ID とシークレットキーを含む シークレット。シークレットの内容の詳細については、「Microsoft OneDrive データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument を使用するアクセス許可APIs。

注記

Microsoft OneDrive データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

インデックスを作成するユーザーのリストを に保存している場合 Amazon S3 バケットでは、S3 GetObjectオペレーションを使用するアクセス許可も指定する必要があります。以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft SharePoint コネクタ v1.0 データソースの場合、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager SharePoint サイトのユーザー名とパスワードを含む シークレット。シークレットの内容の詳細については、「Microsoft SharePoint データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) AWS Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • へのアクセス許可 Amazon S3 SharePoint サイトとの通信に使用されるSSL証明書を含む バケット。

また、 を許可する信頼ポリシーをアタッチする必要があります。 Amazon Kendra ロールを引き受けます。

注記

Microsoft SharePoint データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

を暗号化している場合 Amazon S3 SharePoint サイトとの通信に使用されるSSL証明書を含む バケット。 に付与するポリシーを指定します。 Amazon Kendra キーへのアクセス。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft SharePoint コネクタ v2.0 データソースの場合、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager SharePoint サイトの認証情報を含む シークレット。シークレットの内容の詳細については、「Microsoft SharePoint データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) AWS Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

  • へのアクセス許可 Amazon S3 SharePoint サイトとの通信に使用されるSSL証明書を含む バケット。

また、 を許可する信頼ポリシーをアタッチする必要があります。 Amazon Kendra ロールを引き受けます。

注記

Microsoft SharePoint データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPCでは、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/key-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids", "arn:aws:ec2:your-region:your-account-id:security-group/security-group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }

を暗号化している場合 Amazon S3 SharePoint サイトとの通信に使用されるSSL証明書を含む バケット。 に付与するポリシーを指定します。 Amazon Kendra キーへのアクセス。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:youraccount-id:key/key-id" ] } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft SQL Server を使用する場合は、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager Microsoft SQL Server インスタンスを認証するための シークレット。

  • Microsoft SQL Server コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Microsoft SQL Server データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft Teams データソースを使用する場合は、 を指定します。 Amazon Kendra サイトへの接続に必要なアクセス許可を持つロールを持つ 。具体的には次のとおりです。

  • を取得および復号するためのアクセス許可 AWS Secrets Manager Microsoft Teams への接続に必要なクライアント ID とクライアントシークレットを含む シークレット。シークレットの内容に関する詳細は、「Microsoft Teams データソース」を参照してください。

注記

Microsoft Teams データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPCでは、追加のアクセス許可 を追加する必要があります。

以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:client-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Microsoft Yammer データソースを使用する場合は、 Amazon Kendra サイトへの接続に必要なアクセス許可を持つロールを持つ 。具体的には次のとおりです。

  • を取得および復号するためのアクセス許可 AWS Secrets Manager Microsoft Yammer サイトへの接続に必要なアプリケーション ID とシークレットキーを含む シークレット。シークレットの内容に関する詳細は、「Microsoft Yammer データソース」を参照してください。

  • BatchPutDocument および BatchDeleteDocument を使用するアクセス許可APIs。

注記

Microsoft Yammer データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

インデックスを作成するユーザーのリストを に保存している場合 Amazon S3 バケットでは、S3 GetObjectオペレーションを使用するアクセス許可も指定する必要があります。以下のようになります IAM ポリシーは、必要なアクセス許可を提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

My SQLデータソースコネクタを使用する場合は、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager My SQL データソースインスタンスを認証するための シークレット。

  • マイSQLデータソースコネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

MySQL データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Oracle をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager Oracle データソースインスタンスを認証するための シークレット。

  • Oracle データソースコネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Oracle データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

PostgreSQL データソースコネクタを使用する場合は、次のポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager PostgreSQL データソースインスタンスを認証するための シークレット。

  • PostgreSQL データソースコネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

PostgreSQL データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Quip を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Quip を認証するための シークレット。

  • APIs Quip コネクタに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Quip データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Slaesforce をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。

  • へのアクセス許可 AWS Secrets Manager Salesforce サイトのユーザー名とパスワードを含む シークレット。シークレットの内容の詳細については、「Salesforce データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

注記

Salesforce データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

をデータソース ServiceNow として使用する場合は、次のポリシーでロールを指定します。

  • へのアクセス許可 Secrets Manager ServiceNow サイトのユーザー名とパスワードを含む シークレット。シークレットの内容の詳細については、ServiceNow 「 データソース」を参照してください。

  • を使用するためのアクセス許可 AWS KMS によって保存されているユーザー名とパスワードシークレットを復号するための カスタマーマスターキー (CMK) Secrets Manager.

  • インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。

注記

ServiceNow データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Slack を使用する場合、次のポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Slack を認証するための シークレット。

  • Slack コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Slack データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPCでは、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

Zendesk を使用する場合、以下のようなポリシーでロールを提供します。

  • へのアクセス許可 AWS Secrets Manager Zendesk Suite を認証するための シークレット。

  • Zendesk コネクタAPIsに必要なパブリックを呼び出すアクセス許可。

  • BatchPutDocumentBatchDeleteDocument、、、PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMappingおよび を呼び出すアクセス許可ListGroupsOlderThanOrderingIdAPIs。

注記

Zendesk データソースを に接続できます。 Amazon Kendra から Amazon VPC。 を使用している場合 Amazon VPC、追加のアクセス許可 を追加する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

仮想プライベートクラウド (VPC) IAM ロール

仮想プライベートクラウド (VPC) を使用してデータソースに接続する場合は、次の追加のアクセス許可を提供する必要があります。

{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAM よくある質問の ロール (FAQs)

を使用して質問と回答CreateFaqAPIをインデックスにロードする場合は、 を指定する必要があります。 Amazon Kendra を使用した IAM へのアクセス権を持つ ロール Amazon S3 ソースファイルを含む バケット。ソースファイルが暗号化されている場合は、 を使用するためのアクセス許可を付与する必要があります。 AWS KMS ファイルを復号するための カスタマーマスターキー (CMK)。

が許可するために必要なロールポリシー Amazon Kendra にアクセスして Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

許可するオプションのロールポリシー Amazon Kendra を使用して AWS KMS のファイルを復号するための カスタマーマスターキー (CMK) Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAM クエリ提案の ロール

を使用する場合 Amazon S3 ファイル をクエリ提案ブロックリストとして指定し、 へのアクセス許可を持つロールを指定します。 Amazon S3 ファイルと Amazon S3 バケット。ブロックリストテキストファイル ( Amazon S3 ファイル) Amazon S3 バケットは暗号化されています。 を使用するためのアクセス許可を付与する必要があります。 AWS KMS ドキュメントを復号するための カスタマーマスターキー (CMK)。

が許可するために必要なロールポリシー Amazon Kendra を使用して Amazon S3 クエリ提案ブロックリストとしての ファイル。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

許可するオプションのロールポリシー Amazon Kendra を使用して AWS KMS のドキュメントを復号するための カスタマーマスターキー (CMK) Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAM ユーザーとグループのプリンシパルマッピング用の ロール

を使用してユーザーPutPrincipalMappingAPIをグループにマッピングし、ユーザーコンテキストで検索結果をフィルタリングする場合は、グループに属するユーザーまたはサブグループのリストを指定する必要があります。リストがグループのユーザーまたはサブグループが 1000 を超える場合は、 へのアクセス許可を持つロールを指定する必要があります。 Amazon S3 リストと の ファイル Amazon S3 バケット。テキストファイル ( Amazon S3 ファイル) 内のリスト Amazon S3 バケットは暗号化されています。 を使用するためのアクセス許可を付与する必要があります。 AWS KMS ドキュメントを復号するための カスタマーマスターキー (CMK)。

が許可するために必要なロールポリシー Amazon Kendra を使用して Amazon S3 グループに属するユーザーとサブグループのリストとして ファイル。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }

許可するオプションのロールポリシー Amazon Kendra を使用して AWS KMS でドキュメントを復号するための カスタマーマスターキー (CMK) Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountaws:sourceArn が で提供されているものと同じかどうかが安全に確認されます。 IAM sts:AssumeRole アクションの ロールポリシー。これにより、権限のないエンティティが にアクセスするのを防ぐことができます。 IAM ロールとそのアクセス許可。詳細については、「」を参照してください。 AWS Identity and Access Management 「混乱した代理問題」に関するガイド

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }

IAM の ロール AWS IAM Identity Center

UserGroupResolutionConfiguration オブジェクトを使用して からグループとユーザーのアクセスレベルを取得する場合 AWS IAM Identity Center ID ソース、 へのアクセス許可を持つロールを指定する必要があります IAM Identity Center.

が許可するために必要なロールポリシー Amazon Kendra アクセスする IAM Identity Center.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

IAM の ロール Amazon Kendra エクスペリエンス

CreateExperience または を使用して検索アプリケーションUpdateExperienceAPIsを作成または更新する場合は、必要なオペレーションと IAM Identity Center へのアクセス許可を持つロールを指定する必要があります。

が許可するために必要なロールポリシー Amazon Kendra ユーザーおよびグループ情報を保存する QuerySuggestions Queryオペレーション、オペレーション、SubmitFeedbackオペレーション、および IAM Identity Center にアクセスするには、 を使用します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountaws:sourceArn が で提供されているものと同じかどうかが安全に確認されます。 IAM sts:AssumeRole アクションの ロールポリシー。これにより、権限のないエンティティが にアクセスするのを防ぐことができます。 IAM ロールとそのアクセス許可。詳細については、「」を参照してください。 AWS Identity and Access Management 「混乱した代理問題」に関するガイド

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }

IAM カスタムドキュメントエンリッチメントの ロール

CustomDocumentEnrichmentConfiguration オブジェクトを使用してドキュメントのメタデータとコンテンツの高度な変更を適用する場合は、 PreExtractionHookConfigurationおよび/または を実行するために必要なアクセス許可を持つロールを指定する必要がありますPostExtractionHookConfigurationPreExtractionHookConfiguration および/または PostExtractionHookConfiguration の Lambda 関数を設定して、取り込みプロセス中にドキュメントのメタデータとコンテンツの高度な変更を適用します。のサーバー側の暗号化をアクティブ化することを選択した場合 Amazon S3 バケット、 を使用するためのアクセス許可を付与する必要があります AWS KMS に保存されているオブジェクトを暗号化および復号するための カスタマーマスターキー (CMK) Amazon S3 バケット。

が許可するために必要なロールポリシー Amazon Kendra を実行して、 の暗号化PostExtractionHookConfigurationを使用して PreExtractionHookConfigurationと を実行する Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }

許可するオプションのロールポリシー Amazon Kendra の暗号化PostExtractionHookConfigurationなしで PreExtractionHookConfigurationと を実行するには Amazon S3 バケット。

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }

を許可する信頼ポリシー Amazon Kendra ロールを引き受けるには、 にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

信頼ポリシーにはaws:sourceAccountaws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountaws:sourceArn が で提供されているものと同じかどうかが安全に確認されます。 IAM sts:AssumeRole アクションの ロールポリシー。これにより、権限のないエンティティが にアクセスするのを防ぐことができます。 IAM ロールとそのアクセス許可。詳細については、「」を参照してください。 AWS Identity and Access Management 「混乱した代理問題」に関するガイド

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }