翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM の アクセスロール Amazon Kendra
インデックス、データソース、またはよくある質問を作成する場合、 は AWS リソースの作成に必要な Amazon Kendra リソースにアクセス Amazon Kendra する必要があります。 Amazon Kendra リソースを作成する前に AWS Identity and Access Management 、(IAM) ポリシーを作成する必要があります。オペレーションを呼び出すときに、ポリシーをアタッチしたロールの Amazon リソースネーム (ARN) を指定します。例えば、BatchPutDocument API を呼び出して Amazon S3 バケットからドキュメントを追加する場合は、バケットにアクセスできるポリシーを持つロールを Amazon Kendra に提供します。
Amazon Kendra コンソールで新しい IAM ロールを作成するか、使用する IAM 既存のロールを選択できます。コンソールには、ロール名に「kendra」か、「Kendra」という文字列を含むロールが表示されます。
次のトピックでは、必要なポリシーの詳細について説明します。 Amazon Kendra コンソールを使用して IAM ロールを作成すると、これらのポリシーが自動的に作成されます。
トピック
IAM インデックスの ロール
インデックスを作成するときは、 に書き込むアクセス許可を IAM ロールに提供する必要があります Amazon CloudWatch。また、 がロールを引き受け Amazon Kendra ることを許可する信頼ポリシーも指定する必要があります。次のポリシーを提供する必要があります。
が CloudWatch ログにアクセス Amazon Kendra することを許可するロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" } ] }
Amazon Kendra がアクセスすることを許可するロールポリシー AWS Secrets Manager。をキーの場所 Secrets Manager としてユーザーコンテキストを使用している場合は、次のポリシーを使用できます。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.your-region.amazonaws.com" ] } } } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM BatchPutDocument API の ロール
警告
Amazon Kendra は、S3 バケットを操作するアクセス許可を Amazon Kendra プリンシパルに付与するバケットポリシーを使用しません。代わりに IAM ロールを使用します。がバケットポリシーに信頼 Amazon Kendra されたメンバーとして含まれていないことを確認してください。これにより、任意のプリンシパルに誤ってアクセス許可を付与する際のデータセキュリティの問題を回避できます。ただし、バケットポリシーを追加して、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「複数のアカウント間で Amazon S3 を使用するポリシー」を参照してください。S3 データソースの IAM ロールについては、「IAM ロール」を参照してください。
BatchPutDocument API を使用して Amazon S3 バケット内のドキュメントのインデックスを作成する場合は、バケットへのアクセス権 Amazon Kendra を IAM ロールに付与する必要があります。また、 がロールを引き受け Amazon Kendra ることを許可する信頼ポリシーも指定する必要があります。バケット内のドキュメントが暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号するアクセス許可を提供する必要があります。
Amazon Kendra が バケットにアクセス Amazon S3 することを許可するために必要なロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountおよび aws:sourceArnが sts:AssumeRoleアクションの IAM ロールポリシーで指定されているものと同じかどうかが安全に確認されます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、混乱した代理問題に関する AWS Identity and Access Management ガイドを参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*" } } } ] }
Amazon Kendra が Amazon S3 バケット内のドキュメントを AWS KMS 復号するために カスタマーマスターキー (CMK) を使用できるようにするオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
IAM データソースの ロール
CreateDataSource API を使用する場合は、リソースへのアクセス許可を持つ Amazon Kendra IAM ロールを付与する必要があります。必要な固有のアクセス許可は、データソースによって異なります。
Adobe Experience Manager を使用する場合、以下のようなポリシーでロールを提供します。
-
シー AWS Secrets Manager クレットにアクセスして Adobe Experience Manager を認証するためのアクセス許可。
-
Adobe Experience Manager コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
を介して Adobe Experience Manager データソースを Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Alfresco を使用する場合、以下のようなポリシーでロールを提供します。
-
シー AWS Secrets Manager クレットにアクセスして Alfresco を認証するアクセス許可。
-
Alfresco コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Alfresco データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Aurora (MySQL) を使用する場合は、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Aurora (MySQL) を認証するアクセス許可。
-
Aurora (MySQL) コネクタに必要なパブリック APIsを呼び出すアクセス許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Aurora (MySQL) データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Aurora (PostgreSQL) を使用する場合は、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Aurora (PostgreSQL) を認証するアクセス許可。
-
Aurora (PostgreSQL) コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Aurora (PostgreSQL) データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
を使用する場合は Amazon FSx、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon FSx ファイルシステムを認証するアクセス許可。
-
ファイルシステムが存在する Amazon Virtual Private Cloud (VPC) Amazon FSx へのアクセス許可。
-
Amazon FSx ファイルシステムの Active Directory のドメイン名を取得するアクセス許可。
-
Amazon FSx コネクタに必要なパブリック API アクションの呼び出し許可。
-
インデックスを更新する
BatchPutDocumentおよびBatchDeleteDocumentAPI の呼び出し許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
データベースをデータソースとして使用する場合は、 への接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。 -
サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
注記
データベースデータソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
データソースで使用できるポリシーには 2 つのオプションがあります。
との通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、キー Amazon Kendra へのアクセスを許可するポリシーを指定します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
VPC を使用している場合は、必要なリソース Amazon Kendra へのアクセスを許可するポリシーを指定します。必要なポリシーについては「データソースおよび VPC のIAM ロール」を参照してください。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Amazon RDS (Microsoft SQL Server) データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon RDS (Microsoft SQL Server) データソースインスタンスを認証するためのアクセス許可。
-
Amazon RDS (Microsoft SQL Server) データソースコネクタに必要なパブリック APIs を呼び出すアクセス許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
( Amazon RDS Microsoft SQL Server) データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Amazon RDS (MySQL) データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon RDS (MySQL) データソースインスタンスを認証するアクセス許可。
-
Amazon RDS (MySQL) データソースコネクタに必要なパブリック APIs を呼び出すアクセス許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Amazon RDS (MySQL) データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Amazon RDS Oracle データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon RDS (Oracle) データソースインスタンスを認証するアクセス許可。
-
Amazon RDS (Oracle) データソースコネクタに必要なパブリック APIs を呼び出すアクセス許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Amazon RDS Oracle データソース Amazon Kendra は、 を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Amazon RDS (PostgreSQL) データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon RDS (PostgreSQL) データソースインスタンスを認証するアクセス許可。
-
Amazon RDS (PostgreSQL) データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
( Amazon RDS PostgreSQL) データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
警告
Amazon Kendra は、S3 バケットを操作するアクセス許可を Amazon Kendra プリンシパルに付与するバケットポリシーを使用しません。代わりに、 IAM ロールを使用します。が信頼 Amazon Kendra されたメンバーとしてバケットポリシーに含まれていないことを確認してください。これにより、任意のプリンシパルに誤ってアクセス許可を付与する際のデータセキュリティの問題を回避できます。ただしバケットポリシーを追加すれば、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「複数のアカウントで Amazon S3 を使用するためのポリシー (下にスクロール)」を参照してください。
Amazon S3 バケットをデータソースとして使用する場合は、バケットへのアクセス許可と、 BatchPutDocument および BatchDeleteDocumentオペレーションを使用する許可を持つロールを指定します。バケット内の Amazon S3 ドキュメントが暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号するアクセス許可を提供する必要があります。
次のロールポリシーでは、 Amazon Kendra がロールを引き受けることを許可する必要があります。下にスクロールすると、ロールを引き受けるための信頼ポリシーが表示されます。
が Amazon S3 バケット Amazon Kendra をデータソースとして使用できるようにする必須のロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] } ] }
Amazon Kendra が Amazon S3 バケット内のドキュメントを AWS KMS 復号するために カスタマーマスターキー (CMK) を使用できるようにするオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
アクセス AWS KMS 許可を Amazon S3 アクティブ化 AWS KMS または共有 Amazon VPCすることなく、 の使用中に Amazon Kendra が バケットにアクセスすることを許可するオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
の使用中に が Amazon S3 バケットにアクセス Amazon Kendra することを許可するオプションのロールポリシーで Amazon VPC、アクセス AWS KMS 許可が有効になっています。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
複数のアカウントで Amazon S3 を使用するためのポリシー
Amazon S3 バケットが Amazon Kendra インデックスに使用するアカウントとは異なるアカウントにある場合は、アカウント間でバケットを使用するポリシーを作成できます。
Amazon S3 バケットが Amazon Kendra インデックスとは異なるアカウントにある場合に、バケットをデータソースとして使用するロールポリシー。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$your-region:$your-account-id:index/$index-id" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$bucket-in-other-account/*" } ] }
Amazon S3 データソースロールがアカウント間でバケットにアクセスすることを許可する Amazon S3 バケットポリシー。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$bucket-in-other-account" } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Web Crawler Amazon Kendra を使用する場合は、次のポリシーでロールを指定します。
-
基本認証によってバックアップされたウェブサイトまたはウェブプロキシサーバーに接続するための認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Web クローラーデータソースの使用」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。 -
Amazon S3 バケットを使用してシード URLs またはサイトマップのリストを保存する場合は、 Amazon S3 バケットへのアクセス許可を含めます。
注記
Web Amazon Kendra Crawler データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
シード URLs またはサイトマップを Amazon S3 バケットに保存する場合は、このアクセス許可をロールに追加する必要があります。
, {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
を使用する場合は Amazon WorkDocs、次のポリシーでロールを指定します。
-
Amazon WorkDocs サイトリポジトリに対応するディレクトリ ID (組織 ID) の検証許可。
-
Amazon WorkDocs サイトディレクトリを含むアクティブディレクトリのドメイン名の取得許可。
-
Amazon WorkDocs コネクタに必要なパブリック API アクションの呼び出し許可。
-
インデックスを更新する
BatchPutDocumentおよびBatchDeleteDocumentAPI の呼び出し許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:account-id:index/$index-id" ] } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Box を使用する場合、以下のようなポリシーでロールを提供します。
-
シー AWS Secrets Manager クレットにアクセスして Slack を認証するためのアクセス許可。
-
Box コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Box データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
Confluence への接続に必要な認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Confluence データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。
注記
Confluence データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
VPC を使用している場合は、必要なリソース Amazon Kendra へのアクセスを許可するポリシーを指定します。必要なポリシーについては「データソースおよび VPC のIAM ロール」を参照してください。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Confluence コネクタ v2.0 データソース用には、以下のようなポリシーを提供します。
-
Confluence の認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Confluence データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 AWS Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。
また、 がロールを引き受け Amazon Kendra ることを許可する信頼ポリシーをアタッチする必要があります。
注記
Confluence データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
が Confluence に接続 Amazon Kendra できるようにするロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Dropbox を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Dropbox を認証するためのアクセス許可。
-
Dropbox コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Dropbox データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Drupal を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Drupal を認証するためのアクセス許可。
-
Drupal コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Drupal データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、アクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
GitHub を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして GitHub を認証するためのアクセス許可。
-
GitHub コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
GitHub データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Gmail を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Gmail を認証するためのアクセス許可。
-
Gmail コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Gmail データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Google Workspace Drive データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
Google Drive サイトへの接続に必要なクライアントアカウントの E メール、管理者アカウントの E メール、プライベートキーを含む AWS Secrets Manager シークレットを取得および復号化するアクセス許可。シークレットの内容の詳細については、「Google Drive データソース」を参照してください。
-
BatchPutDocument API と BatchDeleteDocument API を使用する許可。
注記
Google Drive データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
シー AWS Secrets Manager クレットにアクセスして IBM DB2 データソースインスタンスを認証するためのアクセス許可。
-
IBM DB2 データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
IBM DB2 データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Jira を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Jira を認証するアクセス許可。
-
Jira コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Jira データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft Exchange データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
Microsoft Exchange サイトへの接続に必要なアプリケーション ID と AWS Secrets Manager シークレットキーを含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「Microsoft Exchange データソース」を参照してください。
-
BatchPutDocument API と BatchDeleteDocument API を使用する許可。
注記
Microsoft Exchange データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
インデックスを作成するユーザーのリストを Amazon S3 バケットに保存する場合は、S3 GetObjectオペレーションを使用するアクセス許可も提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft OneDrive データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
OneDrive サイトへの接続に必要なアプリケーション ID と AWS Secrets Manager シークレットキーを含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「Microsoft OneDrive データソース」を参照してください。
-
BatchPutDocument API と BatchDeleteDocument API を使用する許可。
注記
Microsoft OneDrive データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
インデックスを作成するユーザーのリストを Amazon S3 バケットに保存する場合は、S3 GetObjectオペレーションを使用するアクセス許可も提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft SharePoint v1.0 をデータソースとして使用する場合は、以下のようなポリシーを持つロールを提供します。
-
SharePoint サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Microsoft SharePoint データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 AWS Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。 -
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
また、 がロールを引き受け Amazon Kendra ることを許可する信頼ポリシーをアタッチする必要があります。
注記
Microsoft SharePoint データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、キー Amazon Kendra へのアクセスを許可するポリシーを指定します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft SharePoint Connector v2.0 をデータソースとして使用する場合は、以下のようなポリシーを持つロールを提供します。
-
SharePoint サイトの認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Microsoft SharePoint データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 AWS Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。 -
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
また、 がロールを引き受け Amazon Kendra ることを許可する信頼ポリシーをアタッチする必要があります。
注記
Microsoft SharePoint データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/key-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids", "arn:aws:ec2:your-region:your-account-id:security-group/security-group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、キー Amazon Kendra へのアクセスを許可するポリシーを指定します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:youraccount-id:key/key-id" ] } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft SQL Server をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Microsoft SQL Server インスタンスを認証するためのアクセス許可。
-
Microsoft SQL Server コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Microsoft SQL Server データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft Teams データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
Microsoft Teams への接続に必要なクライアント ID とクライアント AWS Secrets Manager シークレットを含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「Microsoft Teams データソース」を参照してください。
注記
Microsoft Teams データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:client-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Microsoft Yammer データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
Microsoft Yammer サイトへの接続に必要なアプリケーション ID とシークレットキー AWS Secrets Manager を含むシークレットを取得および復号化するアクセス許可。シークレットの内容に関する詳細は、「Microsoft Yammer データソース」を参照してください。
-
BatchPutDocument API と BatchDeleteDocument API を使用する許可。
注記
Microsoft Yammer データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
インデックスを作成するユーザーのリストを Amazon S3 バケットに保存する場合は、S3 GetObjectオペレーションを使用するアクセス許可も提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
My SQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして My SQL データソースインスタンスを認証するためのアクセス許可。
-
My SQL データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
MySQL データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Oracle をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Oracle データソースインスタンスを認証するためのアクセス許可。
-
Oracle データソースコネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Oracle データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
PostgreSQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして PostgreSQL データソースインスタンスを認証するためのアクセス許可。
-
PostgreSQL データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
PostgreSQL データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quip を使用する場合、以下のようなポリシーでロールを提供します。
-
シー AWS Secrets Manager クレットにアクセスして Quip を認証するためのアクセス許可。
-
Quip コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Amazon Kendra を介して Quip データソースを に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Slaesforce をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
Salesforce サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Salesforce データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。
注記
Salesforce データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
ServiceNow をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
ServiceNow サイトのユーザー名とパスワードを含む Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「ServiceNow データソース」を参照してください。
-
AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
-
インデックスを更新するために
BatchPutDocumentおよびBatchDeleteDocumentオペレーションを使用する許可。
注記
Amazon Kendra を介して ServiceNow データソースを に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Slack を使用する場合、次のポリシーでロールを提供します。
-
シー AWS Secrets Manager クレットにアクセスして Slack を認証するためのアクセス許可。
-
Slack コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Amazon Kendra を介して Slack データソースを に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Zendesk を使用する場合、以下のようなポリシーでロールを提供します。
-
Zendesk Suite を認証するための AWS Secrets Manager シークレットへのアクセス許可。
-
Zendesk コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、およびListGroupsOlderThanOrderingIdAPI を呼び出す許可。
注記
Amazon Kendra を介して Zendesk データソースを に接続できます Amazon VPC。を使用している場合は Amazon VPC、追加のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Virtual Private Cloud (VPC) IAM ロール
Virtual Private Cloud (VPC) を使用してデータソースに接続する場合は、次の追加のアクセス許可を提供する必要があります。
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM よくある質問 (FAQsの ロール
CreateFaq API を使用して質問と回答をインデックスにロードする場合は、ソースファイルを含む Amazon S3 バケットへのアクセス権を Amazon Kendra IAM ロールに付与する必要があります。ソースファイルが暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してファイルを復号するアクセス許可を提供する必要があります。
Amazon Kendra が バケットにアクセス Amazon S3 することを許可するために必要なロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Amazon Kendra が Amazon S3 バケット内のファイルを復号するために AWS KMS カスタマーマスターキー (CMK) を使用できるようにするオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM クエリ提案の ロール
Amazon S3 ファイルをクエリ提案ブロックリストとして使用する場合は、 Amazon S3 ファイルと Amazon S3 バケットへのアクセス許可を持つロールを指定します。バケット内のブロックリストテキストファイル ( Amazon S3 ファイル) Amazon S3 が暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号化するアクセス許可を提供する必要があります。
Amazon Kendra がクエリ提案ブロックリストとして Amazon S3 ファイルを使用できるようにする必須ロールポリシー。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Amazon Kendra が Amazon S3 バケット内のドキュメントを AWS KMS 復号するために カスタマーマスターキー (CMK) を使用できるようにするオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ユーザーとグループのプリンシパルマッピング用の ロール
PutPrincipalMapping API を使用してユーザーをグループにマッピングし、検索結果をユーザーコンテキストでフィルタリングするには、グループに属するユーザーまたはサブグループのリストを提供する必要があります。リストが 1 つのグループのユーザーまたはサブグループ 1000 を超える場合は、リストの Amazon S3 ファイルと Amazon S3 バケットにアクセスする権限を持つロールを指定する必要があります。 Amazon S3 バケット内のリストのテキストファイル ( Amazon S3 ファイル) が暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号化するアクセス許可を提供する必要があります。
Amazon Kendra が グループに属するユーザーとサブグループのリストとして Amazon S3 ファイルを使用できるようにする必須ロールポリシー。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Amazon Kendra が Amazon S3 バケット内のドキュメントを AWS KMS 復号するために カスタマーマスターキー (CMK) を使用できるようにするオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountおよび aws:sourceArnが sts:AssumeRoleアクションの IAM ロールポリシーで指定されているものと同じかどうかが安全に確認されます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、混乱した代理問題に関する AWS Identity and Access Management ガイドを参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
IAM の ロール AWS IAM Identity Center
UserGroupResolutionConfiguration オブジェクトを使用して AWS IAM Identity Center ID ソースからグループとユーザーのアクセスレベルを取得する場合は、 アクセス許可を持つロールを指定する必要があります IAM Identity Center。
Amazon Kendra が にアクセスすることを許可するために必要なロールポリシー IAM Identity Center。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAMAmazon Kendra エクスペリエンスの ロール
CreateExperience API または UpdateExperience API を使用して、検索アプリケーションを作成または更新する場合、必要なオペレーションおよび IAM Identity Center へのアクセス許可を持つロールを提供する必要があります。
ユーザーおよびグループ情報を保存する Query オペレーション、 QuerySuggestions オペレーション、 SubmitFeedbackオペレーション、および IAM Identity Center Amazon Kendra へのアクセスを に許可するために必要なロールポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountおよび aws:sourceArnが sts:AssumeRoleアクションの IAM ロールポリシーで指定されているものと同じかどうかが安全に確認されます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、混乱した代理問題に関する AWS Identity and Access Management ガイドを参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
IAM カスタムドキュメントエンリッチメントの ロール
CustomDocumentEnrichmentConfiguration オブジェクトを使用してドキュメントのメタデータとコンテンツの高度な変更を適用する場合、PreExtractionHookConfiguration および/または PostExtractionHookConfiguration の実行に必要な許可を持つロールを提供する必要があります。PreExtractionHookConfiguration および/または PostExtractionHookConfiguration の Lambda 関数を設定して、取り込みプロセス中にドキュメントのメタデータとコンテンツの高度な変更を適用します。 Amazon S3 バケットのサーバー側の暗号化を有効にする場合は、 AWS KMS カスタマーマスターキー (CMK) を使用して Amazon S3 バケットに保存されているオブジェクトを暗号化および復号するアクセス許可を提供する必要があります。
がバケット Amazon Kendra の暗号化PostExtractionHookConfigurationを使用して PreExtractionHookConfigurationおよび Amazon S3 を実行できるようにする必須のロールポリシー。
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }
Amazon S3 バケット Amazon Kendra の暗号化PostExtractionHookConfigurationなしで PreExtractionHookConfigurationと を実行することを許可するオプションのロールポリシー。
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、アクセス許可が制限され、 aws:sourceAccountおよび aws:sourceArnが sts:AssumeRoleアクションの IAM ロールポリシーで指定されているものと同じかどうかが安全に確認されます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、混乱した代理問題に関する AWS Identity and Access Management ガイドを参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
