AWS 亚马逊 Kendra 的托管政策

要向用户、群组和角色添加权限，使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门，您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例，可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息，请参阅 IAM 用户指南中的AWS 托管策略。

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份（用户、组和角色）。当启动新特征或新操作可用时，服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限，因此策略更新不会破坏您的现有权限。

此外，还 AWS 支持跨多个服务的工作职能的托管策略。例如，ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时， AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略。

AWS 托管策略： AmazonKendraReadOnly

授予 Amazon Kendra 资源只读访问权限。该策略包含以下权限。

• kendra - 允许用户执行返回项目列表或项目详细信息的操作。这包括以 Describe、List、Query、BatchGetDocumentStatus、GetQuerySuggestions 或 GetSnapshots 开头的 API 操作。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kendra:Describe*",
                "kendra:List*",
                "kendra:Query",
                "kendra:BatchGetDocumentStatus",
                "kendra:GetQuerySuggestions",
                "kendra:GetSnapshots"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 托管策略： AmazonKendraFullAccess

授予创建、读取、更新、删除、标记和运行全部 Amazon Kendra 资源的完全访问权限。该策略包含以下权限。

• kendra - 允许主体读写访问 Amazon Kendra 中的所有操作。

• s3 - 允许主体获取 Amazon S3 存储桶的位置并列出存储桶。

• iam - 允许主体传递和列出角色。

• kms— 允许委托人描述和列出 AWS KMS 密钥和别名。

• secretsmanager - 允许主体创建、描述和列出密钥。

• ec2— 允许委托人描述安全组、 VCPs（虚拟私有云）和子网。

• cloudwatch - 允许主体查看 Cloud Watch 指标。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kendra.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListKeys",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonKendra-*"
        },
        {
            "Effect": "Allow",
            "Action": "kendra:*",
            "Resource": "*"
        }
    ]
}

亚马逊 Kendra 更新了托管政策 AWS

查看有关自 Amazon Kendra AWS 托管政策开始跟踪这些变更以来该服务更新的详细信息。有关此页面更改的自动提示，请订阅 Amazon Kendra 文档历史记录页面上的 RSS 源。

更改	描述	日期
AmazonKendraReadOnly—添加支持 GetSnapshots权限， BatchGetDocumentStatus APIs	亚马逊 Kendra 添加了新的 APIs GetSnapshots和. BatchGetDocumentStatus GetSnapshots提供的数据显示您的用户如何与您的搜索应用程序进行交互。 BatchGetDocumentStatus监控为文档编制索引的进度。	2022 年 1 月 3 日
AmazonKendraReadOnly—添加支持 GetQuerySuggestions 操作的权限	Amazon Kendra 添加了一个新的 API GetQuerySuggestions，允许访问获取热门搜索查询的查询建议，从而帮助指导用户的搜索。当用户键入搜索查询时，建议的查询有助于自动完成搜索。	2021 年 5 月 27 日
Amazon Kendra 已开始跟踪更改	亚马逊 Kendra 开始跟踪其 AWS 托管政策的变更。	2021 年 5 月 27 日