本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 OpenID
要配置 Amazon Kendra 索引以使用 OpenID 令牌進行訪問控制,您需要 OpenID 提供程序提供的 JWKS(JSON 網絡密鑰集)URL。在大多數情況下,JWKS 網址採用以下格式(如果他們正在遵循 OpenID 發現)。https://domain-name/.well_known/jwks.json
下列範例說明如何在建立索引時使用 OpenID 權杖進行使用者存取控制。
- Console
-
-
選擇 [建立索引] 以開始建立新索引。
-
在 [指定索引詳細資訊] 頁面上,為索引提供名稱和說明。
-
對於IAM 角色,請選取角色或選取建立新角色,然後指定角色名稱以建立新角色。IAM 角色的字首為「AmazonKendra-」。
-
將所有其他欄位保留為預設值。選擇下一步。
-
在 [設定使用者存取控制] 頁面的 [存取控制設定] 下,選擇 [是] 以使用權杖進行存取控制。
-
在令牌配置下,選擇 OpenID 作為令牌類型。
-
指定簽署金鑰 URL。該網址應指向一組 JSON 網絡密鑰。
-
進階組態下的選用性:
-
指定 ACL 檢查中要使用的「使用者名稱」。
-
指定一個或多個要在 ACL 檢查中使用的群組。
-
指定將驗證權杖發行者的發行者。
-
指定用戶端識別碼。您必須指定符合 JWT 中對象的規則運算式。
-
-
在佈建詳細資料頁面中,選擇開發人員版本。
-
選擇 [建立] 以建立索引。
-
等待您的索引創建。 Amazon Kendra 為您的索引佈建硬體。此操作可能需要一些時間。
-
- CLI
-
若要 AWS CLI 使用 JSON 輸入檔案建立索引,請先使用您想要的參數建立 JSON 檔案:
{ "Name": "user-context", "Edition": "ENTERPRISE_EDITION", "RoleArn": "arn:aws:iam::account-id:role:/my-role", "UserTokenConfigurations": [ { "JwtTokenTypeConfiguration": { "KeyLocation": "URL", "Issuer": "optional: specify the issuer url", "ClaimRegex": "optional: regex to validate claims in the token", "UserNameAttributeField": "optional: user", "GroupAttributeField": "optional: group", "URL": "https://example.com/.well-known/jwks.json" } } ], "UserContextPolicy": "USER_TOKEN" }您可以覆寫預設的使用者和群組欄位名稱。的預設值
UserNameAttributeField為「使用者」。的預設值GroupAttributeField為「群組」。接下來,
create-index使用輸入文件調用。例如,如果 JSON 檔案的名稱是create-index-openid.json,您可以使用下列命令:aws kendra create-index --cli-input-json file://create-index-openid.json - Python
-
response = kendra.create_index( Name='user-context', Edition='ENTERPRISE_EDITION', RoleArn='arn:aws:iam::account-id:role:/my-role', UserTokenConfigurations=[ { "JwtTokenTypeConfiguration": { "KeyLocation": "URL", "Issuer": "optional: specify the issuer url", "ClaimRegex": "optional: regex to validate claims in the token", "UserNameAttributeField": "optional: user", "GroupAttributeField": "optional: group", "URL": "https://example.com/.well-known/jwks.json" } } ], UserContextPolicy='USER_TOKEN' )
