Erste Schritte mit einer AWS IAM Identity Center Identitätsquelle (Konsole) - Amazon Kendra

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit einer AWS IAM Identity Center Identitätsquelle (Konsole)

Eine AWS IAM Identity Center Identitätsquelle enthält Informationen über Ihre Benutzer und Gruppen. Dies ist nützlich, wenn Sie eine Benutzerkontextfilterung einrichten möchten, bei der Suchergebnisse für verschiedene Benutzer basierend auf dem Zugriff des Benutzers oder seiner Gruppe auf Dokumente Amazon Kendra gefiltert werden.

Um eine IAM Identity Center-Identitätsquelle zu erstellen, müssen Sie IAM Identity Center aktivieren und eine Organisation in erstellen AWS Organizations. Wenn Sie IAM Identity Center aktivieren und eine Organisation zum ersten Mal erstellen, verwendet diese automatisch standardmäßig das Identity Center-Verzeichnis als Identitätsquelle. Sie können zu Active Directory (von Amazon verwaltet oder selbst verwaltet) oder zu einem externen Identitätsanbieter als Identitätsquelle wechseln. Dazu müssen Sie die richtigen Anweisungen befolgen — siehe Ändern Ihrer IAM Identity Center-Identitätsquelle. Sie können nur eine Identitätsquelle pro Organisation haben.

Damit Ihren Benutzern und Gruppen unterschiedliche Zugriffsebenen auf Dokumente zugewiesen werden können, müssen Sie Ihre Benutzer und Gruppen in Ihre Zugriffskontrollliste aufnehmen, wenn Sie Dokumente in Ihren Index aufnehmen. Auf diese Weise können Ihre Benutzer und Gruppen entsprechend ihrer Zugriffsebene nach Dokumenten suchen. Amazon Kendra Wenn Sie eine Anfrage stellen, muss die Benutzer-ID exakt mit dem Benutzernamen in IAM Identity Center übereinstimmen.

Sie müssen außerdem die erforderlichen Berechtigungen für die Verwendung von IAM Identity Center mit gewähren Amazon Kendra. Weitere Informationen finden Sie unter IAM Rollen für IAM Identity Center.

Um eine IAM Identity Center-Identitätsquelle einzurichten

  1. Öffnen Sie die IAMIdentity Center-Konsole.

  2. Wählen Sie IAMIdentity Center aktivieren und dann AWS Organisation erstellen aus.

    Das Identity Center-Verzeichnis wird standardmäßig erstellt, und Sie erhalten eine E-Mail, um die mit der Organisation verknüpfte E-Mail-Adresse zu überprüfen.

  3. Um Ihrer AWS Organisation eine Gruppe hinzuzufügen, wählen Sie im Navigationsbereich Gruppen aus.

  4. Wählen Sie auf der Seite Gruppen die Option Gruppe erstellen aus und geben Sie im Dialogfeld einen Gruppennamen und eine Beschreibung ein. Wählen Sie Create (Erstellen) aus.

  5. Um einen Benutzer zu Ihren Organizations hinzuzufügen, wählen Sie im Navigationsbereich Benutzer aus.

  6. Wählen Sie auf der Seite Users (Benutzer) die Option Add user (Benutzer hinzufügen) aus. Geben Sie unter User details (Benutzerdetails) alle erforderlichen Felder an. Wählen Sie unter Password (Kennwort) Send an email to the user (Eine E-Mail-Nachricht an den Benutzer senden aus. Wählen Sie Weiter.

  7. Um einen Benutzer zu einer Gruppe hinzuzufügen, wählen Sie Gruppen und wählen Sie eine Gruppe aus.

  8. Wählen Sie auf der Detailseite unter Gruppenmitglieder die Option Benutzer hinzufügen aus.

  9. Wählen Sie auf der Seite Benutzer zur Gruppe hinzufügen den Benutzer aus, den Sie als Mitglied der Gruppe hinzufügen möchten. Sie können mehrere Benutzer auswählen, die einer Gruppe hinzugefügt werden sollen.

  10. Um Ihre Benutzer- und Gruppenliste mit IAM Identity Center zu synchronisieren, ändern Sie Ihre Identitätsquelle auf Active Directory oder Externer Identitätsanbieter.

    Das Identity Center-Verzeichnis ist die Standard-Identitätsquelle und erfordert, dass Sie Ihre Benutzer und Gruppen mithilfe dieser Quelle manuell hinzufügen, wenn Sie Ihre eigene Liste nicht von einem Anbieter verwalten lassen. Um Ihre Identitätsquelle zu ändern, müssen Sie die entsprechenden Anweisungen befolgen — siehe Ändern Ihrer IAM Identity Center-Identitätsquelle.

Anmerkung

Wenn Sie Active Directory oder einen externen Identitätsanbieter als Identitätsquelle verwenden, müssen Sie die E-Mail-Adressen Ihrer Benutzer den IAM Identity Center-Benutzernamen zuordnen, wenn Sie das System for Cross-Domain Identity Management () SCIM -Protokoll angeben. Weitere Informationen finden Sie im IAMIdentity Center-Leitfaden SCIM zur Aktivierung von IAM Identity Center.

Sobald Sie Ihre IAM Identity Center-Identitätsquelle eingerichtet haben, können Sie diese in der Konsole aktivieren, wenn Sie Ihren Index erstellen oder bearbeiten. Gehen Sie in Ihren Indexeinstellungen zu Benutzerzugriffskontrolle und bearbeiten Sie Ihre Einstellungen, um das Abrufen von Benutzergruppeninformationen aus IAM Identity Center zu ermöglichen.

Sie können IAM Identity Center auch mithilfe des UserGroupResolutionConfigurationObjekts aktivieren. Sie geben das UserGroupResolutionMode AS an AWS_SSO und erstellen eine IAM Rolle, die das Aufrufen vonsso:ListDirectoryAssociations,, sso-directory:SearchUserssso-directory:ListGroupsForUser, ermöglichtsso-directory:DescribeGroups.

Warnung

Amazon Kendra unterstützt derzeit nicht die Verwendung Ihrer IAM Identity Center-Identitätsquelle UserGroupResolutionConfiguration mit einem Mitgliedskonto einer AWS Organisation. Sie müssen Ihren Index im Verwaltungskonto der Organisation erstellen, um ihn verwenden zu könnenUserGroupResolutionConfiguration.

Im Folgenden finden Sie eine Übersicht darüber, wie Sie eine Datenquelle mit UserGroupResolutionConfiguration Benutzerzugriffskontrolle einrichten, um Suchergebnisse nach Benutzerkontext zu filtern. Dies setzt voraus, dass Sie bereits einen Index und eine IAM Rolle für Indizes erstellt haben. Sie erstellen einen Index und stellen die IAM Rolle mithilfe von bereit. CreateIndexAPI

Einrichtung einer Datenquelle mit UserGroupResolutionConfiguration Benutzerkontextfilterung

  1. Erstellen Sie eine IAM Rolle, die Ihnen Zugriff auf Ihre IAM Identity Center-Identitätsquelle gewährt.

  2. Stellen Sie die Konfiguration ein, UserGroupResolutionConfigurationindem Sie den Modus auf einstellen AWS_SSO und anrufen UpdateIndex, um Ihren Index für die Nutzung von IAM Identity Center zu aktualisieren.

  3. Wenn Sie die tokenbasierte Benutzerzugriffskontrolle verwenden möchten, um Suchergebnisse nach Benutzerkontext zu filtern, stellen Sie die Einstellung auf „USER_TOKENWenn Sie UserContextPolicyanrufen“ ein. UpdateIndex Andernfalls wird die Zugriffskontrollliste für jedes Ihrer Dokumente für die meisten Datenquellen-Connectors Amazon Kendra durchsucht. Sie können die Suchergebnisse in der Abfrage auch nach Benutzerkontext filtern, API indem Sie Benutzer- und Gruppeninformationen unter angeben. UserContext Sie können Benutzer auch mit Hilfe ihren Gruppen PutPrincipalMappingzuordnen, sodass Sie bei der Abfrage nur die Benutzer-ID angeben müssen.

  4. Erstellen Sie eine IAM Rolle, die Ihnen Zugriff auf Ihre Datenquelle gewährt.

  5. Konfigurieren Sie Ihre Datenquelle. Sie müssen die erforderlichen Verbindungsinformationen angeben, um eine Verbindung zu Ihrer Datenquelle herzustellen.

  6. Erstellen Sie eine Datenquelle mit dem CreateDataSourceAPI. Geben Sie das DataSourceConfiguration Objekt anTemplateConfiguration, das die ID Ihres Indexes, die IAM Rolle für Ihre Datenquelle und den Datenquellentyp enthält, und geben Sie Ihrer Datenquelle einen Namen. Sie können Ihre Datenquelle auch aktualisieren.