Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie einen Index, eine Datenquelle oder eine häufig gestellte Frage erstellen, Amazon Kendra benötigt es Zugriff auf die AWS Ressourcen, die für die Erstellung der Amazon Kendra Ressource erforderlich sind. Sie müssen eine AWS Identity and Access Management (IAM) -Richtlinie erstellen, bevor Sie die Amazon Kendra Ressource erstellen. Wenn Sie den Vorgang aufrufen, geben Sie den Amazon-Ressourcennamen (ARN) der Rolle an, der die Richtlinie beigefügt ist. Wenn Sie beispielsweise die BatchPutDocumentAPI aufrufen, um Dokumente aus einem Amazon S3 Bucket hinzuzufügen, geben Sie eine Rolle Amazon Kendra mit einer Richtlinie an, die Zugriff auf den Bucket hat.
Sie können eine neue IAM Rolle in der Amazon Kendra Konsole erstellen oder eine IAM vorhandene Rolle auswählen, die Sie verwenden möchten. In der Konsole werden Rollen angezeigt, deren Rollenname die Zeichenfolge „Kendra“ oder „Kendra“ enthält.
Die folgenden Themen enthalten Einzelheiten zu den erforderlichen Richtlinien. Wenn Sie IAM Rollen mit der Amazon Kendra Konsole erstellen, werden diese Richtlinien für Sie erstellt.
Themen
IAM Rollen für Indizes
Wenn Sie einen Index erstellen, müssen Sie einer IAM Rolle die Berechtigung zum Schreiben in einen Amazon CloudWatch geben. Sie müssen auch eine Vertrauensrichtlinie angeben, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen. Im Folgenden sind die Richtlinien aufgeführt, die bereitgestellt werden müssen.
Eine Rollenrichtlinie, die den Zugriff Amazon Kendra auf ein CloudWatch Protokoll ermöglicht.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
}
]
}Eine Rollenrichtlinie, die Amazon Kendra den Zugriff ermöglicht AWS Secrets Manager. Wenn Sie den Benutzerkontext mit Secrets Manager als Schlüsselposition verwenden, können Sie die folgende Richtlinie verwenden.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"cloudwatch:PutMetricData",
"Resource":"*",
"Condition":{
"StringEquals":{
"cloudwatch:namespace":"AWS/Kendra"
}
}
},
{
"Effect":"Allow",
"Action":"logs:DescribeLogGroups",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"logs:CreateLogGroup",
"Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
},
{
"Effect":"Allow",
"Action":[
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect":"Allow",
"Action":[
"secretsmanager:GetSecretValue"
],
"Resource":[
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect":"Allow",
"Action":[
"kms:Decrypt"
],
"Resource":[
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition":{
"StringLike":{
"kms:ViaService":[
"secretsmanager.your-region.amazonaws.com"
]
}
}
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM Rollen für die BatchPutDocument API
Warnung
Amazon Kendra verwendet keine Bucket-Richtlinie, die einem Amazon Kendra Principal die Erlaubnis erteilt, mit einem S3-Bucket zu interagieren. Stattdessen verwendet es IAM Rollen. Stellen Sie sicher, dass dies Amazon Kendra nicht als vertrauenswürdiges Mitglied in Ihrer Bucket-Richtlinie enthalten ist, um Datensicherheitsprobleme zu vermeiden, die durch die versehentliche Vergabe von Berechtigungen an beliebige Prinzipale entstehen. Sie können jedoch eine Bucket-Richtlinie hinzufügen, um einen Amazon S3 Bucket für verschiedene Konten zu verwenden. Weitere Informationen finden Sie unter Richtlinien zur Amazon S3 kontenübergreifenden Verwendung. Informationen zu IAM Rollen für S3-Datenquellen finden Sie unter IAM Rollen.
Wenn Sie die BatchPutDocumentAPI verwenden, um Dokumente in einem Amazon S3 Bucket zu indizieren, müssen Sie eine IAM Rolle mit Zugriff auf den Bucket angeben Amazon Kendra . Sie müssen auch eine Vertrauensrichtlinie angeben, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen. Wenn die Dokumente im Bucket verschlüsselt sind, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
Eine erforderliche Rollenrichtlinie, um den Zugriff Amazon Kendra auf einen Amazon S3 Bucket zu ermöglichen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Es wird empfohlen, aws:sourceAccount und aws:sourceArn in die Vertrauensrichtlinie aufzunehmen. Dadurch aws:sourceArn werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob aws:sourceAccount und ob sie mit den in der IAM Rollenrichtlinie für die sts:AssumeRole Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum Problem des verwirrten Stellvertreters.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*"
}
}
}
]
}Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}IAM Rollen für Datenquellen
Wenn Sie die CreateDataSourceAPI verwenden, müssen Sie Amazon Kendra einer IAM Rolle eine Rolle zuweisen, die berechtigt ist, auf die Ressourcen zuzugreifen. Welche spezifischen Berechtigungen erforderlich sind, hängt von der Datenquelle ab.
Wenn Sie Adobe Experience Manager verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihren Adobe Experience Manager zu authentifizieren.
-
Erlaubnis, das erforderliche Publikum APIs für den Adobe Experience Manager-Connector anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, und aufzurufenListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Adobe Experience Manager-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Alfresco verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Alfresco zu authentifizieren.
-
Erlaubnis, das für den Alfresco-Connector erforderliche Publikum APIs anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMapping,DescribePrincipalMappingund aufzurufen.ListGroupsOlderThanOrderingIdAPIs
Anmerkung
Sie können eine Alfresco-Datenquelle mit über verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Aurora (MySQL) verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Aurora (MySQL) zu authentifizieren.
-
Erlaubnis, die erforderliche Öffentlichkeit APIs für den Aurora (MySQL-) Konnektor aufzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, und aufzurufenListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Aurora (MySQL-) Datenquelle mit Amazon Kendra through verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Aurora (PostgreSQL) verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Aurora (PostgreSQL) zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen Public APIs für den Aurora (PostgreSQL-) Connector.
-
Erlaubnis zum Aufrufen von
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, und.ListGroupsOlderThanOrderingIdAPIs
Anmerkung
Sie können eine Aurora (PostgreSQL-) Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie sie verwenden Amazon FSx, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Amazon FSx Dateisystem zu authentifizieren.
-
Zugriffsberechtigung Amazon Virtual Private Cloud (VPC), wo sich Ihr Amazon FSx Dateisystem befindet.
-
Erlaubnis, den Domainnamen Ihres Active Directory für Ihr Amazon FSx Dateisystem abzurufen.
-
Erlaubnis, das APIs für den Amazon FSx Connector erforderliche Publikum anzurufen.
-
Erlaubnis, den Index aufzurufen
BatchPutDocumentundBatchDeleteDocumentAPIs zu aktualisieren.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action":[
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.*.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
"Effect": "Allow",
"Action": "ds:DescribeDirectories",
"Resource": "*"
},
{
"Sid": "AllowsKendraToCallRequiredFsxAPIs",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie eine Datenbank als Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der herzustellen. Dazu zählen:
-
Berechtigung zum Zugriff auf das AWS Secrets Manager Geheimnis, das den Benutzernamen und das Passwort für die Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Datenquellen.
-
Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index. -
Berechtigung zum Zugriff auf den Amazon S3 Bucket, der das SSL-Zertifikat enthält, das für die Kommunikation mit der Site verwendet wird.
Anmerkung
Sie können Datenbankdatenquellen mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Es gibt zwei optionale Richtlinien, die Sie für eine Datenquelle verwenden können.
Wenn Sie den Amazon S3 Bucket verschlüsselt haben, der das für die Kommunikation mit dem verwendete SSL-Zertifikat enthält, geben Sie eine Richtlinie an, um Amazon Kendra Zugriff auf den Schlüssel zu gewähren.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Wenn Sie eine VPC verwenden, geben Sie eine Richtlinie an, die Amazon Kendra Zugriff auf die erforderlichen Ressourcen gewährt. Die erforderliche Richtlinie finden Sie unter IAM Rollen für Datenquellen, VPC.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen Datenquellenconnector Amazon RDS (Microsoft SQL Server) verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Datenquelleninstanz Amazon RDS (Microsoft SQL Server) zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Datenquellenconnector Amazon RDS (Microsoft SQL Server).
-
Berechtigung zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Amazon RDS (Microsoft SQL Server-) Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen Amazon RDS (MySQL-) Datenquellenconnector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Amazon RDS (MySQL-) Datenquelleninstanz zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Amazon RDS (MySQL-) Datenquellenconnector.
-
Erlaubnis zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Amazon RDS (MySQL-) Datenquelle mit Amazon Kendra through verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen Amazon RDS Oracle-Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Amazon RDS (Oracle-) Datenquelleninstanz zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Amazon RDS (Oracle-) Datenquellen-Connector.
-
Erlaubnis zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Amazon RDS Oracle-Datenquelle mit Through Amazon Kendra verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen Amazon RDS (PostgreSQL-) Datenquellenconnector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Amazon RDS (PostgreSQL-) Datenquelleninstanz zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Amazon RDS (PostgreSQL-) Datenquellenconnector.
-
Erlaubnis zum Aufrufen von
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, und.ListGroupsOlderThanOrderingIdAPIs
Anmerkung
Sie können eine Amazon RDS (PostgreSQL-) Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Warnung
Amazon Kendra verwendet keine Bucket-Richtlinie, die einem Amazon Kendra Principal die Erlaubnis erteilt, mit einem S3-Bucket zu interagieren. Stattdessen verwendet es IAM Rollen. Stellen Sie sicher, dass dies Amazon Kendra nicht als vertrauenswürdiges Mitglied in Ihrer Bucket-Richtlinie enthalten ist, um Datensicherheitsprobleme zu vermeiden, die durch die versehentliche Vergabe von Berechtigungen an beliebige Prinzipale entstehen. Sie können jedoch eine Bucket-Richtlinie hinzufügen, um einen Amazon S3 Bucket für verschiedene Konten zu verwenden. Weitere Informationen finden Sie unter Richtlinien, die Amazon S3 kontenübergreifend verwendet werden sollen (nach unten scrollen).
Wenn Sie einen Amazon S3 Bucket als Datenquelle verwenden, geben Sie eine Rolle an, die berechtigt ist, auf den Bucket zuzugreifen und die BatchDeleteDocument Operationen BatchPutDocument und zu verwenden. Wenn die Dokumente im Amazon S3
Bucket verschlüsselt sind, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
Die folgenden Rollenrichtlinien müssen die Übernahme einer Rolle Amazon Kendra ermöglichen. Scrollen Sie weiter nach unten, um eine Vertrauensrichtlinie für die Übernahme einer Rolle anzuzeigen.
Eine Rollenrichtlinie, die erforderlich ist Amazon Kendra , um die Verwendung eines Amazon S3 Buckets als Datenquelle zu ermöglichen.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
]
}
]
}Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Eine optionale Rollenrichtlinie, die den Amazon Kendra Zugriff auf einen Amazon S3 Bucket ermöglicht, während ein Bucket verwendet wird Amazon VPC, ohne dass Berechtigungen aktiviert AWS KMS oder geteilt AWS KMS werden müssen.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Eine optionale Rollenrichtlinie, die den Amazon Kendra Zugriff auf einen Amazon S3 Bucket ermöglicht Amazon VPC, während Sie einen verwenden und die AWS KMS Berechtigungen aktiviert sind.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Richtlinien, die Amazon S3 kontenübergreifend verwendet werden sollen
Wenn sich Ihr Amazon S3 Bucket in einem anderen Konto befindet als das Konto, das Sie für Ihren Amazon Kendra Index verwenden, können Sie Richtlinien erstellen, um ihn kontenübergreifend zu verwenden.
Eine Rollenrichtlinie zur Verwendung Ihres Amazon S3 Buckets als Datenquelle, wenn sich der Bucket in einem anderen Konto als Ihrem Amazon Kendra Index befindet. Beachten Sie, dass s3:PutObject und optional s3:PutObjectAcl sind. Sie verwenden diese Option, wenn Sie eine Konfigurationsdatei für Ihre Zugriffskontrollliste hinzufügen möchten.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:$your-region:$your-account-id:index/$index-id"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::$bucket-in-other-account/*"
}
]
}Eine Bucket-Richtlinie, die es der Amazon S3 Datenquellenrolle ermöglicht, kontenübergreifend auf den Amazon S3 Bucket zuzugreifen. Beachten Sie, dass s3:PutObject und optional s3:PutObjectAcl sind. Sie verwenden diese Option, wenn Sie eine Konfigurationsdatei für Ihre Zugriffskontrollliste hinzufügen möchten.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Amazon Kendra Web Crawler verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
-
Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der die Anmeldeinformationen für die Verbindung zu Websites oder einem Web-Proxyserver enthält, der durch Standardauthentifizierung unterstützt wird. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Verwenden einer Webcrawler-Datenquelle.
-
Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index. -
Wenn Sie einen Amazon S3 Bucket verwenden, um Ihre Seed-Liste URLs oder Sitemaps zu speichern, fügen Sie die Zugriffsberechtigung für den Amazon S3 Bucket hinzu.
Anmerkung
Sie können eine Amazon Kendra Web Crawler-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Wenn Sie Ihren Seed URLs oder Ihre Sitemaps in einem Amazon S3 Bucket speichern, müssen Sie der Rolle diese Berechtigung hinzufügen.
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie verwenden Amazon WorkDocs, geben Sie eine Rolle mit den folgenden Richtlinien an
-
Berechtigung zur Überprüfung der Verzeichnis-ID (Organisations-ID), die Ihrem Amazon WorkDocs Site-Repository entspricht.
-
Berechtigung zum Abrufen des Domänennamens Ihres Active Directorys, das Ihr Amazon WorkDocs Standortverzeichnis enthält.
-
Erlaubnis, das APIs für den Amazon WorkDocs Connector erforderliche Publikum aufzurufen.
-
Erlaubnis, den Index aufzurufen
BatchPutDocumentundBatchDeleteDocumentAPIs zu aktualisieren.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
"Effect": "Allow",
"Action": "ds:DescribeDirectories",
"Resource": "*"
},
{
"Sid": "AllowsKendraToCallRequiredWorkDocsAPIs",
"Effect": "Allow",
"Action": [
"workdocs:GetDocumentPath",
"workdocs:GetGroup",
"workdocs:GetDocument",
"workdocs:DownloadDocumentVersions",
"workdocs:DescribeUsers",
"workdocs:DescribeFolderContents",
"workdocs:DescribeActivities",
"workdocs:DescribeComments",
"workdocs:GetFolder",
"workdocs:DescribeResourcePermissions",
"workdocs:GetFolderPath",
"workdocs:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
},
{
"Sid": "AllowsKendraToCallBatchPutDeleteAPIs",
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:account-id:index/$index-id"
]
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Box verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf dein AWS Secrets Manager Geheimnis zuzugreifen, um dein Slack zu authentifizieren.
-
Erlaubnis, das APIs für den Box-Connector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, und aufzurufenListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Box-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen Confluence-Server als Datenquelle verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
-
Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der die Anmeldeinformationen enthält, die für die Verbindung mit Confluence erforderlich sind. Weitere Informationen zum Inhalt des Secrets finden Sie unter Confluence-Datenquellen.
-
Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und des Passworts. Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index.
Anmerkung
Sie können eine Confluence-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}Wenn Sie eine VPC verwenden, geben Sie eine Richtlinie an, die Amazon Kendra Zugriff auf die erforderlichen Ressourcen gewährt. Die erforderliche Richtlinie finden Sie unter IAM Rollen für Datenquellen, VPC.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Für eine Confluence Connector v2.0-Datenquelle geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Berechtigung zum Zugriff auf das AWS Secrets Manager Geheimnis, das die Authentifizierungsdaten für Confluence enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Confluence-Datenquellen.
-
Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und des Passworts. AWS Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen.
Anmerkung
Sie können eine Confluence-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
Eine Rollenrichtlinie, die es ermöglicht, eine Verbindung Amazon Kendra zu Confluence herzustellen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
]
}
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Dropbox verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Dropbox zu authentifizieren.
-
Erlaubnis, das APIs für den Dropbox-Connector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, und aufzurufenListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Dropbox-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {"StringLike": {"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Drupal verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Drupal zu authentifizieren.
-
Erlaubnis, die APIs für den Drupal-Konnektor erforderliche Öffentlichkeit aufzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs aufzurufen.
Anmerkung
Sie können eine Drupal-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie sie verwenden GitHub, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr GitHub zu authentifizieren.
-
Erlaubnis, das APIs für den GitHub Connector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, und aufzurufenListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine GitHub Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Gmail verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Gmail-Konto zu authentifizieren.
-
Erlaubnis, das APIs für den Gmailconnector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMapping,DescribePrincipalMappingund aufzurufen.ListGroupsOlderThanOrderingIdAPIs
Anmerkung
Sie können eine Gmail-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {"StringLike": {"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie eine Google Workspace Drive-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
-
Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die E-Mail-Adresse des Kundenkontos, die E-Mail-Adresse des Administratorkontos und den privaten Schlüssel enthält, die für die Verbindung mit der Google Drive-Website erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Google Drive-Datenquellen.
-
Erlaubnis zur Verwendung von BatchPutDocumentund BatchDeleteDocument APIs.
Anmerkung
Sie können eine Google Drive-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen IBM DB2 Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre DB2 IBM-Datenquelleninstanz zu authentifizieren.
-
Erlaubnis, die APIs für den IBM DB2 Data Source Connector erforderliche Öffentlichkeit aufzurufen.
-
Erlaubnis zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine DB2 IBM-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Jira verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Jira zu authentifizieren.
-
Erlaubnis, die APIs für den Jira-Connector erforderliche Öffentlichkeit anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs aufzurufen.
Anmerkung
Sie können eine Jira-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie eine Microsoft Exchange-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
-
Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Anwendungs-ID und den geheimen Schlüssel enthält, die für die Verbindung mit der Microsoft Exchange-Website erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Microsoft Exchange-Datenquellen.
-
Erlaubnis zur Verwendung von BatchPutDocumentund BatchDeleteDocument APIs.
Anmerkung
Sie können eine Microsoft Exchange-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Wenn Sie die Liste der zu indizierenden Benutzer in einem Amazon S3 Bucket speichern, müssen Sie auch die Erlaubnis zur Verwendung des GetObject S3-Vorgangs erteilen. Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie eine OneDrive Microsoft-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
-
Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Anwendungs-ID und den geheimen Schlüssel enthält, die für die Verbindung mit der OneDrive Site erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter OneDrive Microsoft-Datenquellen.
-
Erlaubnis zur Verwendung von BatchPutDocumentund BatchDeleteDocument APIs.
Anmerkung
Sie können eine OneDrive Microsoft-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Wenn Sie die Liste der zu indizierenden Benutzer in einem Amazon S3 Bucket speichern, müssen Sie auch die Erlaubnis zur Verwendung des GetObject S3-Vorgangs erteilen. Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Für eine Microsoft SharePoint Connector v1.0-Datenquelle geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der den Benutzernamen und das Passwort für die SharePoint Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter SharePoint Microsoft-Datenquellen.
-
Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. AWS Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index. -
Berechtigung zum Zugriff auf den Amazon S3 Bucket, der das SSL-Zertifikat enthält, das für die Kommunikation mit der SharePoint Site verwendet wird.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen.
Anmerkung
Sie können eine SharePoint Microsoft-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Wenn Sie den Amazon S3 Bucket verschlüsselt haben, der das für die Kommunikation mit der SharePoint Site verwendete SSL-Zertifikat enthält, geben Sie eine Richtlinie an, um Amazon Kendra Zugriff auf den Schlüssel zu gewähren.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Für eine Microsoft SharePoint Connector v2.0-Datenquelle geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der die Authentifizierungsdaten für die SharePoint Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter SharePoint Microsoft-Datenquellen.
-
Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. AWS Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index. -
Berechtigung zum Zugriff auf den Amazon S3 Bucket, der das SSL-Zertifikat enthält, das für die Kommunikation mit der SharePoint Site verwendet wird.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen.
Anmerkung
Sie können eine SharePoint Microsoft-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/key-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids",
"arn:aws:ec2:your-region:your-account-id:security-group/security-group"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:region:account_id:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
]
}Wenn Sie den Amazon S3 Bucket verschlüsselt haben, der das für die Kommunikation mit der SharePoint Site verwendete SSL-Zertifikat enthält, geben Sie eine Richtlinie an, um Amazon Kendra Zugriff auf den Schlüssel zu gewähren.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:youraccount-id:key/key-id"
]
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Microsoft SQL Server verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Microsoft SQL Server-Instanz zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen Öffentlichkeit APIs für den Microsoft SQL Server-Connector.
-
Berechtigung zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Microsoft SQL Server-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie eine Microsoft Teams-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
-
Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Client-ID und das Client-Geheimnis enthält, die für die Verbindung mit Microsoft Teams erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Microsoft Teams-Datenquellen.
Anmerkung
Sie können eine Microsoft Teams-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:client-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie eine Microsoft Yammer-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
-
Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Anwendungs-ID und den geheimen Schlüssel enthält, die für die Verbindung mit der Microsoft Yammer-Site erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Microsoft Yammer-Datenquellen.
-
Erlaubnis zur Verwendung von BatchPutDocumentund BatchDeleteDocument APIs.
Anmerkung
Sie können eine Microsoft Yammer-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Wenn Sie die Liste der zu indizierenden Benutzer in einem Amazon S3 Bucket speichern, müssen Sie auch die Erlaubnis zur Verwendung des GetObject S3-Vorgangs erteilen. Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen My SQL-Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre My SQL-Datenquelleninstanz zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den My SQL-Datenquellen-Connector.
-
Berechtigung zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine MySQL-Datenquelle mit Amazon Kendra through verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen Oracle-Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Berechtigung zum Zugriff auf Ihr AWS Secrets Manager Geheimnis zur Authentifizierung Ihrer Oracle-Datenquelleninstanz.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Oracle-Datenquellen-Connector.
-
Erlaubnis zum Aufrufen von
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs.
Anmerkung
Sie können eine Oracle-Datenquelle mit Through Amazon Kendra verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie einen PostgreSQL-Datenquellenconnector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre PostgreSQL-Datenquelleninstanz zu authentifizieren.
-
Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den PostgreSQL-Datenquellenconnector.
-
Berechtigung zum Aufrufen von
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, und.ListGroupsOlderThanOrderingIdAPIs
Anmerkung
Sie können eine PostgreSQL-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Quip verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihren Quip zu authentifizieren.
-
Erlaubnis, das APIs für den Quip-Connector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs aufzurufen.
Anmerkung
Sie können eine Quip-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Salesforce als Datenquelle verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
-
Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der den Benutzernamen und das Passwort für die Salesforce-Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter Salesforce-Datenquellen.
-
Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index.
Anmerkung
Sie können eine Salesforce-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:account-id:index/index-id"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie a ServiceNow als Datenquelle verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
-
Berechtigung zum Zugriff auf das Secrets Manager Geheimnis, das den Benutzernamen und das Passwort für die ServiceNow Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter ServiceNow Datenquellen.
-
Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
-
Erlaubnis zur Verwendung der
BatchDeleteDocumentOperationenBatchPutDocumentund zur Aktualisierung des Index.
Anmerkung
Sie können eine ServiceNow Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn du Slack verwendest, stellst du eine Rolle mit den folgenden Richtlinien bereit.
-
Erlaubnis, auf dein AWS Secrets Manager Geheimnis zuzugreifen, um dein Slack zu authentifizieren.
-
Erlaubnis, das APIs für den Slack-Connector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs aufzurufen.
Anmerkung
Du kannst eine Slack-Datenquelle mit Amazon Kendra über Amazon VPC verbinden. Wenn du eine verwendest Amazon VPC, musst du zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Wenn Sie Zendesk verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
-
Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Zendesk Suite zu authentifizieren.
-
Erlaubnis, das APIs für den Zendesk-Connector erforderliche Publikum anzurufen.
-
Erlaubnis,
BatchPutDocument,,BatchDeleteDocumentPutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, undListGroupsOlderThanOrderingIdAPIs aufzurufen.
Anmerkung
Sie können eine Zendesk-Datenquelle mit Amazon Kendra über Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie zusätzliche Berechtigungen hinzufügen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Rolle in der virtuellen privaten Cloud (VPC) IAM
Wenn Sie eine Virtual Private Cloud (VPC) verwenden, um eine Verbindung zu Ihrer Datenquelle herzustellen, müssen Sie die folgenden zusätzlichen Berechtigungen bereitstellen.
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM Rollen für häufig gestellte Fragen (FAQs)
Wenn Sie die CreateFaqAPI verwenden, um Fragen und Antworten in einen Index zu laden, müssen Sie eine IAM Rolle Amazon Kendra mit Zugriff auf den Amazon S3 Bucket angeben, der die Quelldateien enthält. Wenn die Quelldateien verschlüsselt sind, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dateien zu verwenden.
Eine erforderliche Rollenrichtlinie, um den Zugriff Amazon Kendra auf einen Amazon S3 Bucket zu ermöglichen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dateien in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM Rollen für Abfragevorschläge
Wenn Sie eine Amazon S3 Datei als Blockliste für Abfragevorschläge verwenden, geben Sie eine Rolle an, die berechtigt ist, auf die Amazon S3 Datei und den Amazon S3 Bucket zuzugreifen. Wenn die Blocklisten-Textdatei (die Amazon S3 Datei) im Amazon S3 Bucket verschlüsselt ist, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
Eine Rollenrichtlinie, die erforderlich ist, Amazon Kendra um die Amazon S3 Datei als Blockliste für Ihre Abfragevorschläge verwenden zu können.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM Rollen für die prinzipielle Zuordnung von Benutzern und Gruppen
Wenn Sie die PutPrincipalMappingAPI verwenden, um Benutzer ihren Gruppen zuzuordnen, um Suchergebnisse nach Benutzerkontext zu filtern, müssen Sie eine Liste der Benutzer oder Untergruppen bereitstellen, die zu einer Gruppe gehören. Wenn Ihre Liste mehr als 1000 Benutzer oder Untergruppen für eine Gruppe umfasst, müssen Sie eine Rolle angeben, die berechtigt ist, auf die Amazon S3 Datei in Ihrer Liste und den Amazon S3 Bucket zuzugreifen. Wenn die Textdatei (die Amazon S3 Datei) der Liste im Amazon S3 Bucket verschlüsselt ist, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
Eine Rollenrichtlinie, die erforderlich ist Amazon Kendra , um die Amazon S3 Datei als Liste der Benutzer und Untergruppen verwenden zu können, die zu einer Gruppe gehören.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Es wird empfohlen, aws:sourceAccount und aws:sourceArn in die Vertrauensrichtlinie aufzunehmen. Dadurch aws:sourceArn werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob aws:sourceAccount und ob sie mit den in der IAM Rollenrichtlinie für die sts:AssumeRole Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum Problem des verwirrten Stellvertreters.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}IAM Rollen für AWS IAM Identity Center
Wenn Sie das UserGroupResolutionConfigurationObjekt verwenden, um Zugriffsebenen von Gruppen und Benutzern aus einer AWS IAM Identity Center Identitätsquelle abzurufen, müssen Sie eine Rolle angeben, die über IAM Identity Center Zugriffsberechtigungen verfügt.
Eine für den Amazon Kendra Zugriff erforderliche Rollenrichtlinie IAM Identity Center.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM Rollen für Amazon Kendra Erlebnisse
Wenn Sie das CreateExperienceoder verwenden, UpdateExperience APIs um eine Suchanwendung zu erstellen oder zu aktualisieren, müssen Sie eine Rolle angeben, die berechtigt ist, auf die erforderlichen Operationen und IAM Identity Center zuzugreifen.
Eine erforderliche Rollenrichtlinie für den Amazon Kendra Zugriff auf Query Operationen, Operationen, QuerySuggestions SubmitFeedback Operationen und das IAM Identity Center, in dem Ihre Benutzer- und Gruppeninformationen gespeichert sind.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
}
]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Es wird empfohlen, aws:sourceAccount und aws:sourceArn in die Vertrauensrichtlinie aufzunehmen. Dadurch aws:sourceArn werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob aws:sourceAccount und ob sie mit den in der IAM Rollenrichtlinie für die sts:AssumeRole Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum Problem des verwirrten Stellvertreters.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}IAM Rollen für die benutzerdefinierte Dokumentenanreicherung
Wenn Sie das CustomDocumentEnrichmentConfigurationObjekt verwenden, um erweiterte Änderungen an den Metadaten und Inhalten Ihres Dokuments vorzunehmen, müssen Sie eine Rolle angeben, die über die erforderlichen Berechtigungen zum Ausführen PreExtractionHookConfiguration und/oder verfügt. PostExtractionHookConfiguration Sie konfigurieren eine Lambda-Funktion für PreExtractionHookConfiguration und/oder PostExtractionHookConfiguration um während des Aufnahmeprozesses erweiterte Änderungen an Ihren Dokumentmetadaten und -inhalten vorzunehmen. Wenn Sie die serverseitige Verschlüsselung für Ihren Amazon S3 Bucket aktivieren möchten, müssen Sie die Erlaubnis erteilen, den AWS KMS Customer Master Key (CMK) zum Verschlüsseln und Entschlüsseln der in Ihrem Bucket gespeicherten Objekte zu verwenden. Amazon S3
Eine Rollenrichtlinie, die für Amazon Kendra die Ausführung PreExtractionHookConfiguration und PostExtractionHookConfiguration Verschlüsselung Ihres Amazon S3
Buckets erforderlich ist.
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
}]
}Eine optionale Rollenrichtlinie, mit Amazon Kendra der Ihr Amazon S3 Bucket PostExtractionHookConfiguration ohne Verschlüsselung ausgeführt PreExtractionHookConfiguration werden kann.
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
}]
}Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Es wird empfohlen, aws:sourceAccount und aws:sourceArn in die Vertrauensrichtlinie aufzunehmen. Dadurch aws:sourceArn werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob aws:sourceAccount und ob sie mit den in der IAM Rollenrichtlinie für die sts:AssumeRole Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum Problem des verwirrten Stellvertreters.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}