Requisitos previos - Amazon Kendra
Inscríbase en un Cuenta de AWSCreación de un usuario con acceso administrativoAmazon Kendra recursos: AWS CLI SDK, consola

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Los siguientes pasos son requisitos previos para los ejercicios de introducción. Los pasos te muestran cómo configurar tu cuenta, crear una IAM papel que otorga Amazon Kendra permiso para hacer llamadas en su nombre e indexar documentos desde un Amazon S3 balde. Se utiliza un bucket de S3 como ejemplo, pero puede utilizar otras fuentes de datos que Amazon Kendra admite. Consulte Orígenes de datos.

Inscríbase en un Cuenta de AWS

Si no tienes un Cuenta de AWS, complete los pasos siguientes para crear uno.

Para suscribirse a una Cuenta de AWS

  1. Abrir https://portal.aws.amazon.com/billing/registro.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Cuando te registras en una Cuenta de AWS, un Usuario raíz de la cuenta de AWSse crea. El usuario root tiene acceso a todos Servicios de AWS y los recursos de la cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a https://aws.amazon.com/y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de suscribirse a una Cuenta de AWS, asegure su Usuario raíz de la cuenta de AWS, habilitar AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario root en las tareas diarias.

Proteja su Usuario raíz de la cuenta de AWS

  1. Inicie sesión en la AWS Management Consolecomo propietario de la cuenta seleccionando el usuario root e introduciendo su Cuenta de AWS dirección de correo electrónico. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con un usuario root, consulte Iniciar sesión como usuario root en la AWS Sign-In Guía del usuario.

  2. Activa la autenticación multifactorial (MFA) para tu usuario root.

    Para obtener instrucciones, consulte Habilitar un MFA dispositivo virtual para su Cuenta de AWS usuario root (consola) en la Guía IAM del usuario.

Creación de un usuario con acceso administrativo

  1. Habilite IAM Identity Center.

    Para obtener instrucciones, consulte Habilitar AWS IAM Identity Center en la AWS IAM Identity Center Guía del usuario.

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre el uso de Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la AWS IAM Identity Center Guía del usuario.

Iniciar sesión como usuario con acceso de administrador

  • Para iniciar sesión con su usuario de IAM Identity Center, utilice el inicio de sesión URL que se envió a su dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario de IAM Identity Center, consulte Iniciar sesión en AWS acceda al portal en el AWS Sign-In Guía del usuario.

Concesión de acceso a usuarios adicionales

  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos con privilegios mínimos.

    Para obtener instrucciones, consulte Crear un conjunto de permisos en AWS IAM Identity Center Guía del usuario.

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para obtener instrucciones, consulte Añadir grupos en la AWS IAM Identity Center Guía del usuario.

  • Si utiliza un depósito de S3 que contiene documentos para realizar pruebas Amazon Kendra, cree un bucket de S3 en la misma región que está utilizando Amazon Kendra. Para obtener instrucciones, consulte Creación y configuración de un bucket de S3 en la Guía del usuario de Amazon Simple Storage Service.

    Carga de los documentos en el bucket de S3. Para ver las instrucciones, consulte Carga, descarga y administración de objetos en la Guía del usuario de Amazon Simple Storage Service.

    Si utiliza otro origen de datos, debe tener un sitio activo y credenciales para conectarse al origen de datos.

Si va a utilizar la consola para empezar, comience con Introducción al Amazon Kendra consola.

Amazon Kendra recursos: AWS CLI SDK, consola

Se requieren ciertos permisos si usasCLI,SDK, o la consola.

Para utilizar Amazon Kendra para la consola CLISDK, o la consola, debe tener permisos para permitir Amazon Kendra para crear y administrar recursos en su nombre. Según su caso de uso, estos permisos incluyen el acceso a Amazon Kendra APIen sí mismo, AWS KMS keys si desea cifrar sus datos a través de un directorio personalizado CMK de Identity Center si desea integrarlos con AWS IAM Identity Center o cree una experiencia de búsqueda. Para ver una lista completa de permisos para diferentes casos de uso, consulta IAM roles.

En primer lugar, debe adjuntar los siguientes permisos a su IAM usuario.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

En segundo lugar, si usa CLI oSDK, también debe crear un IAM rol y política para acceder Amazon CloudWatch Logs. Si utiliza la consola, no necesita crear una IAM función y política para ello. Esto se crea como parte del procedimiento de la consola.

Para crear un IAM función y política para el AWS CLI y SDK eso permite Amazon Kendra para acceder a su Amazon CloudWatch Logs.

  1. Inicie sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el menú de la izquierda, elija Políticas y, a continuación, seleccione Crear política.

  3. Elija JSONy, a continuación, sustituya la política predeterminada por la siguiente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. Elija Revisar política.

  5. Asigne un nombre a la política "KendraPolicyForGettingStartedIndex" y, a continuación, selecciona Crear política.

  6. En el menú de la izquierda, seleccione Roles y, a continuación, Crear rol.

  7. Elige otro AWS cuenta y, a continuación, escribe tu ID de cuenta en ID de cuenta. Elija Siguiente: permisos.

  8. Elija la política que creó anteriormente y, a continuación, seleccione Siguiente: etiquetas

  9. No añada ninguna etiqueta. Elija Siguiente: revisar.

  10. Asigne un nombre al rol "KendraRoleForGettingStartedIndex" y, a continuación, selecciona Crear rol.

  11. Busque el rol que acaba de crear. Seleccione el nombre del rol para abrir el resumen. Seleccione Relaciones de confianza, y, a continuación, seleccione Editar relación de confianza.

  12. Reemplace la relación de confianza existente con lo siguiente:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Elija Actualizar política de confianza.

En tercer lugar, si usas un Amazon S3 para almacenar sus documentos o está utilizando S3 para realizar pruebas Amazon Kendra, también debe crear un IAM rol y política para acceder a su bucket. Si utiliza otra fuente de datos, consulte IAM funciones para las fuentes de datos.

Para crear un IAM función y política que permitan Amazon Kendra para acceder e indexar su Amazon S3 balde.

  1. Inicie sesión en AWS Management Console y abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el menú de la izquierda, elija Políticas y, a continuación, seleccione Crear política.

  3. Elija JSONy, a continuación, sustituya la política predeterminada por la siguiente:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:region:account ID:index/*"
        }
    ]
}

  4. Elija Revisar política.

  5. Asigne el nombre KendraPolicyForGettingStartedDataSource "» a la política y, a continuación, seleccione Crear política.

  6. En el menú de la izquierda, seleccione Roles y, a continuación, Crear rol.

  7. Elige otro AWS cuenta y, a continuación, escribe tu ID de cuenta en ID de cuenta. Elija Siguiente: permisos.

  8. Elija la política que creó anteriormente y, a continuación, seleccione Siguiente: etiquetas

  9. No añada ninguna etiqueta. Elija Siguiente: revisar.

  10. Asigne el nombre KendraRoleForGettingStartedDataSource "» al rol y, a continuación, seleccione Crear rol.

  11. Busque el rol que acaba de crear. Seleccione el nombre del rol para abrir el resumen. Seleccione Relaciones de confianza, y, a continuación, seleccione Editar relación de confianza.

  12. Reemplace la relación de confianza existente con lo siguiente:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Elija Actualizar política de confianza.

En función de cómo desee utilizar el Amazon Kendra API, realice una de las siguientes acciones.