Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Commencer à utiliser une source AWS IAM Identity Center d'identité (console)
Une source AWS IAM Identity Center d'identité contient des informations sur vos utilisateurs et vos groupes. Cela est utile pour configurer le filtrage du contexte utilisateur, qui Amazon Kendra filtre les résultats de recherche pour différents utilisateurs en fonction de l'accès de l'utilisateur ou de son groupe aux documents.
Pour créer une source IAM d'identité Identity Center, vous devez activer IAM Identity Center et créer une organisation dans AWS Organizations. Lorsque vous activez IAM Identity Center et que vous créez une organisation pour la première fois, le répertoire Identity Center est automatiquement sélectionné par défaut comme source d'identité. Vous pouvez passer à Active Directory (géré par Amazon ou autogéré) ou à un fournisseur d'identité externe comme source d'identité. Pour cela, vous devez suivre les instructions appropriées : voir Modification de la source IAM d'identité de votre centre d'identité. Vous ne pouvez avoir qu'une seule source d'identité par organisation.
Pour que différents niveaux d'accès aux documents soient attribués à vos utilisateurs et à vos groupes, vous devez les inclure dans votre liste de contrôle d'accès lorsque vous ingérez des documents dans votre index. Cela permet à vos utilisateurs et à vos groupes de rechercher des documents Amazon Kendra en fonction de leur niveau d'accès. Lorsque vous émettez une requête, l'ID utilisateur doit correspondre exactement au nom d'utilisateur dans IAM Identity Center.
Vous devez également accorder les autorisations requises pour utiliser IAM Identity Center avec Amazon Kendra. Pour plus d'informations, consultez la section IAM Rôles d'IAMIdentity Center.
Pour configurer une source d'IAMidentité Identity Center
-
Ouvrez la console IAM Identity Center
. -
Choisissez Enable IAM Identity Center, puis sélectionnez Create AWS organization.
Le répertoire Identity Center est créé par défaut et un e-mail vous est envoyé pour vérifier l'adresse e-mail associée à l'organisation.
-
Pour ajouter un groupe à votre AWS organisation, dans le volet de navigation, sélectionnez Groups.
-
Sur la page Groupes, choisissez Créer un groupe et entrez le nom et la description du groupe dans la boîte de dialogue. Sélectionnez Create (Créer).
-
Pour ajouter un utilisateur à vos Organizations, dans le volet de navigation, sélectionnez Users.
-
Sur la page Users (Utilisateurs), choisissez Add user (Ajouter un utilisateur). Sous User details (Détails de l'utilisateur), renseignez tous les champs obligatoires. Pour Password (Mot de passe), choisissez Send an email to the user (Envoyer un e-mail à l'utilisateur). Choisissez Suivant.
-
Pour ajouter un utilisateur à un groupe, choisissez Groupes, puis sélectionnez un groupe.
-
Sur la page Détails, sous Membres du groupe, choisissez Ajouter un utilisateur.
-
Sur la page Ajouter des utilisateurs au groupe, sélectionnez l'utilisateur que vous souhaitez ajouter en tant que membre du groupe. Vous pouvez sélectionner plusieurs utilisateurs à ajouter à un groupe.
-
Pour synchroniser votre liste d'utilisateurs et de groupes avec IAM Identity Center, remplacez votre source d'identité par Active Directory ou fournisseur d'identité externe.
Le répertoire Identity Center est la source d'identité par défaut et vous oblige à ajouter manuellement vos utilisateurs et groupes à l'aide de cette source si vous ne disposez pas de votre propre liste gérée par un fournisseur. Pour modifier votre source d'identité, vous devez suivre les instructions appropriées : voir Modification de votre source IAM d'identité Identity Center.
Note
Si vous utilisez Active Directory ou un fournisseur d'identité externe comme source d'identité, vous devez associer les adresses e-mail de vos utilisateurs aux noms d'utilisateur d'IAMIdentity Center lorsque vous spécifiez le protocole System for Cross-domain Identity Management (SCIM). Pour plus d'informations, consultez le guide IAM Identity Center sur l'activation SCIM d'IAMIdentity Center.
Une fois que vous avez configuré votre IAM source d'identité Identity Center, vous pouvez l'activer dans la console lorsque vous créez ou modifiez votre index. Accédez à Contrôle d'accès utilisateur dans les paramètres de votre index et modifiez vos paramètres pour autoriser la récupération des informations sur les groupes d'utilisateurs depuis IAM Identity Center.
Vous pouvez également activer IAM Identity Center à l'aide de l'UserGroupResolutionConfigurationobjet. Vous fournissez le UserGroupResolutionMode
as AWS_SSO
et créez un IAM rôle qui donne l'autorisation d'appeler sso:ListDirectoryAssociations
sso-directory:SearchUsers
,sso-directory:ListGroupsForUser
,sso-directory:DescribeGroups
.
Avertissement
Amazon Kendra ne prend actuellement pas en charge l'utilisation de votre source d'IAMidentité Identity Center UserGroupResolutionConfiguration
avec un compte membre de l' AWS
organisation. Vous devez créer votre index dans le compte de gestion de l'organisation pour pouvoir l'utiliserUserGroupResolutionConfiguration
.
Vous trouverez ci-dessous un aperçu de la configuration d'une source de données avec un contrôle UserGroupResolutionConfiguration
d'accès utilisateur pour filtrer les résultats de recherche en fonction du contexte utilisateur. Cela suppose que vous avez déjà créé un index et un IAM rôle pour les index. Vous créez un index et fournissez le IAM rôle à l'aide du CreateIndexAPI.
Configuration d'une source de données avec UserGroupResolutionConfiguration
filtrage du contexte utilisateur
-
Créez un IAM rôle qui autorise l'accès à votre source IAM d'identité Identity Center.
-
Configurez
UserGroupResolutionConfiguration
en définissant le modeAWS_SSO
et en appelant UpdateIndexpour mettre à jour votre index afin d'utiliser IAM Identity Center. -
Si vous souhaitez utiliser le contrôle d'accès utilisateur basé sur des jetons pour filtrer les résultats de recherche en fonction du contexte utilisateur, définissez cette option UserContextPolicy
USER_TOKEN
lorsque vous appelez.UpdateIndex
Sinon, Amazon Kendra parcourt la liste de contrôle d'accès de chacun de vos documents pour la plupart des connecteurs de source de données. Vous pouvez également filtrer les résultats de recherche en fonction du contexte utilisateur dans la requête en API fournissant des informations sur les utilisateurs et les groupes dansUserContext
. Vous pouvez également associer les utilisateurs à leurs groupes à l'aide de PutPrincipalMappingtelle sorte que vous n'ayez à fournir l'ID utilisateur que lorsque vous émettez la requête. -
Créez un IAM rôle qui autorise l'accès à votre source de données.
-
Configurez votre source de données. Vous devez fournir les informations de connexion requises pour vous connecter à votre source de données.
-
Créez une source de données à l'aide du CreateDataSourceAPI. Indiquez l'
DataSourceConfiguration
objet, qui inclutTemplateConfiguration
l'ID de votre index, le IAM rôle de votre source de données, le type de source de données, et nommez votre source de données. Vous pouvez également mettre à jour votre source de données.