Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAM rôles d'accès pour Amazon Kendra
Lorsque vous créez un index, une source de données ou une FAQ, Amazon Kendra vous devez accéder aux AWS ressources requises pour créer la Amazon Kendra ressource. Vous devez créer une politique AWS Identity and Access Management (IAM) avant de créer la Amazon Kendra ressource. Lorsque vous appelez l'opération, vous fournissez le nom de ressource Amazon (ARN) du rôle avec la politique jointe. Par exemple, si vous appelez l'BatchPutDocumentAPI pour ajouter des documents à partir d'un Amazon S3 compartiment, vous Amazon Kendra attribuez un rôle doté d'une politique d'accès au compartiment.
Vous pouvez créer un nouveau IAM rôle dans la Amazon Kendra console ou choisir un rôle IAM existant à utiliser. La console affiche les rôles dont le nom contient la chaîne « kendra » ou « Kendra ».
Les rubriques suivantes fournissent des informations détaillées sur les politiques requises. Si vous créez des IAM rôles à l'aide de la Amazon Kendra console, ces politiques sont créées pour vous.
IAM rôles pour les index
Lorsque vous créez un index, vous devez fournir un IAM rôle autorisé à écrire dans un Amazon CloudWatch. Vous devez également fournir une politique de confiance qui permet Amazon Kendra d'assumer le rôle. Les politiques qui doivent être fournies sont les suivantes.
Une politique de rôle permettant Amazon Kendra d'accéder à un CloudWatch journal.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
}
]
}Une politique de rôle pour Amazon Kendra autoriser l'accès AWS Secrets Manager. Si vous utilisez le contexte utilisateur Secrets Manager comme emplacement clé, vous pouvez appliquer la politique suivante.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"cloudwatch:PutMetricData",
"Resource":"*",
"Condition":{
"StringEquals":{
"cloudwatch:namespace":"AWS/Kendra"
}
}
},
{
"Effect":"Allow",
"Action":"logs:DescribeLogGroups",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"logs:CreateLogGroup",
"Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
},
{
"Effect":"Allow",
"Action":[
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect":"Allow",
"Action":[
"secretsmanager:GetSecretValue"
],
"Resource":[
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect":"Allow",
"Action":[
"kms:Decrypt"
],
"Resource":[
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition":{
"StringLike":{
"kms:ViaService":[
"secretsmanager.your-region.amazonaws.com"
]
}
}
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM rôles pour l' BatchPutDocumentAPI
Avertissement
Amazon Kendra n'utilise pas de politique de compartiment qui autorise un Amazon Kendra mandant à interagir avec un compartiment S3. Il utilise plutôt des IAM rôles. Assurez-vous qu'il Amazon Kendra n'est pas inclus en tant que membre de confiance dans votre politique de compartiment afin d'éviter tout problème de sécurité des données lié à l'octroi accidentel d'autorisations à des principaux arbitraires. Cependant, vous pouvez ajouter une politique de compartiment pour utiliser un Amazon S3 compartiment sur différents comptes. Pour plus d'informations, consultez la section Politiques applicables à Amazon S3 tous les comptes. Pour plus d'informations sur IAM les rôles pour les sources de données S3, consultez la section IAM rôles.
Lorsque vous utilisez l'BatchPutDocumentAPI pour indexer des documents dans un Amazon S3 compartiment, vous devez Amazon Kendra fournir un IAM rôle permettant d'accéder au compartiment. Vous devez également fournir une politique de confiance qui permet Amazon Kendra d'assumer le rôle. Si les documents du compartiment sont chiffrés, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour les déchiffrer.
Une politique de rôle obligatoire pour autoriser Amazon Kendra l'accès à un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Il est recommandé d'inclure aws:sourceAccount et aws:sourceArn dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si aws:sourceAccount et si aws:sourceArn elles sont identiques à celles prévues dans la politique de IAM rôle pour l'sts:AssumeRoleaction. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le AWS Identity and Access Management guide sur le problème de la confusion chez les députés.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*"
}
}
}
]
}Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}IAM rôles pour les sources de données
Lorsque vous utilisez l'CreateDataSourceAPI, vous devez attribuer Amazon Kendra un IAM rôle autorisé à accéder aux ressources. Les autorisations spécifiques requises dépendent de la source de données.
Lorsque vous utilisez Adobe Experience Manager, vous attribuez un rôle soumis aux politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager code secret pour authentifier votre Adobe Experience Manager.
-
Autorisation d'appeler le public requis APIs pour le connecteur Adobe Experience Manager.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Adobe Experience Manager à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Alfresco, vous attribuez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Alfresco.
-
Autorisation d'appeler le public requis APIs pour le connecteur Alfresco.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Alfresco à Amazon Kendra via. Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Aurora (MySQL), vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour vous authentifier Aurora (MySQL).
-
Autorisation d'appeler le public requis APIs pour le connecteur Aurora (MySQL).
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Aurora (MySQL) à Amazon Kendra through Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Aurora (PostgreSQL), vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager code secret pour vous authentifier Aurora (PostgreSQL).
-
Autorisation d'appeler le public requis APIs pour le connecteur Aurora (PostgreSQL).
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Aurora (PostgreSQL) à via. Amazon Kendra Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Amazon FSx, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre système de Amazon FSx fichiers.
-
Autorisation d'accès Amazon Virtual Private Cloud (VPC) à l'endroit où réside votre système de Amazon FSx fichiers.
-
Autorisation d'obtenir le nom de domaine de votre Active Directory pour votre système de Amazon FSx fichiers.
-
Autorisation d'appeler le public requis APIs pour le Amazon FSx connecteur.
-
Autorisation d'appeler
BatchPutDocumentetBatchDeleteDocumentAPIs de mettre à jour l'index.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action":[
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.*.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
"Effect": "Allow",
"Action": "ds:DescribeDirectories",
"Resource": "*"
},
{
"Sid": "AllowsKendraToCallRequiredFsxAPIs",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez une base de données comme source de données, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour se connecter au. Il s’agit des licences suivantes :
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du site. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index. -
Autorisation d'accéder au Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le site.
Note
Vous pouvez connecter des sources de données de base de données Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Il existe deux politiques facultatives que vous pouvez utiliser avec une source de données.
Si vous avez chiffré le Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le, fournissez une politique pour donner Amazon Kendra accès à la clé.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Si vous utilisez un VPC, définissez une politique qui donne Amazon Kendra accès aux ressources requises. Voir IAM les rôles pour les sources de données, VPC pour la politique requise.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données Amazon RDS (Microsoft SQL Server), vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (Microsoft SQL Server).
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de données Amazon RDS (Microsoft SQL Server).
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Amazon RDS (Microsoft SQL Server) à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données Amazon RDS (MySQL), vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (MySQL).
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de données Amazon RDS (MySQL).
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Amazon RDS (MySQL) à Amazon Kendra through Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données Amazon RDS Oracle, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (Oracle).
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de données Amazon RDS (Oracle).
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Amazon RDS Oracle à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données Amazon RDS (PostgreSQL), vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (PostgreSQL).
-
Autorisation d'appeler le public requis APIs pour le connecteur de Amazon RDS source de données (PostgreSQL).
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Amazon RDS (PostgreSQL) à via. Amazon Kendra Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Avertissement
Amazon Kendra n'utilise pas de politique de compartiment qui autorise un Amazon Kendra mandant à interagir avec un compartiment S3. Il utilise plutôt des IAM rôles. Assurez-vous qu'il Amazon Kendra n'est pas inclus en tant que membre de confiance dans votre politique de compartiment afin d'éviter tout problème de sécurité des données lié à l'octroi accidentel d'autorisations à des principaux arbitraires. Cependant, vous pouvez ajouter une politique de compartiment pour utiliser un Amazon S3 compartiment sur différents comptes. Pour plus d'informations, voir Politiques à utiliser Amazon S3 sur tous les comptes (faites défiler l'écran vers le bas).
Lorsque vous utilisez un Amazon S3 bucket comme source de données, vous fournissez un rôle autorisé à accéder au bucket et à utiliser les BatchDeleteDocument opérations BatchPutDocument et. Si les documents du Amazon S3
compartiment sont chiffrés, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour les déchiffrer.
Les politiques de rôle suivantes doivent Amazon Kendra permettre d'assumer un rôle. Faites défiler la page vers le bas pour voir une politique de confiance permettant d'assumer un rôle.
Une politique de rôle obligatoire pour Amazon Kendra autoriser l'utilisation d'un Amazon S3 bucket comme source de données.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
]
}
]
}Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Une politique de rôle facultative permettant d'accéder Amazon Kendra à un Amazon S3 compartiment, tout en utilisant un Amazon VPC, et sans activer AWS KMS ni partager AWS KMS d'autorisations.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Une politique de rôle facultative permettant d'accéder Amazon Kendra à un Amazon S3 compartiment en utilisant un Amazon VPC et avec AWS KMS les autorisations activées.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Politiques à utiliser Amazon S3 sur tous les comptes
Si votre Amazon S3 bucket se trouve dans un compte différent de celui que vous utilisez pour votre Amazon Kendra index, vous pouvez créer des règles pour l'utiliser sur tous les comptes.
Une politique de rôle permettant d'utiliser votre Amazon S3 bucket comme source de données lorsque le bucket se trouve dans un compte différent de celui de votre Amazon Kendra index. Notez que s3:PutObject et s3:PutObjectAcl sont facultatifs, et vous pouvez les utiliser si vous souhaitez inclure un fichier de configuration pour votre liste de contrôle d'accès.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:$your-region:$your-account-id:index/$index-id"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::$bucket-in-other-account/*"
}
]
}Une politique de compartiment permettant au rôle de source de Amazon S3 données d'accéder au Amazon S3 compartiment entre les comptes. Notez que s3:PutObject et s3:PutObjectAcl sont facultatifs, et vous pouvez les utiliser si vous souhaitez inclure un fichier de configuration pour votre liste de contrôle d'accès.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Amazon Kendra Web Crawler, vous attribuez un rôle avec les politiques suivantes :
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'identification pour se connecter à des sites Web ou à un serveur proxy Web soutenu par une authentification de base. Pour plus d'informations sur le contenu du secret, consultez la section Utilisation d'une source de données de robot d'exploration Web.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index. -
Si vous utilisez un Amazon S3 bucket pour stocker votre liste de graines URLs ou vos plans de site, incluez l'autorisation d'accéder au Amazon S3 bucket.
Note
Vous pouvez connecter une source de données Amazon Kendra Web Crawler à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Si vous stockez vos graines URLs ou vos plans de site dans un Amazon S3 bucket, vous devez ajouter cette autorisation au rôle.
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Amazon WorkDocs, vous fournissez un rôle avec les politiques suivantes
-
Autorisation de vérifier l'ID de répertoire (ID d'organisation) qui correspond au référentiel de votre Amazon WorkDocs site.
-
Autorisation d'obtenir le nom de domaine de votre Active Directory qui contient l'annuaire de votre Amazon WorkDocs site.
-
Autorisation d'appeler le public requis APIs pour le Amazon WorkDocs connecteur.
-
Autorisation d'appeler
BatchPutDocumentetBatchDeleteDocumentAPIs de mettre à jour l'index.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
"Effect": "Allow",
"Action": "ds:DescribeDirectories",
"Resource": "*"
},
{
"Sid": "AllowsKendraToCallRequiredWorkDocsAPIs",
"Effect": "Allow",
"Action": [
"workdocs:GetDocumentPath",
"workdocs:GetGroup",
"workdocs:GetDocument",
"workdocs:DownloadDocumentVersions",
"workdocs:DescribeUsers",
"workdocs:DescribeFolderContents",
"workdocs:DescribeActivities",
"workdocs:DescribeComments",
"workdocs:GetFolder",
"workdocs:DescribeResourcePermissions",
"workdocs:GetFolderPath",
"workdocs:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
},
{
"Sid": "AllowsKendraToCallBatchPutDeleteAPIs",
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:account-id:index/$index-id"
]
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Box, vous attribuez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Slack.
-
Autorisation d'appeler le public requis APIs pour le connecteur Box.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Box à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un serveur Confluence comme source de données, vous fournissez un rôle avec les politiques suivantes :
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'identification nécessaires pour se connecter à Confluence. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Confluence.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index.
Note
Vous pouvez connecter une source de données Confluence à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}Si vous utilisez un VPC, définissez une politique qui donne Amazon Kendra accès aux ressources requises. Voir IAM les rôles pour les sources de données, VPC pour la politique requise.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Pour une source de données Confluence Connector v2.0, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'authentification pour Confluence. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Confluence.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. AWS Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index.
Vous devez également joindre une politique de confiance qui permet Amazon Kendra d'assumer le rôle.
Note
Vous pouvez connecter une source de données Confluence à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
Une politique de rôle permettant de Amazon Kendra se connecter à Confluence.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
]
}
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Dropbox, vous attribuez un rôle conformément aux règles suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager code secret pour authentifier votre Dropbox.
-
Autorisation d'appeler le public requis APIs pour le connecteur Dropbox.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez y connecter une source de données Dropbox Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {"StringLike": {"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Drupal, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Drupal.
-
Autorisation d'appeler le public requis APIs pour le connecteur Drupal.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Drupal à Amazon Kendra via. Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez GitHub, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre GitHub.
-
Autorisation d'appeler le public requis APIs pour le GitHub connecteur.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de GitHub données Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Gmail, vous attribuez un rôle soumis aux règles suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre compte Gmail.
-
Autorisation d'appeler le public requis APIs pour le Gmailconnector.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Gmail à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {"StringLike": {"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez une source de données Google Workspace Drive, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour se connecter au site. Il s’agit des licences suivantes :
-
Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret qui contient l'adresse e-mail du compte client, l'adresse e-mail du compte administrateur et la clé privée nécessaires pour se connecter au site Google Drive. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Google Drive.
-
Autorisation d'utiliser le BatchPutDocumentet BatchDeleteDocument APIs.
Note
Vous pouvez connecter une source de données Google Drive à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de DB2 données IBM, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre instance de source de DB2 données IBM.
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de DB2 données IBM.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de DB2 données Amazon Kendra IBM Amazon VPCà Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Jira, vous attribuez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Jira.
-
Autorisation d'appeler le public requis APIs pour le connecteur Jira.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Jira Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez une source de données Microsoft Exchange, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
-
Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID de l'application et la clé secrète nécessaires pour se connecter au site Microsoft Exchange. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Microsoft Exchange.
-
Autorisation d'utiliser le BatchPutDocumentet BatchDeleteDocument APIs.
Note
Vous pouvez connecter une source de données Microsoft Exchange à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Si vous stockez la liste des utilisateurs à indexer dans un Amazon S3 compartiment, vous devez également autoriser l'utilisation de l'GetObjectopération S3. La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez une source de OneDrive données Microsoft, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
-
Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID de l'application et la clé secrète nécessaires pour se connecter au OneDrive site. Pour plus d'informations sur le contenu du secret, consultez la section Sources de OneDrive données Microsoft.
-
Autorisation d'utiliser le BatchPutDocumentet BatchDeleteDocument APIs.
Note
Vous pouvez connecter une source de OneDrive données Microsoft à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Si vous stockez la liste des utilisateurs à indexer dans un Amazon S3 compartiment, vous devez également autoriser l'utilisation de l'GetObjectopération S3. La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Pour une source de données Microsoft SharePoint Connector v1.0, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du SharePoint site. Pour plus d'informations sur le contenu du secret, consultez la section Sources de SharePoint données Microsoft.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. AWS Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index. -
Autorisation d'accéder au Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site.
Vous devez également joindre une politique de confiance qui permet Amazon Kendra d'assumer le rôle.
Note
Vous pouvez connecter une source de SharePoint données Microsoft à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Si vous avez chiffré le Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site, définissez une politique pour donner Amazon Kendra accès à la clé.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Pour une source de données Microsoft SharePoint Connector v2.0, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'authentification du SharePoint site. Pour plus d'informations sur le contenu du secret, consultez la section Sources de SharePoint données Microsoft.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. AWS Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index. -
Autorisation d'accéder au Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site.
Vous devez également joindre une politique de confiance qui permet Amazon Kendra d'assumer le rôle.
Note
Vous pouvez connecter une source de SharePoint données Microsoft à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/key-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids",
"arn:aws:ec2:your-region:your-account-id:security-group/security-group"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:region:account_id:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
]
}Si vous avez chiffré le Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site, définissez une politique pour donner Amazon Kendra accès à la clé.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:youraccount-id:key/key-id"
]
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Microsoft SQL Server, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance Microsoft SQL Server.
-
Autorisation d'appeler le public requis APIs pour le connecteur Microsoft SQL Server.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Microsoft SQL Server Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez une source de données Microsoft Teams, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
-
Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID client et le secret client nécessaires pour se connecter à Microsoft Teams. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Microsoft Teams.
Note
Vous pouvez connecter une source de données Microsoft Teams à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:client-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez une source de données Microsoft Yammer, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
-
Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID de l'application et la clé secrète nécessaires pour se connecter au site Microsoft Yammer. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Microsoft Yammer.
-
Autorisation d'utiliser le BatchPutDocumentet BatchDeleteDocument APIs.
Note
Vous pouvez connecter une source de données Microsoft Yammer à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Si vous stockez la liste des utilisateurs à indexer dans un Amazon S3 compartiment, vous devez également autoriser l'utilisation de l'GetObjectopération S3. La IAM politique suivante fournit les autorisations nécessaires :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données My SQL, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données My SQL.
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de données My SQL.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données MySQL à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données Oracle, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Oracle.
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de données Oracle.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Oracle à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un connecteur de source de données PostgreSQL, vous fournissez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données PostgreSQL.
-
Autorisation d'appeler le public requis APIs pour le connecteur de source de données PostgreSQL.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données PostgreSQL à via. Amazon Kendra Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Quip, vous attribuez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Quip.
-
Autorisation d'appeler le public requis APIs pour le connecteur Quip.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Quip à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Salesforce comme source de données, vous fournissez un rôle avec les politiques suivantes :
-
Autorisation d'accéder au AWS Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du site Salesforce. Pour plus d'informations sur le contenu du secret, consultez la section Sources de données Salesforce.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index.
Note
Vous pouvez connecter une source de données Salesforce à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:account-id:index/index-id"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez un ServiceNow comme source de données, vous fournissez un rôle avec les politiques suivantes :
-
Autorisation d'accéder au Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du ServiceNow site. Pour plus d'informations sur le contenu du secret, consultez la section Sources de ServiceNow données.
-
Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
-
Autorisation d'utiliser les
BatchDeleteDocumentopérationsBatchPutDocumentet pour mettre à jour l'index.
Note
Vous pouvez connecter une source de ServiceNow données Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Slack, vous attribuez un rôle soumis aux règles suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Slack.
-
Autorisation d'appeler le public requis APIs pour le connecteur Slack.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Slack à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Lorsque vous utilisez Zendesk, vous attribuez un rôle avec les politiques suivantes.
-
Autorisation d'accéder à votre AWS Secrets Manager code secret pour authentifier votre suite Zendesk.
-
Autorisation d'appeler le public requis APIs pour le connecteur Zendesk.
-
Autorisation d'appeler le
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, etListGroupsOlderThanOrderingIdAPIs.
Note
Vous pouvez connecter une source de données Zendesk à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter des autorisations supplémentaires.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Rôle de cloud privé virtuel (VPC) IAM
Si vous utilisez un cloud privé virtuel (VPC) pour vous connecter à votre source de données, vous devez fournir les autorisations supplémentaires suivantes.
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM rôles pour les questions fréquemment posées (FAQs)
Lorsque vous utilisez l'CreateFaqAPI pour charger des questions et réponses dans un index, vous devez fournir Amazon Kendra un IAM rôle ayant accès au Amazon S3 compartiment contenant les fichiers source. Si les fichiers source sont chiffrés, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour déchiffrer les fichiers.
Une politique de rôle obligatoire pour autoriser Amazon Kendra l'accès à un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS client (CMK) pour déchiffrer les fichiers d'un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM rôles pour les suggestions de requêtes
Lorsque vous utilisez un Amazon S3 fichier comme liste de blocage de suggestions de requêtes, vous fournissez un rôle autorisé à accéder au Amazon S3 fichier et au Amazon S3 bucket. Si le fichier texte de la liste de blocage (le Amazon S3 fichier) du Amazon S3 compartiment est chiffré, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour déchiffrer les documents.
Une politique de rôle obligatoire Amazon Kendra pour autoriser l'utilisation du Amazon S3 fichier comme liste de blocage de suggestions de requêtes.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM rôles pour le mappage principal des utilisateurs et des groupes
Lorsque vous utilisez l'PutPrincipalMappingAPI pour associer des utilisateurs à leurs groupes afin de filtrer les résultats de recherche par contexte utilisateur, vous devez fournir une liste des utilisateurs ou des sous-groupes appartenant à un groupe. Si votre liste compte plus de 1 000 utilisateurs ou sous-groupes pour un groupe, vous devez fournir un rôle autorisé à accéder au Amazon S3 fichier de votre liste et au Amazon S3 bucket. Si le fichier texte (le Amazon S3 fichier) de la liste du Amazon S3 compartiment est chiffré, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour déchiffrer les documents.
Une politique de rôle obligatoire Amazon Kendra pour autoriser l'utilisation du Amazon S3 fichier comme liste d'utilisateurs et de sous-groupes appartenant à un groupe.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Il est recommandé d'inclure aws:sourceAccount et aws:sourceArn dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si aws:sourceAccount et si aws:sourceArn elles sont identiques à celles prévues dans la politique de IAM rôle pour l'sts:AssumeRoleaction. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le AWS Identity and Access Management guide sur le problème de la confusion chez les députés.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}IAM rôles pour AWS IAM Identity Center
Lorsque vous utilisez l'UserGroupResolutionConfigurationobjet pour récupérer les niveaux d'accès des groupes et des utilisateurs à partir d'une source d' AWS IAM Identity Center identité, vous devez fournir un rôle autorisé à y accéder IAM Identity Center.
Une politique de rôle obligatoire pour Amazon Kendra autoriser l'accès IAM Identity Center.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM rôles liés aux Amazon Kendra expériences
Lorsque vous utilisez le CreateExperienceou UpdateExperience APIs pour créer ou mettre à jour une application de recherche, vous devez fournir un rôle autorisé à accéder aux opérations nécessaires et à IAM Identity Center.
Une politique de rôle obligatoire pour autoriser l'accès Amazon Kendra aux Query opérations, aux QuerySuggestions opérations, aux SubmitFeedback opérations et au centre d'identité IAM qui stocke les informations de vos utilisateurs et de vos groupes.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
}
]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Il est recommandé d'inclure aws:sourceAccount et aws:sourceArn dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si aws:sourceAccount et si aws:sourceArn elles sont identiques à celles prévues dans la politique de IAM rôle pour l'sts:AssumeRoleaction. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le AWS Identity and Access Management guide sur le problème de la confusion chez les députés.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}IAM rôles pour l'enrichissement de documents personnalisés
Lorsque vous utilisez l'CustomDocumentEnrichmentConfigurationobjet pour appliquer des modifications avancées aux métadonnées et au contenu de votre document, vous devez fournir un rôle doté des autorisations requises pour s'exécuter PreExtractionHookConfiguration et/ouPostExtractionHookConfiguration. Vous configurez une fonction Lambda pour PreExtractionHookConfiguration et/ou pour appliquer PostExtractionHookConfiguration des modifications avancées aux métadonnées et au contenu de votre document pendant le processus d'ingestion. Si vous choisissez d'activer le chiffrement côté serveur pour votre Amazon S3 compartiment, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour chiffrer et déchiffrer les objets stockés dans votre compartiment. Amazon S3
Une politique de rôle obligatoire pour Amazon Kendra autoriser l'exécution PreExtractionHookConfiguration et PostExtractionHookConfiguration avec chiffrement pour votre Amazon S3
compartiment.
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
}]
}Une politique de rôle facultative autorisant Amazon Kendra l'exécution PreExtractionHookConfiguration PostExtractionHookConfiguration sans chiffrement de votre Amazon S3 compartiment.
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
}]
}Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Il est recommandé d'inclure aws:sourceAccount et aws:sourceArn dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si aws:sourceAccount et si aws:sourceArn elles sont identiques à celles prévues dans la politique de IAM rôle pour l'sts:AssumeRoleaction. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le AWS Identity and Access Management guide sur le problème de la confusion chez les députés.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}