Memulai dengan sumber AWS IAM Identity Center identitas (konsol) - Amazon Kendra

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan sumber AWS IAM Identity Center identitas (konsol)

Sumber AWS IAM Identity Center identitas berisi informasi tentang pengguna dan grup Anda. Ini berguna untuk menyiapkan penyaringan konteks pengguna, di mana Amazon Kendra memfilter hasil pencarian untuk pengguna yang berbeda berdasarkan akses pengguna atau grup mereka ke dokumen.

Untuk membuat sumber IAM identitas Pusat Identitas, Anda harus mengaktifkan Pusat IAM Identitas dan membuat organisasi di AWS Organizations. Ketika Anda mengaktifkan Pusat IAM Identitas dan membuat organisasi untuk pertama kalinya, secara otomatis default ke direktori Pusat Identitas sebagai sumber identitas. Anda dapat mengubah ke Active Directory (Amazon dikelola atau dikelola sendiri) atau penyedia identitas eksternal sebagai sumber identitas Anda. Anda harus mengikuti panduan yang benar untuk ini — lihat Mengubah sumber IAM identitas Pusat Identitas Anda. Anda hanya dapat memiliki satu sumber identitas per organisasi.

Agar pengguna dan grup Anda diberi tingkat akses yang berbeda ke dokumen, Anda harus menyertakan pengguna dan grup Anda dalam daftar kontrol akses saat Anda memasukkan dokumen ke dalam indeks Anda. Ini memungkinkan pengguna dan grup Anda untuk mencari dokumen sesuai dengan tingkat akses mereka. Amazon Kendra Saat Anda mengeluarkan kueri, ID pengguna harus sama persis dengan nama pengguna di Pusat IAM Identitas.

Anda juga harus memberikan izin yang diperlukan untuk menggunakan Pusat IAM Identitas dengan Amazon Kendra. Untuk informasi selengkapnya, lihat IAM peran untuk Pusat IAM Identitas.

Untuk menyiapkan sumber IAM identitas Pusat Identitas

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Aktifkan Pusat IAM Identitas, lalu pilih Buat AWS organisasi.

    Direktori Pusat Identitas dibuat secara default, dan email dikirimkan kepada Anda untuk memverifikasi alamat email yang terkait dengan organisasi.

  3. Untuk menambahkan grup ke AWS organisasi Anda, di panel navigasi, pilih Grup.

  4. Pada halaman Grup, pilih Buat grup dan masukkan nama dan deskripsi grup di kotak dialog. Pilih Buat.

  5. Untuk menambahkan pengguna ke Organizations Anda, di panel navigasi, pilih Pengguna.

  6. Pada halaman Pengguna, pilih Tambah pengguna. Di bawah Rincian pengguna, tentukan semua bidang yang diperlukan. Untuk Kata Sandi, pilih Kirim email ke pengguna. Pilih Berikutnya.

  7. Untuk menambahkan pengguna ke grup, pilih Grup dan pilih grup.

  8. Pada halaman Detail, di bawah Anggota grup, pilih Tambah pengguna.

  9. Pada halaman Tambahkan pengguna ke grup, pilih pengguna yang ingin Anda tambahkan sebagai anggota grup. Anda dapat memilih beberapa pengguna untuk ditambahkan ke grup.

  10. Untuk menyinkronkan daftar pengguna dan grup Anda dengan Pusat IAM Identitas, ubah sumber identitas Anda menjadi Active Directory atau penyedia identitas eksternal.

    Direktori Pusat Identitas adalah sumber identitas default dan mengharuskan Anda menambahkan pengguna dan grup secara manual menggunakan sumber ini jika Anda tidak memiliki daftar sendiri yang dikelola oleh penyedia. Untuk mengubah sumber identitas Anda, Anda harus mengikuti panduan yang benar untuk ini—lihat Mengubah sumber IAM identitas Pusat Identitas Anda.

catatan

Jika menggunakan Active Directory atau penyedia identitas eksternal sebagai sumber identitas Anda, Anda harus memetakan alamat email pengguna Anda ke nama pengguna Pusat IAM Identitas ketika Anda menentukan protokol System for Cross-domain Identity Management (SCIM). Untuk informasi selengkapnya, lihat panduan Pusat IAM Identitas SCIM untuk mengaktifkan Pusat IAM Identitas.

Setelah Anda mengatur sumber IAM identitas Pusat Identitas Anda, Anda dapat mengaktifkannya di konsol saat Anda membuat atau mengedit indeks Anda. Buka Kontrol akses pengguna di pengaturan indeks Anda dan edit pengaturan Anda untuk memungkinkan pengambilan informasi grup pengguna dari IAM Pusat Identitas.

Anda juga dapat mengaktifkan Pusat IAM Identitas menggunakan UserGroupResolutionConfigurationobjek. Anda memberikan UserGroupResolutionMode as AWS_SSO dan membuat IAM peran yang memberikan izin untuk meneleponsso:ListDirectoryAssociations,sso-directory:SearchUsers,sso-directory:ListGroupsForUser,sso-directory:DescribeGroups.

Awas

Amazon Kendra saat ini tidak mendukung penggunaan UserGroupResolutionConfiguration dengan akun anggota AWS organisasi untuk sumber IAM identitas Pusat Identitas Anda. Anda harus membuat indeks Anda di akun manajemen untuk organisasi agar dapat digunakanUserGroupResolutionConfiguration.

Berikut ini adalah ikhtisar tentang cara mengatur sumber data dengan UserGroupResolutionConfiguration dan kontrol akses pengguna untuk memfilter hasil pencarian pada konteks pengguna. Ini mengasumsikan Anda telah membuat indeks dan IAM peran untuk indeks. Anda membuat indeks dan memberikan IAM peran menggunakan CreateIndexAPI.

Menyiapkan sumber data dengan UserGroupResolutionConfiguration dan pemfilteran konteks pengguna

  1. Buat IAM peran yang memberikan izin untuk mengakses sumber IAM identitas Pusat Identitas Anda.

  2. Konfigurasikan UserGroupResolutionConfigurationdengan mengatur mode ke AWS_SSO dan panggil UpdateIndexuntuk memperbarui indeks Anda untuk menggunakan Pusat IAM Identitas.

  3. Jika Anda ingin menggunakan kontrol akses pengguna berbasis token untuk memfilter hasil pencarian pada konteks pengguna, setel UserContextPolicyke USER_TOKEN saat Anda menelepon. UpdateIndex Jika tidak, Amazon Kendra crawl daftar kontrol akses untuk setiap dokumen Anda untuk sebagian besar konektor sumber data. Anda juga dapat memfilter hasil pencarian pada konteks pengguna di Kueri API dengan memberikan informasi pengguna dan grup diUserContext. Anda juga dapat memetakan pengguna ke grup mereka PutPrincipalMappingsehingga Anda hanya perlu memberikan ID pengguna saat mengeluarkan kueri.

  4. Buat IAM peran yang memberikan izin untuk mengakses sumber data Anda.

  5. Konfigurasikan sumber data Anda. Anda harus memberikan informasi koneksi yang diperlukan untuk terhubung ke sumber data Anda.

  6. Buat sumber data menggunakan file CreateDataSourceAPI. Berikan DataSourceConfiguration objek, yang mencakupTemplateConfiguration, ID indeks Anda, IAM peran untuk sumber data Anda, tipe sumber data, dan beri nama sumber data Anda. Anda juga dapat memperbarui sumber data Anda.