Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAM ruoli di accesso per Amazon Kendra
Quando crei un indice, un'origine dati o unFAQ, Amazon Kendra ha bisogno di accedere a AWS risorse necessarie per creare il Amazon Kendra risorsa. È necessario creare un AWS Identity and Access Management (IAM) politica prima di creare il Amazon Kendra risorsa. Quando chiami l'operazione, fornisci l'Amazon Resource Name (ARN) del ruolo con la policy allegata. Ad esempio, se stai chiamando BatchPutDocumentAPIper aggiungere documenti da un Amazon S3 bucket, tu fornisci Amazon Kendra con un ruolo con una politica che ha accesso al bucket.
Puoi crearne uno nuovo IAM ruolo nel Amazon Kendra console o scegli un IAM ruolo esistente da usare. La console mostra i ruoli che hanno la stringa «kendra» o «Kendra» nel nome del ruolo.
I seguenti argomenti forniscono dettagli sulle politiche richieste. Se crei IAM ruoli che utilizzano il Amazon Kendra console queste politiche sono state create per te.
Argomenti
- IAM ruoli per gli indici
- IAM ruoli per il BatchPutDocument API
- IAM ruoli per le fonti di dati
- Cloud privato virtuale (VPC) IAM role
- IAM ruoli per le domande frequenti (FAQs)
- IAM ruoli per i suggerimenti di interrogazione
- IAM ruoli per la mappatura principale di utenti e gruppi
- IAM ruoli per AWS IAM Identity Center
- IAM ruoli per Amazon Kendra esperienze
- IAM ruoli per Custom Document Enrichment
IAM ruoli per gli indici
Quando si crea un indice, è necessario fornire un IAM ruolo con autorizzazione a scrivere a un Amazon CloudWatch. È inoltre necessario fornire una politica di fiducia che consenta Amazon Kendra assumere il ruolo. Di seguito sono riportate le politiche che devono essere fornite.
Una politica di ruolo da consentire Amazon Kendra per accedere a CloudWatch registro.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": "logs:DescribeLogGroups", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" } ] }
Una politica di ruolo da consentire Amazon Kendra accedere AWS Secrets Manager. Se si utilizza il contesto utente con Secrets Manager come posizione chiave, puoi utilizzare la seguente politica.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"cloudwatch:PutMetricData", "Resource":"*", "Condition":{ "StringEquals":{ "cloudwatch:namespace":"AWS/Kendra" } } }, { "Effect":"Allow", "Action":"logs:DescribeLogGroups", "Resource":"*" }, { "Effect":"Allow", "Action":"logs:CreateLogGroup", "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*" }, { "Effect":"Allow", "Action":[ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*" }, { "Effect":"Allow", "Action":[ "secretsmanager:GetSecretValue" ], "Resource":[ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition":{ "StringLike":{ "kms:ViaService":[ "secretsmanager.your-region.amazonaws.com" ] } } } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per il BatchPutDocument API
avvertimento
Amazon Kendra non utilizza una policy bucket che concede autorizzazioni a un Amazon Kendra principale per interagire con un bucket S3. Invece, usa IAM ruoli. Assicuratevi che Amazon Kendra non è incluso come membro fidato nella tua bucket policy per evitare problemi di sicurezza dei dati derivanti dalla concessione accidentale di autorizzazioni a committenti arbitrari. Tuttavia, puoi aggiungere una policy bucket per utilizzare un Amazon S3 bucket su diversi account. Per ulteriori informazioni, consulta Politiche di utilizzo Amazon S3 tra diversi account. Per informazioni su IAM ruoli per le sorgenti dati S3, vedi IAM ruoli.
Quando si utilizza BatchPutDocumentAPIper indicizzare i documenti in un Amazon S3 secchio, è necessario fornire Amazon Kendra con un IAM ruolo con accesso al bucket. È inoltre necessario fornire una politica di fiducia che consenta Amazon Kendra assumere il ruolo. Se i documenti nel bucket sono crittografati, è necessario fornire l'autorizzazione per utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare i documenti.
Una politica di ruolo obbligatoria per consentire Amazon Kendra per accedere a un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nel IAM politica di ruolo per l'azione. sts:AssumeRole Ciò impedisce a entità non autorizzate di accedere al IAM ruoli e relative autorizzazioni. Per ulteriori informazioni, consulta il AWS Identity and Access Management guida sul problema del deputato confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*" } } } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra usare un AWS KMS chiave master del cliente (CMK) per decrittografare i documenti in un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
IAM ruoli per le fonti di dati
Quando usi il CreateDataSourceAPI, devi dare Amazon Kendra un IAM ruolo che dispone del permesso di accedere alle risorse. Le autorizzazioni specifiche richieste dipendono dall'origine dei dati.
Quando utilizzi Adobe Experience Manager, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare Adobe Experience Manager.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Adobe Experience Manager.
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
Puoi connettere un'origine dati di Adobe Experience Manager a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Alfresco, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Alfresco.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Alfresco.
-
Autorizzazione a chiamare
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un'origine dati Alfresco a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Aurora (MySQL), offri un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Aurora (MioSQL).
-
Autorizzazione a chiamare il pubblico richiesto APIs per Aurora Connettore (MySQL).
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un Aurora (La miaSQL) fonte di dati a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Aurora (PostgreSQL), fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Aurora (Poster). SQL
-
Autorizzazione a chiamare il pubblico APIs richiesto per Aurora Connettore (PostgreSQL).
-
Autorizzazione a chiamare il
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, e.ListGroupsOlderThanOrderingIdAPIs
Nota
È possibile connettere un Aurora Fonte di dati (PostgreSQL) a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Amazon FSx, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Amazon FSx file system.
-
Autorizzazione all'accesso Amazon Virtual Private Cloud (VPC) dove Amazon FSx risiede il file system.
-
Autorizzazione a ottenere il nome di dominio del tuo Active Directory per il tuo Amazon FSx file system.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il Amazon FSx connettore.
-
Autorizzazione a
BatchDeleteDocumentAPIs chiamareBatchPutDocumente aggiornare l'indice.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action":[ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.*.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredFsxAPIs", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un database come fonte di dati, si fornisce Amazon Kendra con un ruolo che dispone delle autorizzazioni necessarie per la connessione a. Ciò include:
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene il nome utente e la password per il sito. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di dati.
-
Autorizzazione all'uso del AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice. -
Autorizzazione ad accedere a Amazon S3 bucket che contiene il SSL certificato utilizzato per comunicare con il sito.
Nota
È possibile connettere le fonti di dati del database a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Esistono due politiche opzionali che è possibile utilizzare con un'origine dati.
Se hai crittografato il Amazon S3 bucket che contiene il SSL certificato utilizzato per comunicare con, fornisci una politica da fornire Amazon Kendra accesso alla chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Se utilizzi unVPC, fornisci una politica che fornisca Amazon Kendra accesso alle risorse richieste. Consulta la sezione IAM ruoli per le fonti di dati, VPC per la politica richiesta.
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un Amazon RDS (Microsoft SQL Server) Data Source Connector, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Amazon RDS (Microsoft SQL Server) istanza di origine dati.
-
Autorizzazione a chiamare il pubblico richiesto APIs per Amazon RDS Connettore di origine dati (Microsoft SQL Server).
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un Amazon RDS (Microsoft SQL Server) origine dati per Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un Amazon RDS (MySQL) Data Source Connector, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Amazon RDS (La miaSQL) istanza di origine dati.
-
Autorizzazione a chiamare il pubblico richiesto APIs per Amazon RDS (Il mioSQL) connettore di origine dati.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un Amazon RDS (La miaSQL) fonte di dati a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un Amazon RDS Oracle Data Source Connector, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Amazon RDS istanza di origine dati (Oracle).
-
Autorizzazione a chiamare il pubblico richiesto APIs per il Amazon RDS Connettore di origine dati (Oracle).
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un Amazon RDS Fonte dati Oracle a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un Amazon RDS (PostgreSQL) Data Source Connector, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Amazon RDS istanza di origine dati (PostgreSQL).
-
Autorizzazione a chiamare il pubblico APIs richiesto per Amazon RDS Connettore sorgente dati (PostgreSQL).
-
Autorizzazione a chiamare
BatchPutDocument,BatchDeleteDocument,PutPrincipalMappingDeletePrincipalMappingDescribePrincipalMapping, e.ListGroupsOlderThanOrderingIdAPIs
Nota
È possibile connettere un Amazon RDS Fonte di dati (PostgreSQL) a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
avvertimento
Amazon Kendra non utilizza una policy bucket che concede autorizzazioni a un Amazon Kendra principale per interagire con un bucket S3. Invece, usa IAM ruoli. Assicuratevi che Amazon Kendra non è incluso come membro fidato nella tua bucket policy per evitare problemi di sicurezza dei dati derivanti dalla concessione accidentale di autorizzazioni a committenti arbitrari. Tuttavia, puoi aggiungere una policy bucket per utilizzare un Amazon S3 bucket su diversi account. Per ulteriori informazioni, vedi Politiche da utilizzare Amazon S3 tra account (scorri verso il basso).
Quando si utilizza un Amazon S3 bucket come fonte di dati, fornisci un ruolo con il permesso di accedere al bucket e di utilizzare le operazioni BatchPutDocument andBatchDeleteDocument. Se i documenti contenuti in Amazon S3
i bucket sono crittografati, è necessario fornire il permesso di utilizzare il AWS KMS customer master key (CMK) per decrittografare i documenti.
Le seguenti politiche di ruolo devono consentire Amazon Kendra assumere un ruolo. Scorri ulteriormente verso il basso per visualizzare una politica di fiducia per assumere un ruolo.
Una politica di ruolo obbligatoria per consentire Amazon Kendra usare un Amazon S3 bucket come fonte di dati.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra usare un AWS KMS chiave master del cliente (CMK) per decrittografare i documenti in un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra per accedere a un Amazon S3 secchio, mentre si utilizza un Amazon VPC e senza attivare AWS KMS o condivisione AWS KMS autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra per accedere a un Amazon S3 secchio durante l'utilizzo di un Amazon VPC, e con AWS KMS autorizzazioni attivate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]", "arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "kendra.amazonaws.com" }, "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" } ] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Politiche da utilizzare Amazon S3 tra account
Se le ricette di Amazon S3 bucket si trova in un account diverso da quello che usi per il tuo Amazon Kendra index, puoi creare politiche per utilizzarlo su più account.
Una politica di ruolo da utilizzare Amazon S3 bucket come fonte di dati quando il bucket si trova in un account diverso dal tuo Amazon Kendra indice. Nota che s3:PutObject e s3:PutObjectAcl sono facoltativi e li usi se desideri includere un file di configurazione per la tua lista di controllo degli accessi.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:$your-region:$your-account-id:index/$index-id" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::$bucket-in-other-account/*" } ] }
Una policy bucket per consentire il Amazon S3 ruolo di origine dati per accedere a Amazon S3 secchio tra gli account. Nota che s3:PutObjectAcl i s3:PutObject e sono facoltativi e li usi se desideri includere un file di configurazione per la tua lista di controllo degli accessi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::$bucket-in-other-account/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "$kendra-s3-connector-role-arn" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::$bucket-in-other-account" } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Amazon Kendra Web Crawler, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene le credenziali per connettersi a siti Web o a un server proxy Web supportato da un'autenticazione di base. Per ulteriori informazioni sul contenuto del segreto, consulta Utilizzo di un'origine dati per crawler Web.
-
Autorizzazione all'uso di AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice. -
Se si utilizza un Amazon S3 bucket per archiviare il tuo elenco di seed URLs o sitemap, includi il permesso di accedere a Amazon S3 secchio.
Nota
Puoi connettere un Amazon Kendra Fonte di dati Web Crawler a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se memorizzi i tuoi seed URLs o le tue sitemap in un Amazon S3 bucket, devi aggiungere questa autorizzazione al ruolo.
, {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Amazon WorkDocs, fornisci un ruolo con le seguenti politiche
-
Autorizzazione a verificare l'ID della directory (ID dell'organizzazione) che corrisponde al Amazon WorkDocs archivio del sito.
-
Autorizzazione a ottenere il nome di dominio del tuo Active Directory che contiene il Amazon WorkDocs directory del sito.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il Amazon WorkDocs connettore.
-
Autorizzazione a
BatchDeleteDocumentAPIs chiamareBatchPutDocumente aggiornare l'indice.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraToGetDomainNameOfActiveDirectory", "Effect": "Allow", "Action": "ds:DescribeDirectories", "Resource": "*" }, { "Sid": "AllowsKendraToCallRequiredWorkDocsAPIs", "Effect": "Allow", "Action": [ "workdocs:GetDocumentPath", "workdocs:GetGroup", "workdocs:GetDocument", "workdocs:DownloadDocumentVersions", "workdocs:DescribeUsers", "workdocs:DescribeFolderContents", "workdocs:DescribeActivities", "workdocs:DescribeComments", "workdocs:GetFolder", "workdocs:DescribeResourcePermissions", "workdocs:GetFolderPath", "workdocs:DescribeInstances" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } }, { "Sid": "AllowsKendraToCallBatchPutDeleteAPIs", "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:account-id:index/$index-id" ] } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Box, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Slack.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Box.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
Puoi connettere un'origine dati Box a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un server Confluence come origine dati, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene le credenziali necessarie per connettersi a Confluence. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati Confluence.
-
Autorizzazione a utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice.
Nota
Puoi connettere un'origine dati Confluence a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se utilizzi unVPC, fornisci una politica che fornisca Amazon Kendra accesso alle risorse richieste. Consulta la sezione IAM ruoli per le fonti di dati, VPC per la politica richiesta.
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Per un'origine dati Confluence Connector v2.0, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene le credenziali di autenticazione per Confluence. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati Confluence.
-
Autorizzazione a utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da AWS Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice.
È inoltre necessario allegare una politica di fiducia che consenta Amazon Kendra assumere il ruolo.
Nota
Puoi connettere un'origine dati Confluence a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
Una politica di ruolo da consentire Amazon Kendra per connettersi a Confluence.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] } { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Dropbox, fornisci un ruolo con le seguenti norme.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Dropbox.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Dropbox.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
Puoi collegare una fonte di dati Dropbox a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Drupal, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo Drupal.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Drupal.
-
Autorizzazione a chiamare
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, e.ListGroupsOlderThanOrderingIdAPIs
Nota
Puoi connettere una fonte di dati Drupal a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza GitHub, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare il tuo GitHub.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il GitHub connettore.
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un'origine GitHub dati a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Gmail, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Gmail.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Gmail.
-
Autorizzazione a chiamare il
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, e.ListGroupsOlderThanOrderingIdAPIs
Nota
Puoi connettere un'origine dati Gmail a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": {"StringLike": {"kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, {"Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, {"Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi una fonte di dati Google Workspace Drive, fornisci Amazon Kendra con un ruolo che dispone delle autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'e-mail dell'account cliente, l'e-mail dell'account amministratore e la chiave privata necessaria per connettersi al sito di Google Drive. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di dati di Google Drive.
-
Autorizzazione a utilizzare BatchPutDocumente BatchDeleteDocumentAPIs.
Nota
Puoi connettere una fonte di dati di Google Drive a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un connettore di origine IBM DB2 dati, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza della fonte di IBM DB2 dati.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine IBM DB2 dati.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un'origine IBM DB2 dati a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Jira, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare Jira.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Jira.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
Puoi connettere un'origine dati Jira a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un'origine dati di Microsoft Exchange, si fornisce Amazon Kendra con un ruolo che dispone delle autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito di Microsoft Exchange. Per ulteriori informazioni sul contenuto del segreto, vedere Origini dati di Microsoft Exchange.
-
Autorizzazione a utilizzare BatchPutDocumente BatchDeleteDocumentAPIs.
Nota
È possibile connettere un'origine dati Microsoft Exchange a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se si sta memorizzando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione S3GetObject. I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un'origine OneDrive dati Microsoft, si fornisce Amazon Kendra con un ruolo che dispone delle autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al OneDrive sito. Per ulteriori informazioni sul contenuto del segreto, vedi Origini OneDrive dati Microsoft.
-
Autorizzazione a utilizzare BatchPutDocumente BatchDeleteDocumentAPIs.
Nota
È possibile connettere un'origine OneDrive dati Microsoft a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se si sta memorizzando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione S3GetObject. I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Per un'origine dati Microsoft SharePoint Connector v1.0, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene il nome utente e la password per il SharePoint sito. Per ulteriori informazioni sul contenuto del segreto, vedi Origini SharePoint dati Microsoft.
-
Autorizzazione a utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da AWS Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice. -
Autorizzazione ad accedere a Amazon S3 bucket che contiene il SSL certificato utilizzato per comunicare con il SharePoint sito.
È inoltre necessario allegare una politica di fiducia che consenta Amazon Kendra assumere il ruolo.
Nota
È possibile connettere un'origine SharePoint dati Microsoft a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Se hai crittografato il Amazon S3 bucket che contiene il SSL certificato utilizzato per comunicare con il SharePoint sito, fornisci una policy da fornire Amazon Kendra accesso alla chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Per un'origine dati Microsoft SharePoint Connector v2.0, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene le credenziali di autenticazione per il SharePoint sito. Per ulteriori informazioni sul contenuto del segreto, vedi Origini SharePoint dati Microsoft.
-
Autorizzazione a utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da AWS Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice. -
Autorizzazione ad accedere a Amazon S3 bucket che contiene il SSL certificato utilizzato per comunicare con il SharePoint sito.
È inoltre necessario allegare una politica di fiducia che consenta Amazon Kendra assumere il ruolo.
Nota
È possibile connettere un'origine SharePoint dati Microsoft a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/key-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids", "arn:aws:ec2:your-region:your-account-id:security-group/security-group" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:region:account_id:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } ] }
Se hai crittografato il Amazon S3 bucket che contiene il SSL certificato utilizzato per comunicare con il SharePoint sito, fornisci una policy da fornire Amazon Kendra accesso alla chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:youraccount-id:key/key-id" ] } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza Microsoft SQL Server, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza di Microsoft SQL Server.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Microsoft SQL Server.
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un'origine dati Microsoft SQL Server a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un'origine dati Microsoft Teams, fornisci Amazon Kendra con un ruolo che dispone delle autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID client e il segreto del client necessari per connettersi a Microsoft Teams. Per ulteriori informazioni sul contenuto del segreto, consulta Origini dati di Microsoft Teams.
Nota
Puoi connettere un'origine dati Microsoft Teams a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:client-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un'origine dati Microsoft Yammer, si fornisce Amazon Kendra con un ruolo che dispone delle autorizzazioni necessarie per la connessione al sito. Ciò include:
-
Autorizzazione a ottenere e decrittografare il AWS Secrets Manager segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito Microsoft Yammer. Per ulteriori informazioni sul contenuto del segreto, vedere Origini dati di Microsoft Yammer.
-
Autorizzazione a utilizzare e. BatchPutDocumentBatchDeleteDocumentAPIs
Nota
È possibile connettere un'origine dati Microsoft Yammer a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Se si sta memorizzando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione S3GetObject. I seguenti IAM la politica fornisce le autorizzazioni necessarie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/[[key-ids]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com", "s3.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un connettore My SQL data source, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare la tua istanza My SQL data source.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore My SQL data source.
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
Puoi connettere una fonte di SQL dati My a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine dati Oracle, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza della fonte di dati Oracle.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati Oracle.
-
Autorizzazione a chiamare
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMapping,DescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere un'origine dati Oracle a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando si utilizza un connettore di origine SQL dati Postgre, si fornisce un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare l'istanza della fonte di SQL dati Postgre.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati SQL Postgre.
-
Autorizzazione a chiamare
BatchPutDocument,BatchDeleteDocument,PutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping, e.ListGroupsOlderThanOrderingIdAPIs
Nota
Puoi connettere un'origine SQL dati Postgre a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Quip, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Quip.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Quip.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile connettere una fonte di dati Quip a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Salesforce come fonte di dati, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere a AWS Secrets Manager segreto che contiene il nome utente e la password per il sito Salesforce. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di dati di Salesforce.
-
Autorizzazione a utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice.
Nota
È possibile connettere un'origine dati Salesforce a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:account-id:index/index-id" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi un ServiceNow come fonte di dati, fornisci un ruolo con le seguenti politiche:
-
Autorizzazione ad accedere a Secrets Manager segreto che contiene il nome utente e la password per il ServiceNow sito. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di ServiceNow dati.
-
Autorizzazione all'uso del AWS KMS chiave master del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da Secrets Manager.
-
Autorizzazione all'uso
BatchPutDocumente alleBatchDeleteDocumentoperazioni per aggiornare l'indice.
Nota
È possibile connettere una fonte di ServiceNow dati a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando usi Slack, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al tuo AWS Secrets Manager segreto per autenticare il tuo Slack.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Slack.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
Puoi connettere una fonte di dati Slack a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Quando utilizzi Zendesk, fornisci un ruolo con le seguenti politiche.
-
Autorizzazione ad accedere al AWS Secrets Manager segreto per autenticare la tua Zendesk Suite.
-
Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Zendesk.
-
Autorizzazione a chiamare il
BatchPutDocumentBatchDeleteDocument,PutPrincipalMapping,,DeletePrincipalMappingDescribePrincipalMapping, eListGroupsOlderThanOrderingIdAPIs.
Nota
È possibile collegare una sorgente dati Zendesk a Amazon Kendra attraverso Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.{{your-region}}.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kendra:PutPrincipalMapping", "kendra:DeletePrincipalMapping", "kendra:ListGroupsOlderThanOrderingId", "kendra:DescribePrincipalMapping" ], "Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"] }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}" }] }
Una politica di fiducia da consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Cloud privato virtuale (VPC) IAM role
Se utilizzi un cloud privato virtuale (VPC) per connetterti alla tua fonte di dati, devi fornire le seguenti autorizzazioni aggiuntive.
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]", "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission" ], "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*", "Condition": { "StringLike": { "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeSubnets" ], "Resource": "*" } }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per le domande frequenti (FAQs)
Quando si utilizza il CreateFaqAPIper caricare domande e risposte in un indice, è necessario fornire Amazon Kendra con un IAM ruolo con accesso a Amazon S3 bucket che contiene i file sorgente. Se i file di origine sono crittografati, è necessario fornire l'autorizzazione per utilizzare il AWS KMS chiave master del cliente (CMK) per decrittografare i file.
Una politica di ruolo obbligatoria da consentire Amazon Kendra per accedere a un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra usare un AWS KMS chiave master del cliente (CMK) per decrittografare i file in un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per i suggerimenti di interrogazione
Quando si utilizza un Amazon S3 file come elenco di blocco dei suggerimenti di interrogazione, fornisci un ruolo che ha il permesso di accedere a Amazon S3 file e Amazon S3 secchio. Se il file di testo dell'elenco dei blocchi (il Amazon S3 file) nel Amazon S3 il bucket è crittografato, è necessario fornire l'autorizzazione per utilizzare il AWS KMS customer master key (CMK) per decrittografare i documenti.
Una politica di ruolo obbligatoria per consentire Amazon Kendra usare il Amazon S3 file come elenco di blocchi dei suggerimenti per le interrogazioni.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra usare un AWS KMS chiave master del cliente (CMK) per decrittografare i documenti in un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per la mappatura principale di utenti e gruppi
Quando si utilizza per mappare gli utenti ai rispettivi gruppi per filtrare i risultati della ricerca in base al contesto dell'utente, è necessario fornire un elenco di utenti o sottogruppi che appartengono a un gruppo. PutPrincipalMappingAPI Se l'elenco contiene più di 1000 utenti o sottogruppi per gruppo, devi fornire un ruolo con l'autorizzazione ad accedere a Amazon S3 file della tua lista e il Amazon S3 secchio. Se il file di testo ( Amazon S3 file) dell'elenco nel Amazon S3 il bucket è crittografato, è necessario fornire l'autorizzazione per utilizzare il AWS KMS customer master key (CMK) per decrittografare i documenti.
Una politica di ruolo obbligatoria per consentire Amazon Kendra usare il Amazon S3 file come elenco di utenti e sottogruppi che appartengono a un gruppo.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ] } ] }
Una politica di ruolo opzionale da consentire Amazon Kendra usare un AWS KMS chiave master del cliente (CMK) per decrittografare i documenti in un Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nel IAM politica di ruolo per l'azione. sts:AssumeRole Ciò impedisce a entità non autorizzate di accedere al IAM ruoli e relative autorizzazioni. Per ulteriori informazioni, consulta il AWS Identity and Access Management guida sul problema del deputato confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
IAM ruoli per AWS IAM Identity Center
Quando si utilizza l'UserGroupResolutionConfigurationoggetto per recuperare i livelli di accesso di gruppi e utenti da un AWS IAM Identity Center fonte di identità, è necessario fornire un ruolo con il permesso di accesso IAM Identity Center.
Una politica di ruolo obbligatoria da consentire Amazon Kendra per accedere IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:SearchUsers", "sso-directory:ListGroupsForUser", "sso-directory:DescribeGroups", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ] }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "kendra.amazonaws.com" ] } } } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
IAM ruoli per Amazon Kendra esperienze
Quando si utilizza CreateExperienceo UpdateExperienceAPIsper creare o aggiornare un'applicazione di ricerca, è necessario fornire un ruolo con l'autorizzazione ad accedere alle operazioni e all'IAMIdentity Center necessari.
Una politica di ruolo obbligatoria per consentire Amazon Kendra per accedere alle Query operazioni, QuerySuggestions alle SubmitFeedback operazioni e all'IAMIdentity Center che archivia le informazioni su utenti e gruppi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsKendraSearchAppToCallKendraApi", "Effect": "Allow", "Action": [ "kendra:GetQuerySuggestions", "kendra:Query", "kendra:DescribeIndex", "kendra:ListFaqs", "kendra:DescribeDataSource", "kendra:ListDataSources", "kendra:DescribeFaq", "kendra:SubmitFeedback" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id" ] }, { "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq", "Effect": "Allow", "Action": [ "kendra:DescribeDataSource", "kendra:DescribeFaq" ], "Resource": [ "arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id", "arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id" ] }, { "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups", "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeUser", "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso:ListDirectoryAssociations" ], "Resource": [ "*" ], "Condition": { "StringLike": { "kms:ViaService": [ "kendra.your-region.amazonaws.com" ] } } } ] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nel IAM politica di ruolo per l'azione. sts:AssumeRole Ciò impedisce a entità non autorizzate di accedere al IAM ruoli e relative autorizzazioni. Per ulteriori informazioni, consulta il AWS Identity and Access Management guida sul problema del deputato confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
IAM ruoli per Custom Document Enrichment
Quando si utilizza l'CustomDocumentEnrichmentConfigurationoggetto per applicare modifiche avanzate ai metadati e al contenuto del documento, è necessario fornire un ruolo con le autorizzazioni necessarie per l'esecuzione e/o. PreExtractionHookConfiguration PostExtractionHookConfiguration È possibile configurare una funzione Lambda per PreExtractionHookConfiguration e/o applicare modifiche avanzate PostExtractionHookConfiguration ai metadati e ai contenuti del documento durante il processo di inserimento. Se scegli di attivare Server Side Encryption per Amazon S3 bucket, è necessario fornire l'autorizzazione per utilizzare il AWS KMS customer master key (CMK) per crittografare e decrittografare gli oggetti memorizzati nel Amazon S3 secchio.
Una politica di ruolo obbligatoria per consentire Amazon Kendra da eseguire PreExtractionHookConfiguration e PostExtractionHookConfiguration con crittografia per il tuo Amazon S3
secchio.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }
Una politica di ruolo opzionale da consentire Amazon Kendra da eseguire PreExtractionHookConfiguration e PostExtractionHookConfiguration senza crittografia per il tuo Amazon S3 secchio.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket-name/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function" }] }
Una politica di fiducia per consentire Amazon Kendra per assumere un ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kendra.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
Si consiglia di includere aws:sourceAccount e aws:sourceArn nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se aws:sourceAccount e aws:sourceArn sono le stesse fornite nel IAM politica di ruolo per l'azione. sts:AssumeRole Ciò impedisce a entità non autorizzate di accedere al IAM ruoli e relative autorizzazioni. Per ulteriori informazioni, consulta il AWS Identity and Access Management guida sul problema del deputato confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "kendra.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id" }, "StringLike": { "aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*" } } } ] }
