翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IAM Identity Center ID ソースの開始方法 (コンソール)
AWS IAM Identity Center ID ソースには、ユーザーとグループに関する情報が含まれています。これは、ユーザーコンテキストフィルタリングを設定する場合に便利です。 は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて、さまざまなユーザーの検索結果を Amazon Kendra フィルタリングします。
IAM Identity Center のアイデンティティソースを作成するには、IAM Identity Center をアクティベートし、 AWS Organizationsで組織を作成する必要があります。IAM Identity Center をアクティベートし、組織を初めて作成すると、デフォルトのアイデンティティソースとして Identity Center ディレクトリが自動的に作成されます。アイデンティティソースとしてアクティブディレクトリ (Amazon が管理するまたは自己管理の) または外部アイデンティティプロバイダーに変更できます。このためには、正しいガイダンスに従う必要があります。「Changing your IAM Identity Center identity source」を参照してください。ID ソースは 組織あたり 1 つのみ持つことができます。
ユーザーとグループにドキュメントに対するさまざまなレベルのアクセス権を割り当てるには、ドキュメントをインデックスに取り込むときに、アクセスコントロールリストにユーザーとグループを含める必要があります。これにより、ユーザーとグループはアクセスのレベルに応じて Amazon Kendra でドキュメントを検索できます。クエリを発行する場合、ユーザー ID は、IAM Identity Center のユーザー名と完全に一致する必要があります。
また、 で IAM Identity Center を使用するために必要なアクセス許可も付与する必要があります Amazon Kendra。詳細については、「IAM roles for IAM Identity Center」を参照してください。
IAM Identity Center アイデンティティソースを設定するには
-
IAM Identity Center を有効化 を選択し、 AWS 組織の作成 を選択します。
Identity Center ディレクトリがデフォルトで作成され、組織に関連付けられている E メールアドレスを検証するための E メールが送信されます。
-
AWS 組織にグループを追加するには、ナビゲーションペインでグループを選択します。
-
[Groups page] (グループページ) で、[Create group] (グループの作成) を選択し、ダイアログボックスにグループ名と説明を入力します。[Create] (作成) を選択します。
-
組織にユーザーを追加するには、ナビゲーションペインで [ユーザー] を選択します。
-
[Users] (ユーザー) ページで、[Add user] (ユーザーを追加) を選択します。[User details] (ユーザーの詳細) で、すべての必須フィールドを指定します。[Password] (パスワード) で、[Send an email to the user] (ユーザーにメールを送信) を選択します。[Next (次へ)] を選択します。
-
ユーザーをグループに追加するには、[Groups] (グループ) をクリックし、グループを選択します。
-
グループの [Details] (詳細) ページにある [Group members] (グループメンバー) で、[Add user] (ユーザーの追加) をクリックします。
-
[Add users to group] (ユーザーをグループに追加) ページで、グループのメンバーとして追加するユーザーを選択します。複数のユーザーを選択してグループに追加できます。
-
ユーザーおよびグループのリストを IAM Identity Center と同期するには、アイデンティティソースをアクティブディレクトリまたは外部アイデンティティプロバイダーに変更します。
Identity Center ディレクトリはデフォルトのアイデンティティソースであり、プロバイダーによって管理される独自のリストがない場合は、このソースを使用してユーザーおよびグループを手動で追加する必要があります。アイデンティティソースを変更するには、正しいガイダンスに従う必要があります。「Changing your IAM Identity Center identity source」を参照してください。
注記
アクティブディレクトリまたは外部アイデンティティプロバイダーをアイデンティティソースとして使用する場合は、ユーザーの E メールアドレスをクロスドメインアイデンティティ管理 (SCIM) プロトコルを指定する際の IAM Identity Center ユーザー名にマッピングする必要があります。詳細については、「IAM Identity Center guide on SCIM for enabling IAM Identity Center」を参照してください。
IAM Identity Center アイデンティティソースをセットアップしたら、インデックスの作成または編集時に、コンソールでこれを有効にできます。インデックスの設定の [ユーザーアクセスコントロール] に移動し、IAM Identity Center からユーザーグループ情報を取得できるように設定を編集します。
UserGroupResolutionConfiguration オブジェクトを使用して IAM Identity Center をアクティブ化することもできます。を UserGroupResolutionModeとして指定AWS_SSOし、、sso:ListDirectoryAssociations、sso-directory:SearchUsers、 を呼び出すアクセス許可を に付与する IAM ロールを作成しますsso-directory:ListGroupsForUsersso-directory:DescribeGroups。
警告
Amazon Kendra は現在、 AWS IAM Identity Center ID ソースの組織メンバーアカウントUserGroupResolutionConfigurationでの の使用をサポートしていません。UserGroupResolutionConfiguration を使用するには、その組織の管理アカウントでインデックスを作成する必要があります。
次のものは、UserGroupResolutionConfiguration でデータソースを設定する方法、およびユーザーコンテキストで検索結果をフィルタリングするユーザーアクセス制御の概要です。これは、インデックスとインデックスの IAM ロールが既に作成されていることを前提としています。CreateIndex API を使用してインデックスを作成し、 IAM ロールを指定します。
UserGroupResolutionConfiguration およびユーザーコンテキストフィルタリングによるデータソースの設定
-
IAM Identity Center アイデンティティソースにアクセスする権限を付与する IAM ロールを作成します。
-
モードを
AWS_SSOに設定し、UpdateIndex を呼び出し、IAM Identity Center を使用するようにインデックスを更新して、UserGroupResolutionConfigurationを構成します。 -
トークンベースのユーザーアクセス制御を使用してユーザーコンテキストで検索結果をフィルタリングする場合は、
UpdateIndexの呼び出し時に UserContextPolicy をUSER_TOKENにセットします。それ以外の場合、 はほとんどのデータソースコネクタの各ドキュメントのアクセスコントロールリストを Amazon Kendra クロールします。また、UserContextにユーザーやグループの情報を入力して、クエリ API のユーザーコンテキストに基づいて検索結果をフィルターすることもできます。クエリを発行するときにユーザー ID を指定するだけで済むようにするため、PutPrincipalMapping を使用してユーザーをグループにマッピングすることもできます。 -
データソースにアクセスするためのアクセス許可を付与する IAM ロール を作成します。
-
データソースを設定します。データソースに接続するために必要な接続情報を提供する必要があります。
-
CreateDataSource API を使用してデータソースを作成します。
TemplateConfiguration、インデックスの ID、データソースの IAM ロール、データソースタイプを含むDataSourceConfigurationオブジェクトを指定し、データソースに名前を付けます。データソースを更新することもできます。
