翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IAM Identity Center ID ソースの開始方法 (コンソール)
AWS IAM Identity Center ID ソースには、ユーザーとグループに関する情報が含まれています。これは、ユーザーコンテキストフィルタリングを設定する場合に便利です。 は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて、さまざまなユーザーの検索結果を Amazon Kendra フィルタリングします。
IAM Identity Center ID ソースを作成するには、IAM Identity Center をアクティブ化し、 で組織を作成する必要があります AWS Organizations。IAM Identity Center を初めてアクティブ化して組織を作成すると、デフォルトで ID ソースとして Identity Center ディレクトリが自動的に設定されます。アイデンティティソースとしてアクティブディレクトリ (Amazon が管理するまたは自己管理の) または外部アイデンティティプロバイダーに変更できます。これについては、正しいガイダンスに従う必要があります。IAM Identity Center アイデンティティソースの変更」を参照してください。ID ソースは 組織あたり 1 つのみ持つことができます。
ユーザーとグループにドキュメントに対するさまざまなレベルのアクセス権を割り当てるには、ドキュメントをインデックスに取り込むときに、アクセスコントロールリストにユーザーとグループを含める必要があります。これにより、ユーザーとグループはアクセスのレベルに応じて Amazon Kendra でドキュメントを検索できます。クエリを発行するとき、ユーザー ID は IAM Identity Center のユーザー名と完全に一致する必要があります。
また、 で IAM Identity Center を使用するために必要なアクセス許可を付与する必要があります Amazon Kendra。詳細については、「 IAM IAM Identity Center の ロール」を参照してください。
IAM Identity Center ID ソースをセットアップするには
-
IAM Identity Center を有効にする を選択し、 AWS 組織の作成 を選択します。
Identity Center ディレクトリがデフォルトで作成され、組織に関連付けられている E メールアドレスを検証するための E メールが送信されます。
-
AWS 組織にグループを追加するには、ナビゲーションペインでグループを選択します。
-
[Groups page] (グループページ) で、[Create group] (グループの作成) を選択し、ダイアログボックスにグループ名と説明を入力します。[Create] (作成) を選択します。
-
組織にユーザーを追加するには、ナビゲーションペインで [ユーザー] を選択します。
-
[Users] (ユーザー) ページで、[Add user] (ユーザーを追加) を選択します。[User details] (ユーザーの詳細) で、すべての必須フィールドを指定します。[Password] (パスワード) で、[Send an email to the user] (ユーザーにメールを送信) を選択します。[Next (次へ)] を選択します。
-
ユーザーをグループに追加するには、[Groups] (グループ) をクリックし、グループを選択します。
-
グループの [Details] (詳細) ページにある [Group members] (グループメンバー) で、[Add user] (ユーザーの追加) をクリックします。
-
[Add users to group] (ユーザーをグループに追加) ページで、グループのメンバーとして追加するユーザーを選択します。複数のユーザーを選択してグループに追加できます。
-
ユーザーとグループのリストを IAM Identity Center と同期するには、ID ソースを Active Directory または外部 ID プロバイダーに変更します。
Identity Center ディレクトリはデフォルトのアイデンティティソースであり、プロバイダーによって管理される独自のリストがない場合は、このソースを使用してユーザーおよびグループを手動で追加する必要があります。ID ソースを変更するには、これに関する正しいガイダンスに従う必要があります。IAM Identity Center ID ソースの変更」を参照してください。
注記
Active Directory または外部 ID プロバイダーを ID ソースとして使用する場合は、クロスドメイン ID 管理 (IAM) プロトコルを指定するときに、ユーザーの E メールアドレスを SCIM Identity Center ユーザー名にマッピングする必要があります。詳細については、IAM Identity Center を有効にするための SCIM の IAM Identity Center ガイドを参照してください。
IAM Identity Center アイデンティティソースを設定したら、インデックスを作成または編集するときにコンソールでこれをアクティブ化できます。インデックス設定のユーザーアクセスコントロールに移動し、設定を編集して、IAM Identity Center からユーザーグループ情報を取得できるようにします。
IAM オブジェクトを使用して UserGroupResolutionConfiguration Identity Center をアクティブ化することもできます。を UserGroupResolutionModeとして指定AWS_SSOし、、sso:ListDirectoryAssociations、sso-directory:SearchUsers、 を呼び出すアクセス許可を に付与する IAM ロールを作成しますsso-directory:ListGroupsForUsersso-directory:DescribeGroups。
警告
Amazon Kendra は現在、IAM Identity Center ID ソースの組織メンバーアカウントUserGroupResolutionConfigurationでの AWS の使用をサポートしていません。UserGroupResolutionConfiguration を使用するには、その組織の管理アカウントでインデックスを作成する必要があります。
次のものは、UserGroupResolutionConfiguration でデータソースを設定する方法、およびユーザーコンテキストで検索結果をフィルタリングするユーザーアクセス制御の概要です。これは、インデックスのインデックスと IAM ロールが既に作成されていることを前提としています。CreateIndex API を使用してインデックスを作成し、 IAM ロールを指定します。
UserGroupResolutionConfiguration およびユーザーコンテキストフィルタリングによるデータソースの設定
-
IAM Identity Center アイデンティティソースへのアクセス許可を に付与する IAM ロールを作成します。
-
モードを
UserGroupResolutionConfigurationに設定AWS_SSOし、UpdateIndex を呼び出して IAM Identity Center を使用するようにインデックスを更新します。 -
トークンベースのユーザーアクセスコントロールを使用してユーザーコンテキストで検索結果をフィルタリングする場合は、 を呼び出す
USER_TOKENときに UserContextPolicy を に設定しますUpdateIndex。それ以外の場合、 はほとんどのデータソースコネクタの各ドキュメントのアクセスコントロールリストを Amazon Kendra クロールします。また、 でユーザーおよびグループ情報を提供することで、クエリAPIのユーザーコンテキストで検索結果をフィルタリングすることもできますUserContext。また、PutPrincipalMapping を使用してユーザーをグループにマッピングして、クエリを発行するときにユーザー ID を指定するだけで済むようにすることもできます。 -
データソースにアクセスするためのアクセス許可を付与する IAM ロール を作成します。
-
データソースを設定します。データソースに接続するために必要な接続情報を提供する必要があります。
-
CreateDataSource を使用してデータソースを作成しますAPI。
TemplateConfiguration、インデックスの ID、データソースの IAM ロール、データソースタイプを含むDataSourceConfigurationオブジェクトを指定し、データソースに名前を付けます。データソースを更新することもできます。
