前提条件 - Amazon Kendra
にサインアップする AWS アカウント管理アクセスを持つユーザーを作成するAmazon Kendra リソース: AWS CLI、SDK、 コンソール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件

以下のステップは、入門ガイド演習の前提条件です。ステップでは、アカウントをセットアップし、 を作成する方法を示します。 IAM が付与する ロール Amazon Kendra ユーザーに代わって呼び出しを行い、 からドキュメントのインデックスを作成する アクセス許可 Amazon S3 バケット。例として S3 バケットが使用されていますが、他のデータソースを使用できます。 Amazon Kendra は をサポートしています。「Data sources」を参照してください。

にサインアップする AWS アカウント

をお持ちでない場合 AWS アカウントで、次の手順を実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/サインアップ を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップするとき AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーはすべての にアクセスできます AWS のサービス アカウントの および リソース。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/ に移動し、マイアカウント を選択すると、いつでも現在のアカウントアクティビティを表示し、アカウントを管理できます。

管理アクセスを持つユーザーを作成する

にサインアップした後 AWS アカウント、 のセキュリティ保護 AWS アカウントのルートユーザー、有効化 AWS IAM Identity Center、および 管理ユーザーを作成して、日常的なタスクにルートユーザーを使用しないようにします。

のセキュリティ保護 AWS アカウントのルートユーザー

  1. にサインインします。AWS Management Console ルートユーザーを選択し、 AWS アカウント E メールアドレス。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、「」の「ルートユーザーとしてサインインする」を参照してください。 AWS サインイン ユーザーガイド

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「 の仮想MFAデバイスの有効化」を参照してください。 AWS アカウントIAM ユーザーガイドのルートユーザー (コンソール)

管理アクセスを持つユーザーを作成する

  1. IAM Identity Center を有効にします。

    手順については、「 の有効化」を参照してください。 AWS IAM Identity Center ()AWS IAM Identity Center ユーザーガイド

  2. IAM Identity Center で、ユーザーに管理アクセス権を付与します。

    の使用に関するチュートリアル IAM アイデンティティセンターディレクトリ ID ソースとして、「デフォルトを使用してユーザーアクセスを設定する」を参照してください。 IAM アイデンティティセンターディレクトリ ()AWS IAM Identity Center ユーザーガイド

管理アクセス権を持つユーザーとしてサインインする

  • IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、「 へのサインイン」を参照してください。 AWS の アクセスポータル AWS サインイン ユーザーガイド

追加のユーザーにアクセス権を割り当てる

  1. IAM Identity Center で、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。

    手順については、「」の「アクセス許可セットの作成」を参照してください。 AWS IAM Identity Center ユーザーガイド

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「」の「グループの追加」を参照してください。 AWS IAM Identity Center ユーザーガイド

  • テストにドキュメントを含む S3 バケットを使用している場合 Amazon Kendra、使用しているリージョンと同じリージョンに S3 バケットを作成します。 Amazon Kendra。 手順については、「Amazon Simple Storage Service ユーザーガイド」のS3 バケットの作成と設定」を参照してください。

    ドキュメントを S3 バケットにアップロードします。手順については、Amazon Simple Storage Service ユーザーガイドオブジェクトのアップロード、ダウンロードおよび管理を参照してください。

    別のデータソースを使用している場合は、データソースに接続するためのアクティブなサイトと認証情報が必要です。

コンソールを使用して開始する場合は、の開始方法 Amazon Kendra コンソール で開始します。

Amazon Kendra リソース: AWS CLI、SDK、 コンソール

、CLI、または コンソールを使用する場合はSDK、特定のアクセス許可が必要です。

アプリケーション Amazon Kendra CLI、、または コンソールの場合はSDK、 を許可するアクセス許可が必要です。 Amazon Kendra ユーザーに代わって リソースを作成および管理するための 。ユースケースに応じて、これらのアクセス許可には へのアクセスが含まれます。 Amazon Kendra API それ自体、 AWS KMS keys カスタム を介してデータを暗号化する場合は CMK、 と統合する場合は Identity Center ディレクトリ AWS IAM Identity Center または検索エクスペリエンス を作成します。さまざまなユースケースのアクセス許可の完全なリストについては、「」を参照してください。 IAM ロール

まず、以下のアクセス許可をIAMユーザーにアタッチする必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

次に、 CLIまたは を使用する場合はSDK、 も作成する必要があります。 IAM アクセスする ロールとポリシー Amazon CloudWatch Logs。 コンソールを使用している場合は、 を作成する必要はありません。 IAM のロールとポリシー。これはコンソール手順の一部として作成します。

を作成するには IAM の ロールとポリシー AWS CLI と SDK により、 Amazon Kendra にアクセスして Amazon CloudWatch Logs.

  1. にサインインする AWS Management Console でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. 左側のメニューで、[Policies] (ポリシー) を選択し、[Create policy] (ポリシーの作成) を選択します。

  3. を選択しJSON、デフォルトポリシーを以下に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. [ポリシーの確認] を選択します。

  5. ポリシーに名前を付ける "KendraPolicyForGettingStartedIndex" ポリシーの作成 を選択します。

  6. 左側のメニューから、[Roles] (ロール) を選択し、[Create role] (ロールの作成) を選択します。

  7. 別の を選択する AWS アカウント を入力し、アカウント ID にアカウント ID を入力します。[Next: Permissions] (次へ: アクセス許可) を選択します。

  8. 上記の手順で作成したポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  9. タグを追加しないでください。[次へ: レビュー] を選択します。

  10. ロールに名前を付ける "KendraRoleForGettingStartedIndex" 次に、ロールの作成 を選択します。

  11. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。[Trust relationships] (信頼関係) を選択し、[Edit trust relationship] (信頼関係の編集) を選択します。

  12. 既存の信頼関係を、次のものに置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. [Update trust policy] (信頼ポリシーの更新) を選択します。

3 つ目は、 Amazon S3 ドキュメントを保存する場合、または S3 を使用してテストする場合 Amazon Kendra、 も作成する必要があります IAM バケットにアクセスするための ロールとポリシー。別のデータソースを使用している場合は、「」を参照してください。 IAM データソース の ロール

を作成するには IAM が許可する ロールとポリシー Amazon Kendra にアクセスしてインデックスを作成する Amazon S3 バケット。

  1. にサインインする AWS Management Console でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. 左側のメニューで、[Policies] (ポリシー) を選択し、[Create policy] (ポリシーの作成) を選択します。

  3. を選択しJSON、デフォルトポリシーを以下に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:region:account ID:index/*"
        }
    ]
}

  4. [ポリシーの確認] を選択します。

  5. ポリシーにKendraPolicyForGettingStartedDataSource「」という名前を付け、ポリシーの作成 を選択します。

  6. 左側のメニューから、[Roles] (ロール) を選択し、[Create role] (ロールの作成) を選択します。

  7. 別の を選択する AWS アカウント を入力し、アカウント ID にアカウント ID を入力します。[Next: Permissions] (次へ: アクセス許可) を選択します。

  8. 上記の手順で作成したポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  9. タグを追加しないでください。[次へ: レビュー] を選択します。

  10. ロールにKendraRoleForGettingStartedDataSource「」という名前を付け、「ロールの作成」を選択します。

  11. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。[Trust relationships] (信頼関係) を選択し、[Edit trust relationship] (信頼関係の編集) を選択します。

  12. 既存の信頼関係を、次のものに置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. [Update trust policy] (信頼ポリシーの更新) を選択します。

の使用方法に応じて Amazon Kendra API、次のいずれかを実行します。