Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

前提条件

PDF
RSS
フォーカスモード
前提条件 - Amazon Kendra
にサインアップする AWS アカウント管理アクセスを持つユーザーを作成するAmazon Kendra リソース: AWS CLI、SDK、コンソール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

以下のステップは、入門ガイド演習の前提条件です。この手順では、アカウントのセットアップ方法、ユーザーに代わって呼び出しを行うアクセス許可を付与 Amazon Kendra する IAM ロールの作成方法、および Amazon S3 バケットからドキュメントのインデックスを作成する方法を示します。例として S3 バケットを使用しますが、 Amazon Kendra がサポートする他のデータソースを使用することもできます。「Data sources」を参照してください。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次の手順を実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/[マイアカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように、 のセキュリティを確保し AWS IAM Identity Center、 AWS アカウントのルートユーザーを有効にして、管理ユーザーを作成します。

を保護する AWS アカウントのルートユーザー

  1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理アクセスを持つユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。

  2. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

    を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 AWS IAM Identity Center ユーザーガイド」の「Configure user access with the default IAM アイデンティティセンターディレクトリ」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、「 ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。 AWS サインイン

追加のユーザーにアクセス権を割り当てる

  1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成するを参照してください

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの結合」を参照してください。

  • テストにドキュメントを含む S3 バケットを使用している場合は Amazon Kendra、使用しているリージョンと同じリージョンに S3 バケットを作成します Amazon Kendra。手順については、Amazon Simple Storage Service コンソールユーザーガイドS3 バケットの作成と設定を参照してください。

    ドキュメントを S3 バケットにアップロードします。手順については、Amazon Simple Storage Service ユーザーガイドオブジェクトのアップロード、ダウンロードおよび管理を参照してください。

    別のデータソースを使用している場合は、データソースに接続するためのアクティブなサイトと認証情報が必要です。

コンソールを使用して開始する場合は、Amazon Kendra コンソールの開始方法 で開始します。

Amazon Kendra リソース: AWS CLI、SDK、コンソール

CLI、SDK、またはコンソールを使用する場合は、特定の権限が必要です。

を CLI、SDK、またはコンソール Amazon Kendra に使用するには、 がユーザーに代わってリソースを作成および管理 Amazon Kendra できるようにするアクセス許可が必要です。ユースケースに応じて、これらのアクセス許可には Amazon Kendra API 自体へのアクセスが含まれます。カスタム CMK を介してデータを暗号化 AWS KMS keys する場合は、 と統合 AWS IAM Identity Center するか、検索エクスペリエンスを作成する場合は Identity Center ディレクトリ。さまざまなユースケースのための権限の一覧については、「IAM roles」を参照してください。

まず、以下のアクセス許可を IAM ユーザーにアタッチする必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

次に、 CLI または SDK を使用する場合は、アクセスする IAM ロールとポリシーも作成する必要があります Amazon CloudWatch Logs。コンソールを使用している場合は、 IAM ロールとポリシーを作成する必要はありません。これはコンソール手順の一部として作成します。

が にアクセスすることを許可する および SDK の Amazon KendraIAM ロール AWS CLI とポリシーを作成します Amazon CloudWatch Logs。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. 左側のメニューで、[Policies] (ポリシー) を選択し、[Create policy] (ポリシーの作成) を選択します。

  3. [JSON] を選択し、デフォルトのポリシーを以下に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:region:account ID:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. [ポリシーの確認] を選択します。

  5. ポリシー "KendraPolicyForGettingStartedIndex" に名前を付け、[ポリシーを作成] を選択します。

  6. 左側のメニューから、[Roles] (ロール) を選択し、[Create role] (ロールの作成) を選択します。

  7. 別の AWS アカウントを選択し、アカウント ID にアカウント ID を入力します。[Next: Permissions] (次へ: アクセス許可) を選択します。

  8. 上記の手順で作成したポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  9. タグを追加しないでください。[次へ: レビュー] を選択します。

  10. ロール "KendraRoleForGettingStartedIndex" に名前を付け、[ロールの作成] を選択します。

  11. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。[Trust relationships] (信頼関係) を選択し、[Edit trust relationship] (信頼関係の編集) を選択します。

  12. 既存の信頼関係を、次のものに置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. [Update trust policy] (信頼ポリシーの更新) を選択します。

3 つ目 Amazon S3 は、 を使用してドキュメントを保存する場合、または S3 を使用してテストする場合は Amazon Kendra、バケットにアクセスするための IAM ロールとポリシーも作成する必要があります。別のデータソースを使用している場合は、「IAM roles for data sources」を参照してください。

が Amazon S3 バケット Amazon Kendra にアクセスしてインデックスを作成できるようにする IAM ロールとポリシーを作成します。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. 左側のメニューで、[Policies] (ポリシー) を選択し、[Create policy] (ポリシーの作成) を選択します。

  3. [JSON] を選択し、デフォルトのポリシーを以下に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:region:account ID:index/*"
        }
    ]
}

  4. [ポリシーの確認] を選択します。

  5. ポリシーに「KendraPolicyForGettingStartedDataSource」という名前を付けて、[Create policy] (ポリシーの作成) を選択します。

  6. 左側のメニューから、[Roles] (ロール) を選択し、[Create role] (ロールの作成) を選択します。

  7. 別の AWS アカウントを選択し、アカウント ID にアカウント ID を入力します。[Next: Permissions] (次へ: アクセス許可) を選択します。

  8. 上記の手順で作成したポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  9. タグを追加しないでください。[次へ: レビュー] を選択します。

  10. ロールに「KendraRoleForGettingStartedDataSource」という名前を付けて、[Create role] (ロールの作成) を選択します。

  11. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。[Trust relationships] (信頼関係) を選択し、[Edit trust relationship] (信頼関係の編集) を選択します。

  12. 既存の信頼関係を、次のものに置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. [Update trust policy] (信頼ポリシーの更新) を選択します。

Amazon Kendra API の使用方法に応じて、次のいずれかを実行します。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.