As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Quando você cria um índice, fonte de dados ou perguntas frequentes, Amazon Kendra precisa acessar os AWS recursos necessários para criar o Amazon Kendra recurso. Você deve criar uma política AWS Identity and Access Management (IAM) antes de criar o Amazon Kendra recurso. Ao chamar a operação, forneça o nome do recurso da Amazon (ARN) da função com a política em anexo. Por exemplo, se você estiver chamando a BatchPutDocumentAPI para adicionar documentos de um Amazon S3 bucket, você fornece Amazon Kendra uma função com uma política que tem acesso ao bucket.
Você pode criar uma nova IAM função no Amazon Kendra console ou escolher uma função IAM existente para usar. O console exibe funções que têm a string “kendra” ou “Kendra” no nome da função.
Os tópicos a seguir fornecem detalhes das políticas necessárias. Se você criar IAM funções usando o Amazon Kendra console, essas políticas serão criadas para você.
Tópicos
IAM funções para índices
Ao criar um índice, você deve fornecer uma IAM função com permissão para gravar em um Amazon CloudWatch. Você também deve fornecer uma política de confiança que Amazon Kendra permita assumir a função. Veja a seguir as políticas que devem ser fornecidas.
Uma política de função para Amazon Kendra permitir o acesso a um CloudWatch registro.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
}
]
}Uma política de funções para Amazon Kendra permitir o acesso AWS Secrets Manager. Se você estiver usando o contexto do usuário Secrets Manager como um local chave, poderá usar a política a seguir.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"cloudwatch:PutMetricData",
"Resource":"*",
"Condition":{
"StringEquals":{
"cloudwatch:namespace":"AWS/Kendra"
}
}
},
{
"Effect":"Allow",
"Action":"logs:DescribeLogGroups",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"logs:CreateLogGroup",
"Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*"
},
{
"Effect":"Allow",
"Action":[
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource":"arn:aws:logs:your-region:your-account-id:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect":"Allow",
"Action":[
"secretsmanager:GetSecretValue"
],
"Resource":[
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect":"Allow",
"Action":[
"kms:Decrypt"
],
"Resource":[
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition":{
"StringLike":{
"kms:ViaService":[
"secretsmanager.your-region.amazonaws.com"
]
}
}
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM funções para a BatchPutDocument API
Atenção
Amazon Kendra não usa uma política de bucket que conceda permissões a um Amazon Kendra principal para interagir com um bucket do S3. Em vez disso, ele usa as funções do IAM . Certifique-se de que isso Amazon Kendra não esteja incluído como membro confiável em sua política de bucket para evitar problemas de segurança de dados ao conceder permissões acidentalmente a diretores arbitrários. No entanto, você pode adicionar uma política de bucket para usar um Amazon S3 bucket em contas diferentes. Para obter mais informações, consulte Políticas para uso do Amazon S3 em todas as contas. Para obter mais informações sobre as funções do IAM para fontes de dados do S3, consulte as funções do IAM.
Ao usar a BatchPutDocumentAPI para indexar documentos em um Amazon S3 bucket, você deve fornecer Amazon Kendra uma IAM função com acesso ao bucket. Você também deve fornecer uma política de confiança que Amazon Kendra permita assumir a função. Se os documentos no bucket estiverem criptografados, você deverá fornecer permissão para usar a chave mestra do AWS KMS cliente (CMK) para descriptografar os documentos.
Uma política de função necessária para Amazon Kendra permitir o acesso a um Amazon S3 bucket.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}É recomendável que você inclua aws:sourceAccount e aws:sourceArn na política de confiança. Isso limita as permissões e verifica com segurança se aws:sourceAccount aws:sourceArn elas são as mesmas fornecidas na política de IAM função da sts:AssumeRole ação. Isso impede que entidades não autorizadas acessem suas IAM funções e suas permissões. Para obter mais informações, consulte o AWS Identity and Access Management guia sobre o problema confuso do deputado.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index/*"
}
}
}
]
}Uma política de função opcional Amazon Kendra para permitir o uso de uma chave mestra AWS KMS do cliente (CMK) para descriptografar documentos em um bucket. Amazon S3
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}IAM funções para fontes de dados
Ao usar a CreateDataSourceAPI, você deve atribuir Amazon Kendra uma IAM função que tenha permissão para acessar os recursos. As permissões específicas necessárias dependem da fonte de dados.
Ao usar o Adobe Experience Manager, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Adobe Experience Manager.
-
Permissão para ligar para o público necessário APIs para o conector do Adobe Experience Manager.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Adobe Experience Manager Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Alfresco, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Alfresco.
-
Permissão para ligar para o público necessário APIs para o conector Alfresco.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Alfresco Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar Aurora (MySQL), você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Aurora (MySQL).
-
Permissão para chamar o público necessário APIs para o Aurora conector (MySQL).
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Aurora (MySQL) por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar Aurora (PostgreSQL), você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Aurora (PostgreSQL).
-
Permissão para chamar o público necessário APIs para o conector Aurora (PostgreSQL).
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Aurora (PostgreSQL) por meio de. Amazon Kendra Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar Amazon FSx, você fornece uma função com as seguintes políticas.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu sistema de Amazon FSx arquivos.
-
Permissão para acessar Amazon Virtual Private Cloud (VPC) onde seu sistema de Amazon FSx arquivos reside.
-
Permissão para obter o nome de domínio do Active Directory para seu sistema de Amazon FSx arquivos.
-
Permissão para ligar para o público necessário APIs para o Amazon FSx conector.
-
Permissão para chamar
BatchPutDocumenteBatchDeleteDocumentAPIs atualizar o índice.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action":[
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.*.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
"Effect": "Allow",
"Action": "ds:DescribeDirectories",
"Resource": "*"
},
{
"Sid": "AllowsKendraToCallRequiredFsxAPIs",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um banco de dados como fonte de dados, você Amazon Kendra fornece uma função que tem as permissões necessárias para se conectar ao. Isso inclui:
-
Permissão para acessar o AWS Secrets Manager segredo que contém o nome de usuário e a senha do site. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice. -
Permissão para acessar o Amazon S3 bucket que contém o certificado SSL usado para se comunicar com o site.
nota
Você pode conectar fontes de dados do banco de dados Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Há duas políticas opcionais que você pode usar com uma fonte de dados.
Se você criptografou o Amazon S3 bucket que contém o certificado SSL usado para se comunicar com o, forneça uma política para dar Amazon Kendra acesso à chave.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Se você estiver usando uma VPC, forneça uma política que dê Amazon Kendra acesso aos recursos necessários. Consulte as Funções do IAM para fontes de dados e VPC para ver a política necessária.
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados Amazon RDS (Microsoft SQL Server), você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância de fonte de dados Amazon RDS (Microsoft SQL Server).
-
Permissão para chamar o público necessário APIs para o conector da fonte de dados Amazon RDS (Microsoft SQL Server).
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Amazon RDS (Microsoft SQL Server) Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados Amazon RDS (MySQL), você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância de fonte de dados Amazon RDS (MySQL).
-
Permissão para chamar o público necessário APIs para o conector da fonte de dados Amazon RDS (MySQL).
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Amazon RDS (MySQL) por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados Amazon RDS Oracle, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância de fonte de dados Amazon RDS (Oracle).
-
Permissão para chamar o público necessário APIs para o conector da fonte de dados Amazon RDS (Oracle).
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Amazon RDS Oracle Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados Amazon RDS (PostgreSQL), você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância de fonte de dados Amazon RDS (PostgreSQL).
-
Permissão para chamar o público necessário APIs para o conector da Amazon RDS fonte de dados (PostgreSQL).
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Amazon RDS (PostgreSQL) por meio de. Amazon Kendra Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Atenção
Amazon Kendra não usa uma política de bucket que conceda permissões a um Amazon Kendra principal para interagir com um bucket do S3. Em vez disso, ele usa IAM funções. Certifique-se de que isso Amazon Kendra não esteja incluído como membro confiável em sua política de bucket para evitar problemas de segurança de dados ao conceder permissões acidentalmente a diretores arbitrários. No entanto, você pode adicionar uma política de bucket para usar um bucket do Amazon S3 em contas diferentes. Para obter mais informaçõe, consulte Políticas para usar Amazon S3 em todas as contas (role a tela para baixo).
Ao usar um Amazon S3 bucket como fonte de dados, você fornece uma função que tem permissão para acessar o bucket e usar as BatchPutDocument BatchDeleteDocument operações e. Se os documentos no Amazon S3
bucket estiverem criptografados, você deverá fornecer permissão para usar a chave mestra do AWS KMS cliente (CMK) para descriptografar os documentos.
As políticas de função a seguir devem Amazon Kendra permitir assumir uma função. Role mais para baixo para ver uma política de confiança para assumir uma função.
Uma política de função necessária para Amazon Kendra permitir o uso Amazon S3 de um bucket como fonte de dados.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
]
}
]
}Uma política de função opcional Amazon Kendra para permitir o uso de uma chave mestra AWS KMS do cliente (CMK) para descriptografar documentos em um bucket. Amazon S3
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Uma política de função opcional Amazon Kendra para permitir o acesso a um Amazon S3 bucket Amazon VPC, usando um e sem ativar AWS KMS ou compartilhar AWS KMS permissões.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-accoount-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Uma política de função opcional Amazon Kendra para permitir o acesso a um Amazon S3 bucket enquanto usa um Amazon VPC e com AWS KMS as permissões ativadas.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"s3.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]",
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:security-group/[[security-group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{your-account-id}}_{{index-id}}_{data-source-id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{your-region}}:{{your-account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:AuthorizedService": "kendra.amazonaws.com"
},
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:{{your-region}}:{{your-account-id}}:subnet/[[subnet-ids]]"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}",
"arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Políticas para usar Amazon S3 em todas as contas
Se seu Amazon S3 bucket estiver em uma conta diferente da conta que você usa para seu Amazon Kendra índice, você pode criar políticas para usá-lo em várias contas.
Uma política de função para usar seu Amazon S3 bucket como fonte de dados quando o bucket está em uma conta diferente do seu Amazon Kendra índice. s3:PutObject e s3:PutObjectAcl são opcionais. Você pode usá-los se quiser incluir um arquivo de configuração para sua lista de controle de acesso.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:$your-region:$your-account-id:index/$index-id"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::$bucket-in-other-account/*"
}
]
}Uma política de bucket para permitir que a função da fonte de Amazon S3 dados acesse o Amazon S3 bucket em todas as contas. s3:PutObject e s3:PutObjectAcl são opcionais. Você pode usá-los se quiser incluir um arquivo de configuração para sua lista de controle de acesso.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Amazon Kendra Web Crawler, você fornece uma função com as seguintes políticas:
-
Permissão para acessar o AWS Secrets Manager segredo que contém as credenciais para se conectar a sites ou a um servidor proxy da web apoiado pela autenticação básica. Para obter mais informações sobre os conteúdos da senha, consulte Usando a fonte de dados do Web Crawler.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice. -
Se você usar um Amazon S3 bucket para armazenar sua lista de sementes URLs ou sitemaps, inclua permissão para acessar o Amazon S3 bucket.
nota
Você pode conectar uma fonte de dados do Amazon Kendra Web Crawler por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Se você armazenar sua semente URLs ou sitemaps em um Amazon S3 bucket, deverá adicionar essa permissão à função.
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar Amazon WorkDocs, você fornece uma função com as seguintes políticas
-
Permissão para verificar a ID do diretório (ID da organização) que corresponde ao repositório do site do Amazon WorkDocs .
-
Permissão para obter o nome de domínio do Active Directory que contém o diretório do site do Amazon WorkDocs .
-
Permissão para ligar para o público necessário APIs para o Amazon WorkDocs conector.
-
Permissão para chamar
BatchPutDocumenteBatchDeleteDocumentAPIs atualizar o índice.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraToGetDomainNameOfActiveDirectory",
"Effect": "Allow",
"Action": "ds:DescribeDirectories",
"Resource": "*"
},
{
"Sid": "AllowsKendraToCallRequiredWorkDocsAPIs",
"Effect": "Allow",
"Action": [
"workdocs:GetDocumentPath",
"workdocs:GetGroup",
"workdocs:GetDocument",
"workdocs:DownloadDocumentVersions",
"workdocs:DescribeUsers",
"workdocs:DescribeFolderContents",
"workdocs:DescribeActivities",
"workdocs:DescribeComments",
"workdocs:GetFolder",
"workdocs:DescribeResourcePermissions",
"workdocs:GetFolderPath",
"workdocs:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
},
{
"Sid": "AllowsKendraToCallBatchPutDeleteAPIs",
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:account-id:index/$index-id"
]
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Box, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Slack.
-
Permissão para ligar para o público necessário APIs para o conector Box.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Box Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-d}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados do servidor do Confluence, você fornece uma função com as políticas a seguir.
-
Permissão para acessar o AWS Secrets Manager segredo que contém as credenciais necessárias para se conectar ao Confluence. Para obter mais informações sobre os conteúdos da senha, consulte Fontes de dados do Confluence.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice.
nota
Você pode conectar uma fonte de dados do Confluence por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}Se você estiver usando uma VPC, forneça uma política que dê Amazon Kendra acesso aos recursos necessários. Consulte as Funções do IAM para fontes de dados e VPC para ver a política necessária.
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados do conector do Confluence v2.0, você fornece uma função com as políticas a seguir.
-
Permissão para acessar o AWS Secrets Manager segredo que contém as credenciais de autenticação do Confluence. Para obter mais informações sobre os conteúdos da senha, consulte Fontes de dados do Confluence.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. AWS Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice.
Você também deve anexar uma política de confiança que Amazon Kendra permita assumir a função.
nota
Você pode conectar uma fonte de dados do Confluence por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
Uma política de função para permitir Amazon Kendra a conexão com o Confluence.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
]
}
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Dropbox, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Dropbox.
-
Permissão para ligar para o público necessário APIs para o conector do Dropbox.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Dropbox Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {"StringLike": {"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Drupal, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Drupal.
-
Permissão para ligar para o público necessário APIs para o conector Drupal.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Drupal por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar GitHub, você fornece uma função com as seguintes políticas.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu GitHub.
-
Permissão para ligar para o público necessário APIs para o GitHub conector.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte GitHub de dados Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Gmail, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Gmail.
-
Permissão para ligar para o público necessário APIs para o Gmailconnector.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Gmail Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {"StringLike": {"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar uma fonte de dados do Google Workspace Drive, você Amazon Kendra fornece uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:
-
Permissão para obter e decifrar o AWS Secrets Manager segredo que contém o e-mail da conta do cliente, o e-mail da conta do administrador e a chave privada necessários para se conectar ao site do Google Drive. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Google Drive.
-
Permissão para usar o BatchPutDocumentBatchDeleteDocument APIse.
nota
Você pode conectar uma fonte de dados do Google Drive Amazon Kendra ao Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
A IAM política a seguir fornece as permissões necessárias:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de DB2 dados IBM, você fornece uma função com as seguintes políticas.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância de fonte DB2 de dados IBM.
-
Permissão para chamar o público necessário APIs para o conector da fonte de DB2 dados IBM.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de DB2 dados IBM Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Jira, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Jira.
-
Permissão para ligar para o público necessário APIs para o conector Jira.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Jira Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar uma fonte de dados do Microsoft Exchange, você Amazon Kendra fornece uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:
-
Permissão para obter e descriptografar o AWS Secrets Manager segredo que contém a ID do aplicativo e a chave secreta necessárias para se conectar ao site do Microsoft Exchange. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft Exchange.
-
Permissão para usar o BatchPutDocumentBatchDeleteDocument APIse.
nota
Você pode conectar uma fonte de dados do Microsoft Exchange Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
A IAM política a seguir fornece as permissões necessárias:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Se você estiver armazenando a lista de usuários para indexar em um Amazon S3 bucket, também deverá fornecer permissão para usar a GetObject operação do S3. O modelo de política do IAM a seguir fornece as permissões necessárias.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar uma fonte de OneDrive dados da Microsoft, você Amazon Kendra fornece uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:
-
Permissão para obter e descriptografar o AWS Secrets Manager segredo que contém o ID do aplicativo e a chave secreta necessários para se conectar ao site. OneDrive Para obter mais informações sobre o conteúdo do segredo, consulte Fontes de OneDrive dados da Microsoft.
-
Permissão para usar o BatchPutDocumentBatchDeleteDocument APIse.
nota
Você pode conectar uma fonte de OneDrive dados da Microsoft Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
A IAM política a seguir fornece as permissões necessárias:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Se você estiver armazenando a lista de usuários para indexar em um Amazon S3 bucket, também deverá fornecer permissão para usar a GetObject operação do S3. O modelo de política do IAM a seguir fornece as permissões necessárias.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Para uma fonte de dados Microsoft SharePoint Connector v1.0, você fornece uma função com as políticas a seguir.
-
Permissão para acessar o AWS Secrets Manager segredo que contém o nome de usuário e a senha do SharePoint site. Para obter mais informações sobre o conteúdo do segredo, consulte Fontes de SharePoint dados da Microsoft.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. AWS Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice. -
Permissão para acessar o Amazon S3 bucket que contém o certificado SSL usado para se comunicar com o SharePoint site.
Você também deve anexar uma política de confiança que Amazon Kendra permita assumir a função.
nota
Você pode conectar uma fonte de SharePoint dados da Microsoft Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Se você criptografou o Amazon S3 bucket que contém o certificado SSL usado para se comunicar com o SharePoint site, forneça uma política para dar Amazon Kendra acesso à chave.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Para uma fonte de dados Microsoft SharePoint Connector v2.0, você fornece uma função com as políticas a seguir.
-
Permissão para acessar o AWS Secrets Manager segredo que contém as credenciais de autenticação do SharePoint site. Para obter mais informações sobre o conteúdo do segredo, consulte Fontes de SharePoint dados da Microsoft.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. AWS Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice. -
Permissão para acessar o Amazon S3 bucket que contém o certificado SSL usado para se comunicar com o SharePoint site.
Você também deve anexar uma política de confiança que Amazon Kendra permita assumir a função.
nota
Você pode conectar uma fonte de SharePoint dados da Microsoft Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/*"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/key-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:your-region:your-account-id:subnet/subnet-ids",
"arn:aws:ec2:your-region:your-account-id:security-group/security-group"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:region:account_id:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:your-region:your-account-id:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_your-account-id_index-id_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
]
}Se você criptografou o Amazon S3 bucket que contém o certificado SSL usado para se comunicar com o SharePoint site, forneça uma política para dar Amazon Kendra acesso à chave.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:youraccount-id:key/key-id"
]
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Microsoft SQL Server, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância do Microsoft SQL Server.
-
Permissão para ligar para o público necessário APIs para o conector do Microsoft SQL Server.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Microsoft SQL Server Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar uma fonte de dados do Microsoft Teams, você Amazon Kendra fornece uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:
-
Permissão para obter e descriptografar o AWS Secrets Manager segredo que contém o ID do cliente e o segredo do cliente necessários para se conectar ao Microsoft Teams. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft Teams.
nota
Você pode conectar uma fonte de dados do Microsoft Teams Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
A IAM política a seguir fornece as permissões necessárias:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:client-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar uma fonte de dados do Microsoft Yammer, você Amazon Kendra fornece uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:
-
Permissão para obter e descriptografar o AWS Secrets Manager segredo que contém o ID do aplicativo e a chave secreta necessários para se conectar ao site do Microsoft Yammer. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft Yammer.
-
Permissão para usar o BatchPutDocumentBatchDeleteDocument APIse.
nota
Você pode conectar uma fonte de dados do Microsoft Yammer Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
A IAM política a seguir fornece as permissões necessárias:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Se você estiver armazenando a lista de usuários para indexar em um Amazon S3 bucket, também deverá fornecer permissão para usar a GetObject operação do S3. O modelo de política do IAM a seguir fornece as permissões necessárias.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/[[key-ids]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com",
"s3.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados do MySQL, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância da fonte de dados My SQL.
-
Permissão para chamar o público necessário APIs para o conector da fonte de dados My SQL.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados MySQL por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados do Oracle, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância de fonte de dados Oracle.
-
Permissão para chamar o público necessário APIs para o conector da fonte de dados Oracle.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados Oracle Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados do PostgreSQL, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua instância da fonte de dados PostgreSQL.
-
Permissão para chamar o público necessário APIs para o conector da fonte de dados PostgreSQL.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados PostgreSQL por meio de. Amazon Kendra Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{region}}:{{account_id}}:secret:[[secret_id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}", "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{region}}:{{account_id}}:index/{{index_id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o , você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Quip.
-
Permissão para ligar para o público necessário APIs para o conector do Quip.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Quip Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{yoour-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{your-index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar um conector de fonte de dados do servidor do Salesforce, você fornece uma função com as políticas a seguir.
-
Permissão para acessar o AWS Secrets Manager segredo que contém o nome de usuário e a senha do site do Salesforce. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Salesforce.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice.
nota
Você pode conectar uma fonte de dados do Salesforce por meio de Amazon Kendra . Amazon VPC Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:account-id:index/index-id"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar a ServiceNow como fonte de dados, você fornece uma função com as seguintes políticas:
-
Permissão para acessar o Secrets Manager segredo que contém o nome de usuário e a senha do ServiceNow site. Para obter mais informações sobre os conteúdos da senha, consulte ServiceNow fontes de dados.
-
Permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo. Secrets Manager
-
Permissão para usar as operações
BatchPutDocumenteBatchDeleteDocumentpara atualizar o índice.
nota
Você pode conectar uma fonte ServiceNow de dados Amazon Kendra por meio de Amazon VPC. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.your-region.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:your-region:your-account-id:index/index-id"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Slack, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar seu Slack.
-
Permissão para ligar para o público necessário APIs para o conector do Slack.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Slack Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Ao usar o Zendesk, você fornece uma função com as políticas a seguir.
-
Permissão para acessar seu AWS Secrets Manager segredo para autenticar sua Zendesk Suite.
-
Permissão para ligar para o público necessário APIs para o conector do Zendesk.
-
Permissão para ligar para
BatchPutDocumentBatchDeleteDocumentPutPrincipalMapping,DeletePrincipalMappingDescribePrincipalMapping,,ListGroupsOlderThanOrderingIdAPIs e.
nota
Você pode conectar uma fonte de dados do Zendesk Amazon Kendra por meio Amazon VPC de. Se você estiver usando um Amazon VPC, precisará adicionar permissões adicionais.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{your-region}}:{{your-account-id}}:key/[[key-id]]"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{your-region}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": ["arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}", "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}/data-source/*"]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{your-region}}:{{your-account-id}}:index/{{index-id}}"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Função de nuvem privada virtual (VPC) IAM
Se você usa uma nuvem privada virtual (VPC) para se conectar à sua fonte de dados, deverá fornecer as seguintes permissões adicionais.
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM funções para perguntas frequentes (FAQs)
Ao usar a CreateFaqAPI para carregar perguntas e respostas em um índice, você deve fornecer Amazon Kendra uma IAM função com acesso ao Amazon S3 bucket que contém os arquivos de origem. Se os arquivos de origem estiverem criptografados, você deverá fornecer permissão para usar a chave mestra AWS KMS do cliente (CMK) para descriptografar os arquivos.
Uma política de função necessária para Amazon Kendra permitir o acesso a um Amazon S3 bucket.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}Uma política de função opcional Amazon Kendra para permitir o uso de uma chave mestra AWS KMS do cliente (CMK) para descriptografar arquivos em um bucket. Amazon S3
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM funções para sugestões de consulta
Ao usar um Amazon S3 arquivo como uma lista de bloqueio de sugestões de consulta, você fornece um papel que tem permissão para acessar o Amazon S3 arquivo e o Amazon S3 bucket. Se o arquivo de texto da lista de bloqueio (o Amazon S3 arquivo) no Amazon S3 bucket estiver criptografado, você deverá fornecer permissão para usar a chave mestra do AWS KMS cliente (CMK) para descriptografar os documentos.
Uma política de função necessária Amazon Kendra para permitir o uso do Amazon S3 arquivo como sua lista de bloqueio de sugestões de consulta.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Uma política de função opcional Amazon Kendra para permitir o uso de uma chave mestra AWS KMS do cliente (CMK) para descriptografar documentos em um bucket. Amazon S3
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM funções para mapeamento principal de usuários e grupos
Ao usar a PutPrincipalMappingAPI para mapear usuários para seus grupos para filtrar os resultados da pesquisa por contexto de usuário, você precisa fornecer uma lista de usuários ou subgrupos que pertencem a um grupo. Se sua lista tiver mais de 1.000 usuários ou subgrupos para um grupo, você precisará fornecer uma função que tenha permissão para acessar o Amazon S3 arquivo da sua lista e do Amazon S3 bucket. Se o arquivo de texto (o Amazon S3 arquivo) da lista no Amazon S3 bucket estiver criptografado, você deverá fornecer permissão para usar a chave mestra do AWS KMS cliente (CMK) para descriptografar os documentos.
Uma política de função necessária Amazon Kendra para permitir o uso do Amazon S3 arquivo como sua lista de usuários e subgrupos que pertencem a um grupo.
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Uma política de função opcional Amazon Kendra para permitir o uso de uma chave mestra AWS KMS do cliente (CMK) para descriptografar documentos em um bucket. Amazon S3
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
}
]
}
Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}É recomendável que você inclua aws:sourceAccount e aws:sourceArn na política de confiança. Isso limita as permissões e verifica com segurança se aws:sourceAccount aws:sourceArn elas são as mesmas fornecidas na política de IAM função da sts:AssumeRole ação. Isso impede que entidades não autorizadas acessem suas IAM funções e suas permissões. Para obter mais informações, consulte o AWS Identity and Access Management guia sobre o problema confuso do deputado.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}IAM funções para AWS IAM Identity Center
Ao usar o UserGroupResolutionConfigurationobjeto para obter níveis de acesso de grupos e usuários de uma fonte de AWS IAM Identity Center identidade, você precisa fornecer uma função que tenha permissão de acesso IAM Identity Center.
Uma política de função necessária para Amazon Kendra permitir o acesso IAM Identity Center.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}IAM funções para Amazon Kendra experiências
Ao usar o CreateExperienceou UpdateExperience APIs para criar ou atualizar um aplicativo de pesquisa, você deve fornecer uma função que tenha permissão para acessar as operações necessárias e o IAM Identity Center.
Uma política de função necessária Amazon Kendra para permitir o acesso a Query operações, QuerySuggestions operações, SubmitFeedback operações e ao IAM Identity Center que armazena suas informações de usuários e grupos.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:your-region:your-account-id:index/index-id/data-source/data-source-id",
"arn:aws:kendra:your-region:your-account-id:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.your-region.amazonaws.com"
]
}
}
}
]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}É recomendável que você inclua aws:sourceAccount e aws:sourceArn na política de confiança. Isso limita as permissões e verifica com segurança se aws:sourceAccount aws:sourceArn elas são as mesmas fornecidas na política de IAM função da sts:AssumeRole ação. Isso impede que entidades não autorizadas acessem suas IAM funções e suas permissões. Para obter mais informações, consulte o AWS Identity and Access Management guia sobre o problema confuso do deputado.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}IAM funções para enriquecimento personalizado de documentos
Ao usar o CustomDocumentEnrichmentConfigurationobjeto para aplicar alterações avançadas nos metadados e no conteúdo do documento, você deve fornecer uma função que tenha as permissões necessárias para execução PreExtractionHookConfiguration e/ou. PostExtractionHookConfiguration Configure uma função do Lambda para PreExtractionHookConfiguration e/ou PostExtractionHookConfiguration aplicar alterações avançadas nos metadados e no conteúdo do documento durante o processo de ingestão. Se você optar por ativar a criptografia do lado do servidor para seu Amazon S3 bucket, deverá fornecer permissão para usar a chave mestra do AWS KMS cliente (CMK) para criptografar e descriptografar os objetos armazenados em seu bucket. Amazon S3
Uma política de função necessária para Amazon Kendra permitir a execução PreExtractionHookConfiguration e PostExtractionHookConfiguration com criptografia para seu Amazon S3
bucket.
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:your-region:your-account-id:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
}]
}Uma política de função opcional para Amazon Kendra permitir a execução PreExtractionHookConfiguration e PostExtractionHookConfiguration sem criptografia para seu Amazon S3 bucket.
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:your-region:your-account-id:function:lambda-function"
}]
}Uma política de confiança para Amazon Kendra permitir assumir uma função.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}É recomendável que você inclua aws:sourceAccount e aws:sourceArn na política de confiança. Isso limita as permissões e verifica com segurança se aws:sourceAccount aws:sourceArn elas são as mesmas fornecidas na política de IAM função da sts:AssumeRole ação. Isso impede que entidades não autorizadas acessem suas IAM funções e suas permissões. Para obter mais informações, consulte o AWS Identity and Access Management guia sobre o problema confuso do deputado.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kendra.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id"
},
"StringLike": {
"aws:SourceArn": "arn:aws:kendra:your-region:your-account-id:index-id/*"
}
}
}
]
}