本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
必要條件
以下步驟是入門練習的準備位置。這些步驟向您展示了如何設置帳戶,創建帳戶 IAM 角色,給 Amazon Kendra 代表您撥打電話的權限,並從 Amazon S3 桶。使用 S3 儲存貯體做為範例,但您可以使用其他資料來源 Amazon Kendra 支持。請參閱資料來源。
註冊一個 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個步驟。
若要註冊成為 AWS 帳戶
打開https://portal.aws.amazon.com/billing/註冊
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊一個 AWS 帳戶,一個 AWS 帳戶根使用者已建立。根使用者可以存取所有 AWS 服務 和帳戶中的資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/
建立具有管理存取權的使用者
在您註冊一個 AWS 帳戶,保護您的 AWS 帳戶根使用者,啟用 AWS IAM Identity Center,並建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。
保護您的 AWS 帳戶根使用者
-
登入 AWS Management Console
通過選擇 Root 用戶並輸入您的帳戶所有者 AWS 帳戶 電子郵件地址。在下一頁中,輸入您的密碼。 如需使用 root 使用者登入的說明,請參閱以 root 使用者身分登入 AWS 登入 使用者指南。
-
為您的 root 使用者開啟多因素驗證 (MFA)。
如需指示,請參閱為您的MFA裝置啟用虛擬裝置 AWS 帳戶 使用者指南中的 root IAM 使用者 (主控台)。
建立具有管理存取權的使用者
-
啟用IAM身分識別中心。
如需指示,請參閱啟用 AWS IAM Identity Center 中的 AWS IAM Identity Center 使用者指南。
-
在IAM身分識別中心中,將管理存取權授與使用者。
若要取得有關使用 IAM Identity Center 目錄 做為您的身分識別來源,請參閱以預設值設定使用者存取 IAM Identity Center 目錄 中的 AWS IAM Identity Center 使用者指南。
以具有管理存取權的使用者身分登入
-
若要使用您的 IAM Identity Center 使用者登入URL,請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。
如需使用IAM身分識別中心使用者登入的說明,請參閱登入 AWS 存取入口網站 AWS 登入 使用者指南。
指派存取權給其他使用者
-
如果您使用的是包含要測試文件的 S3 儲存貯體 Amazon Kendra,在您使用的相同區域中建立 S3 儲存貯體 Amazon Kendra。 如需指示,請參閱 Amazon 簡單儲存服務使用者指南中的建立和設定 S3 儲存貯體。
將您的文件上傳到 S3 儲存貯體。如需指示,請參閱 Amazon 簡易儲存服務使用者指南中的上傳、下載和管理物件。
如果您使用其他資料來源,則必須具有作用中的站台和認證才能連線到資料來源。
如果您要使用主控台開始使用,請從開始開始使用 Amazon Kendra 主控台。
Amazon Kendra 資源: AWS CLI,SDK, 主控台
如果您使用CLI、或主控台SDK,則需要特定權限。
使用 Amazon Kendra 對於CLI、或控制台SDK,您必須具有允許的權限 Amazon Kendra 代表您建立和管理資源。視您的使用案例而定,這些權限包括對 Amazon Kendra API本身, AWS KMS keys 如果您想要透過自訂CMK的身分識別中心目錄加密資料 (如果您想要整合) AWS IAM Identity Center 或建立搜尋體驗。如需不同使用案例的完整權限清單,請參閱 IAM 角色。
首先,您必須將以下權限附加給您的IAM用戶。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1644430853544", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "Stmt1644430878150", "Action": "kendra:*", "Effect": "Allow", "Resource": "*" }, { "Sid": "Stmt1644430973706", "Action": [ "sso:AssociateProfile", "sso:CreateManagedApplicationInstance", "sso:DeleteManagedApplicationInstance", "sso:DisassociateProfile", "sso:GetManagedApplicationInstance", "sso:GetProfile", "sso:ListDirectoryAssociations", "sso:ListProfileAssociations", "sso:ListProfiles" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "Stmt1644430999558", "Action": [ "sso-directory:DescribeGroup", "sso-directory:DescribeGroups", "sso-directory:DescribeUser", "sso-directory:DescribeUsers" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "Stmt1644431025960", "Action": [ "identitystore:DescribeGroup", "identitystore:DescribeUser", "identitystore:ListGroups", "identitystore:ListUsers" ], "Effect": "Allow", "Resource": "*" } ] }
其次,如果您使用CLI或SDK,您還必須創建 IAM 要存取的角色和原則 Amazon CloudWatch Logs。 如果您使用的是主控台,則不需要建立 IAM 這方面的角色和政策。您可以將其創建為控制台過程的一部分。
若要建立 IAM 的角色和政策 AWS CLI 並SDK允許 Amazon Kendra 訪問您的 Amazon CloudWatch Logs.
登入 AWS Management Console 然後在開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
從左側功能表中選擇 [策略],然後選擇 [建立策略]。
-
選擇JSON預設原則,然後使用下列項目取代:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Kendra" } } }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:
region
:account ID
:log-group:/aws/kendra/*" ] }, { "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region
:account ID
:log-group:/aws/kendra/*:log-stream:*" ] } ] } -
選擇檢閱政策。
-
命名策略 "KendraPolicyForGettingStartedIndex" ,然後選擇 [建立原則]。
-
從左側功能表中選擇 [角色],然後選擇 [建立角色]。
-
選擇其他 AWS 帳戶,然後在帳戶 ID 中輸入您的帳戶 ID。選擇下一步:許可。
-
選擇您在上面創建的策略,然後選擇下一步:標籤
-
不要新增任何標籤。選擇下一步:檢閱。
-
命名角色 "KendraRoleForGettingStartedIndex" ,然後選擇 [建立角色]。
-
尋找您剛建立的角色。選擇要開啟摘要的角色名稱。選擇 [信任關係],然後選擇 [編輯信任關係]
-
以下列項目取代現有的信任關係:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kendra.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
選擇更新信任政策。
第三,如果您使用 Amazon S3 存放您的文件,或者您正在使用 S3 進行測試 Amazon Kendra,您還必須創建一個 IAM 存取值區的角色和政策。如果您正在使用其他資料來源,請參閱 IAM 資料來源的角色。
若要建立 IAM 允許的角色和策略 Amazon Kendra 訪問和索引 Amazon S3 桶。
登入 AWS Management Console 然後在開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
從左側功能表中選擇 [策略],然後選擇 [建立策略]。
-
選擇JSON預設原則,然後使用下列項目取代:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucket name
/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket name
" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "kendra:BatchPutDocument", "kendra:BatchDeleteDocument" ], "Resource": "arn:aws:kendra:region
:account ID
:index/*" } ] } -
選擇檢閱政策。
-
將策略命名為 "KendraPolicyForGettingStartedDataSource",然後選擇 [建立策略]。
-
從左側功能表中選擇 [角色],然後選擇 [建立角色]。
-
選擇其他 AWS 帳戶,然後在帳戶 ID 中輸入您的帳戶 ID。選擇下一步:許可。
-
選擇您在上面創建的策略,然後選擇下一步:標籤
-
不要新增任何標籤。選擇下一步:檢閱。
-
將角色命名為 "KendraRoleForGettingStartedDataSource",然後選擇 [建立角色]。
-
尋找您剛建立的角色。選擇要開啟摘要的角色名稱。選擇 [信任關係],然後選擇 [編輯信任關係]
-
以下列項目取代現有的信任關係:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kendra.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
選擇更新信任政策。
取決於您希望如何使用 Amazon Kendra API,執行下列其中一項作業。