Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM -Zugriffsrollen für Amazon Kendra
Wenn Sie einen Index, eine Datenquelle oder eine häufig gestellte Frage erstellen, Amazon Kendra benötigt es Zugriff auf die AWS Ressourcen, die für die Erstellung der Amazon Kendra Ressource erforderlich sind. Sie müssen eine Richtlinie AWS Identity and Access Management (IAM) erstellen, bevor Sie die Amazon Kendra Ressource erstellen. Wenn Sie den Vorgang aufrufen, geben Sie den Amazon-Ressourcennamen (ARN) der Rolle an, der die Richtlinie beigefügt ist. Wenn Sie beispielsweise die [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)API aufrufen, um Dokumente aus einem Amazon S3 Bucket hinzuzufügen, geben Sie eine Rolle Amazon Kendra mit einer Richtlinie an, die Zugriff auf den Bucket hat.
Sie können eine neue IAM Rolle in der Amazon Kendra Konsole erstellen oder eine IAM vorhandene Rolle auswählen, die Sie verwenden möchten. In der Konsole werden Rollen angezeigt, deren Rollenname die Zeichenfolge „Kendra“ oder „Kendra“ enthält.
Die folgenden Themen enthalten Einzelheiten zu den erforderlichen Richtlinien. Wenn Sie IAM Rollen mit der Amazon Kendra Konsole erstellen, werden diese Richtlinien für Sie erstellt.
**Topics**
+ [IAM Rollen für Indizes](#iam-roles-index)
+ [IAM Rollen für die BatchPutDocument API](#iam-roles-batch)
+ [IAM Rollen für Datenquellen](#iam-roles-ds)
+ [Rolle in der virtuellen privaten Cloud (VPC) IAM](#iam-roles-vpc)
+ [IAM Rollen für häufig gestellte Fragen (FAQs)](#iam-roles-ds-faq)
+ [IAM Rollen für Abfragevorschläge](#iam-roles-query-suggestions)
+ [IAM Rollen für die prinzipielle Zuordnung von Benutzern und Gruppen](#iam-roles-principal-mapping)
+ [IAM Rollen für AWS IAM Identity Center](#iam-roles-aws-sso)
+ [IAM Rollen für Amazon Kendra Erlebnisse](#iam-roles-amazon-kendra-experiences)
+ [IAM Rollen für die benutzerdefinierte Dokumentenanreicherung](#iam-roles-custom-document-enrichment)
## IAM Rollen für Indizes
Wenn Sie einen Index erstellen, müssen Sie einer IAM Rolle die Berechtigung zum Schreiben in einen Amazon CloudWatch geben. Sie müssen auch eine Vertrauensrichtlinie angeben, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen. Im Folgenden sind die Richtlinien aufgeführt, die bereitgestellt werden müssen.
### IAM Rollen für Indizes
Eine Rollenrichtlinie, die den Zugriff Amazon Kendra auf ein CloudWatch Protokoll ermöglicht.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*:log-stream:*"
}
]
}
```
------
Eine Rollenrichtlinie, die Amazon Kendra den Zugriff ermöglicht AWS Secrets Manager. Wenn Sie den Benutzerkontext mit Secrets Manager als Schlüsselposition verwenden, können Sie die folgende Richtlinie verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM Rollen für die BatchPutDocument API
**Warnung**
Amazon Kendra verwendet keine Bucket-Richtlinie, die einem Amazon Kendra Principal die Erlaubnis erteilt, mit einem S3-Bucket zu interagieren. Stattdessen verwendet es IAM Rollen. Stellen Sie sicher, dass dies Amazon Kendra nicht als vertrauenswürdiges Mitglied in Ihrer Bucket-Richtlinie enthalten ist, um Datensicherheitsprobleme zu vermeiden, die durch die versehentliche Vergabe von Berechtigungen an beliebige Prinzipale entstehen. Sie können jedoch eine Bucket-Richtlinie hinzufügen, um einen Amazon S3 Bucket für verschiedene Konten zu verwenden. Weitere Informationen finden Sie unter [Richtlinien zur Amazon S3 kontenübergreifenden Verwendung](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3-cross-accounts). Informationen zu IAM Rollen für S3-Datenquellen finden Sie unter [IAM Rollen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3).
Wenn Sie die [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)API verwenden, um Dokumente in einem Amazon S3 Bucket zu indizieren, müssen Sie eine IAM Rolle mit Zugriff auf den Bucket angeben Amazon Kendra . Sie müssen auch eine Vertrauensrichtlinie angeben, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen. Wenn die Dokumente im Bucket verschlüsselt sind, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
### IAM Rollen für die API BatchPutDocument
Eine erforderliche Rollenrichtlinie, um den Zugriff Amazon Kendra auf einen Amazon S3 Bucket zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Es wird empfohlen, `aws:sourceAccount` und `aws:sourceArn` in die Vertrauensrichtlinie aufzunehmen. Dadurch `aws:sourceArn` werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob `aws:sourceAccount` sie mit den in der IAM Rollenrichtlinie für die `sts:AssumeRole` Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
## IAM Rollen für Datenquellen
Wenn Sie die [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API verwenden, müssen Sie Amazon Kendra einer IAM Rolle eine Rolle zuweisen, die berechtigt ist, auf die Ressourcen zuzugreifen. Die erforderlichen spezifischen Berechtigungen hängen von der Datenquelle ab.
### IAM Rollen für Adobe Experience Manager-Datenquellen
Wenn Sie Adobe Experience Manager verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihren Adobe Experience Manager zu authentifizieren.
+ Erlaubnis, das erforderliche Publikum APIs für den Adobe Experience Manager-Connector anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und aufzurufen `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Adobe Experience Manager-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}",
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Alfresco-Datenquellen
Wenn Sie Alfresco verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Alfresco zu authentifizieren.
+ Erlaubnis, das für den Alfresco-Connector erforderliche Publikum APIs anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping``DeletePrincipalMapping`, `DescribePrincipalMapping` und aufzurufen. `ListGroupsOlderThanOrderingId` APIs
**Anmerkung**
Sie können eine Alfresco-Datenquelle mit über verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) Berechtigungen hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Aurora (MySQL-) Datenquellen
Wenn Sie Aurora (MySQL) verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Aurora (MySQL) zu authentifizieren.
+ Erlaubnis, die erforderliche Öffentlichkeit APIs für den Aurora (MySQL-) Konnektor aufzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und aufzurufen `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Aurora (MySQL-) Datenquelle mit Amazon Kendra through verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Aurora (PostgreSQL-) Datenquellen
Wenn Sie Aurora (PostgreSQL) verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Aurora (PostgreSQL) zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen Public APIs für den Aurora (PostgreSQL-) Connector.
+ Erlaubnis zum Aufrufen von`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, und. `ListGroupsOlderThanOrderingId` APIs
**Anmerkung**
Sie können eine Aurora (PostgreSQL-) Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) Berechtigungen hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon FSx Datenquellen
Wenn Sie sie verwenden Amazon FSx, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Amazon FSx Dateisystem zu authentifizieren.
+ Zugriffsberechtigung Amazon Virtual Private Cloud (VPC), wo sich Ihr Amazon FSx Dateisystem befindet.
+ Erlaubnis, den Domainnamen Ihres Active Directory für Ihr Amazon FSx Dateisystem abzurufen.
+ Erlaubnis, das APIs für den Amazon FSx Connector erforderliche Publikum anzurufen.
+ Erlaubnis, den Index aufzurufen `BatchPutDocument` und `BatchDeleteDocument` APIs zu aktualisieren.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Datenbank-Datenquellen
Wenn Sie eine Datenbank als Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der herzustellen. Dazu zählen:
+ Berechtigung zum Zugriff auf das AWS Secrets Manager Geheimnis, das den Benutzernamen und das Passwort für die Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/datasource-.html).
+ Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
+ Berechtigung zum Zugriff auf den Amazon S3 Bucket, der das SSL-Zertifikat enthält, das für die Kommunikation mit der Site verwendet wird.
**Anmerkung**
Sie können Datenbankdatenquellen mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Es gibt zwei optionale Richtlinien, die Sie für eine Datenquelle verwenden können.
Wenn Sie den Amazon S3 Bucket verschlüsselt haben, der das für die Kommunikation mit dem verwendete SSL-Zertifikat enthält, geben Sie eine Richtlinie an, um Amazon Kendra Zugriff auf den Schlüssel zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Wenn Sie eine VPC verwenden, geben Sie eine Richtlinie an, die Amazon Kendra Zugriff auf die erforderlichen Ressourcen gewährt. Die erforderliche Richtlinie finden Sie unter [IAM Rollen für Datenquellen und VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds).
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon RDS (Microsoft SQL Server) Datenquellen
Wenn Sie einen Datenquellenconnector Amazon RDS (Microsoft SQL Server) verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Datenquelleninstanz Amazon RDS (Microsoft SQL Server) zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Datenquellenconnector Amazon RDS (Microsoft SQL Server).
+ Berechtigung zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Amazon RDS (Microsoft SQL Server-) Datenquelle mit Through Amazon Kendra verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon RDS (MySQL-) Datenquellen
Wenn Sie einen Amazon RDS (MySQL-) Datenquellenconnector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Amazon RDS (MySQL-) Datenquelleninstanz zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Amazon RDS (MySQL-) Datenquellenconnector.
+ Erlaubnis zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Amazon RDS (MySQL-) Datenquelle mit Amazon Kendra through verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon RDS (Oracle-) Datenquellen
Wenn Sie einen Amazon RDS Oracle-Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Amazon RDS (Oracle-) Datenquelleninstanz zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Amazon RDS (Oracle-) Datenquellen-Connector.
+ Erlaubnis zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Amazon RDS Oracle-Datenquelle mit Through Amazon Kendra verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon RDS (PostgreSQL-) Datenquellen
Wenn Sie einen Amazon RDS (PostgreSQL-) Datenquellenconnector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Amazon RDS (PostgreSQL-) Datenquelleninstanz zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Amazon RDS (PostgreSQL-) Datenquellenconnector.
+ Erlaubnis zum Aufrufen von`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, und. `ListGroupsOlderThanOrderingId` APIs
**Anmerkung**
Sie können eine Amazon RDS (PostgreSQL-) Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) Berechtigungen hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon S3 Datenquellen
**Warnung**
Amazon Kendra verwendet keine Bucket-Richtlinie, die einem Amazon Kendra Principal die Erlaubnis erteilt, mit einem S3-Bucket zu interagieren. Stattdessen verwendet es IAM Rollen. Stellen Sie sicher, dass dies Amazon Kendra nicht als vertrauenswürdiges Mitglied in Ihrer Bucket-Richtlinie enthalten ist, um Datensicherheitsprobleme zu vermeiden, die durch die versehentliche Vergabe von Berechtigungen an beliebige Prinzipale entstehen. Sie können jedoch eine Bucket-Richtlinie hinzufügen, um einen Amazon S3 Bucket für verschiedene Konten zu verwenden. Weitere Informationen finden Sie unter [Richtlinien, die Amazon S3 kontenübergreifend verwendet werden sollen](#iam-roles-ds-s3-cross-accounts) (nach unten scrollen).
Wenn Sie einen Amazon S3 Bucket als Datenquelle verwenden, geben Sie eine Rolle an, die berechtigt ist, auf den Bucket zuzugreifen und die `BatchDeleteDocument` Operationen `BatchPutDocument` und zu verwenden. Wenn die Dokumente im Amazon S3 Bucket verschlüsselt sind, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
Die folgenden Rollenrichtlinien müssen die Übernahme einer Rolle Amazon Kendra ermöglichen. Scrollen Sie weiter nach unten, um eine Vertrauensrichtlinie für die Übernahme einer Rolle anzuzeigen.
Eine Rollenrichtlinie, die erforderlich ist Amazon Kendra , um die Verwendung eines Amazon S3 Buckets als Datenquelle zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
]
}
]
}
```
------
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Eine optionale Rollenrichtlinie, die den Amazon Kendra Zugriff auf einen Amazon S3 Bucket ermöglicht, während ein Bucket verwendet wird Amazon VPC, ohne dass Berechtigungen aktiviert AWS KMS oder geteilt AWS KMS werden müssen.
Eine optionale Rollenrichtlinie, die den Amazon Kendra Zugriff auf einen Amazon S3 Bucket ermöglicht Amazon VPC, während Sie einen verwenden und die AWS KMS Berechtigungen aktiviert sind.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### Richtlinien, die Amazon S3 kontenübergreifend verwendet werden sollen
Wenn sich Ihr Amazon S3 Bucket in einem anderen Konto befindet als das Konto, das Sie für Ihren Amazon Kendra Index verwenden, können Sie Richtlinien erstellen, um ihn kontenübergreifend zu verwenden.
Eine Rollenrichtlinie zur Verwendung Ihres Amazon S3 Buckets als Datenquelle, wenn sich der Bucket in einem anderen Konto als Ihrem Amazon Kendra Index befindet. Beachten Sie, dass `s3:PutObject` und optional `s3:PutObjectAcl` sind. Sie verwenden diese Option, wenn Sie eine [Konfigurationsdatei für Ihre Zugriffskontrollliste hinzufügen](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html) möchten.
Eine Bucket-Richtlinie, die es der Amazon S3 Datenquellenrolle ermöglicht, kontenübergreifend auf den Amazon S3 Bucket zuzugreifen. Beachten Sie, dass `s3:PutObject` und optional `s3:PutObjectAcl` sind. Sie verwenden diese Option, wenn Sie eine [Konfigurationsdatei für Ihre Zugriffskontrollliste hinzufügen](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html) möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "${{kendra-s3-connector-role-arn}}"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::${{bucket-in-other-account}}/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "${{kendra-s3-connector-role-arn}}"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::${{bucket-in-other-account}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Amazon Kendra Web Crawler-Datenquellen
Wenn Sie Amazon Kendra Web Crawler verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
+ Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der die Anmeldeinformationen für die Verbindung zu Websites oder einem Web-Proxyserver enthält, der durch Standardauthentifizierung unterstützt wird. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Verwenden einer Webcrawler-Datenquelle](https://docs.aws.amazon.com/kendra/latest/dg/data-source-web-crawler.html).
+ Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
+ Wenn Sie einen Amazon S3 Bucket verwenden, um Ihre Seed-Liste URLs oder Sitemaps zu speichern, fügen Sie die Zugriffsberechtigung für den Amazon S3 Bucket hinzu.
**Anmerkung**
Sie können eine Amazon Kendra Web Crawler-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Wenn Sie Ihren Seed URLs oder Ihre Sitemaps in einem Amazon S3 Bucket speichern, müssen Sie der Rolle diese Berechtigung hinzufügen.
```
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
```
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Box-Datenquellen
Wenn Sie Box verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf dein AWS Secrets Manager Geheimnis zuzugreifen, um dein Slack zu authentifizieren.
+ Erlaubnis, das APIs für den Box-Connector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und aufzurufen `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Box-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Confluence-Datenquellen
#### IAM Rollen für Confluence Connector v1.0
Wenn Sie einen Confluence-Server als Datenquelle verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
+ Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der die Anmeldeinformationen enthält, die für die Verbindung mit Confluence erforderlich sind. Weitere Informationen zum Inhalt des Secrets finden Sie unter [Confluence-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html).
+ Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und des Passworts. Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
**Anmerkung**
Sie können eine Confluence-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) Berechtigungen hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Wenn Sie eine VPC verwenden, geben Sie eine Richtlinie an, die Amazon Kendra Zugriff auf die erforderlichen Ressourcen gewährt. Die erforderliche Richtlinie finden Sie unter [IAM Rollen für Datenquellen und VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds).
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM Rollen für Confluence Connector v2.0
Für eine Confluence Connector v2.0-Datenquelle geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Berechtigung zum Zugriff auf das AWS Secrets Manager Geheimnis, das die Authentifizierungsdaten für Confluence enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Confluence-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html).
+ Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und des Passworts. AWS Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen.
**Anmerkung**
Sie können eine Confluence-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) Berechtigungen hinzufügen.
Eine Rollenrichtlinie, die es ermöglicht, eine Verbindung Amazon Kendra zu Confluence herzustellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Dropbox-Datenquellen
Wenn Sie Dropbox verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Dropbox zu authentifizieren.
+ Erlaubnis, das APIs für den Dropbox-Connector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und aufzurufen `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Dropbox-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}",
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Drupal-Datenquellen
Wenn Sie Drupal verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Drupal zu authentifizieren.
+ Erlaubnis, die APIs für den Drupal-Konnektor erforderliche Öffentlichkeit aufzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs aufzurufen.
**Anmerkung**
Sie können eine Drupal-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secret_id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/{{key_id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/{{index_id}}",
"arn:aws:kendra:us-east-1:111122223333:index/{{index_id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/{{index_id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für GitHub Datenquellen
Wenn Sie sie verwenden GitHub, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr GitHub zu authentifizieren.
+ Erlaubnis, das APIs für den GitHub Connector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und aufzurufen `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine GitHub Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Gmail-Datenquellen
Wenn Sie Gmail verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Gmail-Konto zu authentifizieren.
+ Erlaubnis, das APIs für den Gmailconnector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping``DeletePrincipalMapping`, `DescribePrincipalMapping` und aufzurufen. `ListGroupsOlderThanOrderingId` APIs
**Anmerkung**
Sie können eine Gmail-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Google Drive-Datenquellen
Wenn Sie eine Google Workspace Drive-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
+ Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die E-Mail-Adresse des Kundenkontos, die E-Mail-Adresse des Administratorkontos und den privaten Schlüssel enthält, die für die Verbindung mit der Google Drive-Website erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Google Drive-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-google-drive.html).
+ Erlaubnis zur Verwendung von [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)und [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Anmerkung**
Sie können eine Google Drive-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Die folgende IAM Richtlinie bietet die erforderlichen Berechtigungen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für DB2 IBM-Datenquellen
Wenn Sie einen IBM DB2 Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre DB2 IBM-Datenquelleninstanz zu authentifizieren.
+ Erlaubnis, die APIs für den IBM DB2 Data Source Connector erforderliche Öffentlichkeit aufzurufen.
+ Erlaubnis zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine DB2 IBM-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Jira-Datenquellen
Wenn Sie Jira verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihr Jira zu authentifizieren.
+ Erlaubnis, die APIs für den Jira-Connector erforderliche Öffentlichkeit anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs aufzurufen.
**Anmerkung**
Sie können eine Jira-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Microsoft Exchange-Datenquellen
Wenn Sie eine Microsoft Exchange-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
+ Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Anwendungs-ID und den geheimen Schlüssel enthält, die für die Verbindung mit der Microsoft Exchange-Website erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Microsoft Exchange-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-exchange.html).
+ Erlaubnis zur Verwendung von [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)und [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Anmerkung**
Sie können eine Microsoft Exchange-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Die folgende IAM Richtlinie bietet die erforderlichen Berechtigungen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Wenn Sie die Liste der zu indizierenden Benutzer in einem Amazon S3 Bucket speichern, müssen Sie auch die Erlaubnis zur Verwendung des `GetObject` S3-Vorgangs erteilen. Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-ids}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com",
"s3.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für OneDrive Microsoft-Datenquellen
Wenn Sie eine OneDrive Microsoft-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
+ Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Anwendungs-ID und den geheimen Schlüssel enthält, die für die Verbindung mit der OneDrive Site erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [ OneDrive Microsoft-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-onedrive.html).
+ Erlaubnis zur Verwendung von [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)und [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Anmerkung**
Sie können eine OneDrive Microsoft-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Die folgende IAM Richtlinie bietet die erforderlichen Berechtigungen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Wenn Sie die Liste der zu indizierenden Benutzer in einem Amazon S3 Bucket speichern, müssen Sie auch die Erlaubnis zur Verwendung des `GetObject` S3-Vorgangs erteilen. Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-ids}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com",
"s3.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für SharePoint Microsoft-Datenquellen
#### IAM Rollen für SharePoint Connector v1.0
Für eine Microsoft SharePoint Connector v1.0-Datenquelle geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der den Benutzernamen und das Passwort für die SharePoint Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [ SharePoint Microsoft-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html).
+ Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. AWS Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
+ Berechtigung zum Zugriff auf den Amazon S3 Bucket, der das SSL-Zertifikat enthält, das für die Kommunikation mit der SharePoint Site verwendet wird.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen.
**Anmerkung**
Sie können eine SharePoint Microsoft-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Wenn Sie den Amazon S3 Bucket verschlüsselt haben, der das für die Kommunikation mit der SharePoint Site verwendete SSL-Zertifikat enthält, geben Sie eine Richtlinie an, um Amazon Kendra Zugriff auf den Schlüssel zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM Rollen für SharePoint Connector v2.0
Für eine Microsoft SharePoint Connector v2.0-Datenquelle geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der die Authentifizierungsdaten für die SharePoint Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [ SharePoint Microsoft-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html).
+ Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. AWS Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
+ Berechtigung zum Zugriff auf den Amazon S3 Bucket, der das SSL-Zertifikat enthält, das für die Kommunikation mit der SharePoint Site verwendet wird.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die es ermöglicht Amazon Kendra , die Rolle zu übernehmen.
**Anmerkung**
Sie können eine SharePoint Microsoft-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Wenn Sie den Amazon S3 Bucket verschlüsselt haben, der das für die Kommunikation mit der SharePoint Site verwendete SSL-Zertifikat enthält, geben Sie eine Richtlinie an, um Amazon Kendra Zugriff auf den Schlüssel zu gewähren.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Microsoft SQL Server-Datenquellen
Wenn Sie Microsoft SQL Server verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Microsoft SQL Server-Instanz zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen Öffentlichkeit APIs für den Microsoft SQL Server-Connector.
+ Berechtigung zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Microsoft SQL Server-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Microsoft Teams-Datenquellen
Wenn Sie eine Microsoft Teams-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
+ Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Client-ID und das Client-Geheimnis enthält, die für die Verbindung mit Microsoft Teams erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Microsoft Teams-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-teams.html).
**Anmerkung**
Sie können eine Microsoft Teams-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Die folgende IAM Richtlinie bietet die erforderlichen Berechtigungen:
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Microsoft Yammer-Datenquellen
Wenn Sie eine Microsoft Yammer-Datenquelle verwenden, stellen Sie eine Rolle bereit, die über die erforderlichen Berechtigungen verfügt, um eine Verbindung Amazon Kendra mit der Site herzustellen. Dazu zählen:
+ Berechtigung zum Abrufen und Entschlüsseln des AWS Secrets Manager Geheimnisses, das die Anwendungs-ID und den geheimen Schlüssel enthält, die für die Verbindung mit der Microsoft Yammer-Site erforderlich sind. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Microsoft Yammer-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-yammer.html).
+ Erlaubnis zur Verwendung von [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)und [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Anmerkung**
Sie können eine Microsoft Yammer-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Die folgende IAM Richtlinie bietet die erforderlichen Berechtigungen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Wenn Sie die Liste der zu indizierenden Benutzer in einem Amazon S3 Bucket speichern, müssen Sie auch die Erlaubnis zur Verwendung des `GetObject` S3-Vorgangs erteilen. Die folgende IAM Richtlinie stellt die erforderlichen Berechtigungen bereit:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-ids}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com",
"s3.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für MySQL-Datenquellen
Wenn Sie einen My SQL-Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre My SQL-Datenquelleninstanz zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den My SQL-Datenquellen-Connector.
+ Berechtigung zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine MySQL-Datenquelle mit Through Amazon Kendra verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Oracle-Datenquellen
Wenn Sie einen Oracle-Datenquellen-Connector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Berechtigung zum Zugriff auf Ihr AWS Secrets Manager Geheimnis zur Authentifizierung Ihrer Oracle-Datenquelleninstanz.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den Oracle-Datenquellen-Connector.
+ Erlaubnis zum Aufrufen von `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs.
**Anmerkung**
Sie können eine Oracle-Datenquelle mit Through Amazon Kendra verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für PostgreSQL-Datenquellen
Wenn Sie einen PostgreSQL-Datenquellenconnector verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre PostgreSQL-Datenquelleninstanz zu authentifizieren.
+ Berechtigung zum Aufrufen der erforderlichen öffentlichen Daten APIs für den PostgreSQL-Datenquellenconnector.
+ Berechtigung zum Aufrufen von`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, und. `ListGroupsOlderThanOrderingId` APIs
**Anmerkung**
Sie können eine PostgreSQL-Datenquelle mit Through verbinden. Amazon Kendra Amazon VPC Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) Berechtigungen hinzufügen.
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Quip-Datenquellen
Wenn Sie Quip verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihren Quip zu authentifizieren.
+ Erlaubnis, das APIs für den Quip-Connector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs aufzurufen.
**Anmerkung**
Sie können eine Quip-Datenquelle mit Amazon Kendra Through Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{your-index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{your-index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Salesforce-Datenquellen
Wenn Sie Salesforce als Datenquelle verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
+ Berechtigung zum Zugriff auf den AWS Secrets Manager geheimen Schlüssel, der den Benutzernamen und das Passwort für die Salesforce-Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [Salesforce-Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-salesforce.html).
+ Berechtigung zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
**Anmerkung**
Sie können eine Salesforce-Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für ServiceNow Datenquellen
Wenn Sie a ServiceNow als Datenquelle verwenden, stellen Sie eine Rolle mit den folgenden Richtlinien bereit:
+ Berechtigung zum Zugriff auf das Secrets Manager Geheimnis, das den Benutzernamen und das Passwort für die ServiceNow Site enthält. Weitere Informationen zum Inhalt des Geheimnisses finden Sie unter [ServiceNow Datenquellen](https://docs.aws.amazon.com/kendra/latest/dg/data-source-servicenow.html).
+ Erlaubnis zur Verwendung des AWS KMS Kundenhauptschlüssels (CMK) zur Entschlüsselung des von gespeicherten Benutzernamens und Kennworts. Secrets Manager
+ Erlaubnis zur Verwendung der `BatchDeleteDocument` Operationen `BatchPutDocument` und zur Aktualisierung des Index.
**Anmerkung**
Sie können eine ServiceNow Datenquelle mit Amazon Kendra über verbinden Amazon VPC. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Slack-Datenquellen
Wenn du Slack verwendest, stellst du eine Rolle mit den folgenden Richtlinien bereit.
+ Erlaubnis, auf dein AWS Secrets Manager Geheimnis zuzugreifen, um dein Slack zu authentifizieren.
+ Erlaubnis, das APIs für den Slack-Connector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs aufzurufen.
**Anmerkung**
Du kannst eine Slack-Datenquelle mit Amazon Kendra über Amazon VPC verbinden. Wenn du eine verwendest Amazon VPC, musst du [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Rollen für Zendesk-Datenquellen
Wenn Sie Zendesk verwenden, geben Sie eine Rolle mit den folgenden Richtlinien an.
+ Erlaubnis, auf Ihr AWS Secrets Manager Geheimnis zuzugreifen, um Ihre Zendesk Suite zu authentifizieren.
+ Erlaubnis, das APIs für den Zendesk-Connector erforderliche Publikum anzurufen.
+ Erlaubnis,`BatchPutDocument`,, `BatchDeleteDocument` `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, und `ListGroupsOlderThanOrderingId` APIs aufzurufen.
**Anmerkung**
Sie können eine Zendesk-Datenquelle mit Amazon Kendra über Amazon VPC verbinden. Wenn Sie eine verwenden Amazon VPC, müssen Sie [zusätzliche Berechtigungen](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc) hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## Rolle in der virtuellen privaten Cloud (VPC) IAM
Wenn Sie eine Virtual Private Cloud (VPC) verwenden, um eine Verbindung zu Ihrer Datenquelle herzustellen, müssen Sie die folgenden zusätzlichen Berechtigungen bereitstellen.
### VPC-Rolle IAM
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:subnet/[[{{subnet_ids}}]]",
"arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:security-group/[[{{security_group}}]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{{{account_id}}}}_{{{{index_id}}}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{{{account_id}}}}_{{{{index_id}}}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}
```
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM Rollen für häufig gestellte Fragen (FAQs)
Wenn Sie die [CreateFaq](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateFaq.html)API verwenden, um Fragen und Antworten in einen Index zu laden, müssen Sie eine IAM Rolle Amazon Kendra mit Zugriff auf den Amazon S3 Bucket angeben, der die Quelldateien enthält. Wenn die Quelldateien verschlüsselt sind, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dateien zu verwenden.
### IAM Rollen für FAQs
Eine erforderliche Rollenrichtlinie, um den Zugriff Amazon Kendra auf einen Amazon S3 Bucket zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dateien in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM Rollen für Abfragevorschläge
Wenn Sie eine Amazon S3 Datei als Blockliste für Abfragevorschläge verwenden, geben Sie eine Rolle an, die berechtigt ist, auf die Amazon S3 Datei und den Amazon S3 Bucket zuzugreifen. Wenn die Blocklisten-Textdatei (die Amazon S3 Datei) im Amazon S3 Bucket verschlüsselt ist, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
### IAM Rollen für Abfragevorschläge
Eine Rollenrichtlinie, die erforderlich ist, Amazon Kendra um die Amazon S3 Datei als Blockliste für Ihre Abfragevorschläge verwenden zu können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM Rollen für die prinzipielle Zuordnung von Benutzern und Gruppen
Wenn Sie die [PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html)API verwenden, um Benutzer ihren Gruppen zuzuordnen, um Suchergebnisse nach Benutzerkontext zu filtern, müssen Sie eine Liste der Benutzer oder Untergruppen bereitstellen, die zu einer Gruppe gehören. Wenn Ihre Liste mehr als 1000 Benutzer oder Untergruppen für eine Gruppe umfasst, müssen Sie eine Rolle angeben, die berechtigt ist, auf die Amazon S3 Datei in Ihrer Liste und den Amazon S3 Bucket zuzugreifen. Wenn die Textdatei (die Amazon S3 Datei) der Liste im Amazon S3 Bucket verschlüsselt ist, müssen Sie die Erlaubnis erteilen, den AWS KMS Kundenhauptschlüssel (CMK) zum Entschlüsseln der Dokumente zu verwenden.
### IAM Rollen für die Prinzipalzuweisung
Eine Rollenrichtlinie, die erforderlich ist Amazon Kendra , um die Amazon S3 Datei als Liste der Benutzer und Untergruppen verwenden zu können, die zu einer Gruppe gehören.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Eine optionale Rollenrichtlinie, die die Verwendung eines AWS KMS Kundenhauptschlüssels (CMK) zum Entschlüsseln von Dokumenten in einem Amazon S3 Bucket ermöglicht Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Es wird empfohlen, `aws:sourceAccount` und `aws:sourceArn` in die Vertrauensrichtlinie aufzunehmen. Dadurch `aws:sourceArn` werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob `aws:sourceAccount` sie mit den in der IAM Rollenrichtlinie für die `sts:AssumeRole` Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
## IAM Rollen für AWS IAM Identity Center
Wenn Sie das [UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)Objekt verwenden, um Zugriffsebenen von Gruppen und Benutzern aus einer AWS IAM Identity Center Identitätsquelle abzurufen, müssen Sie eine Rolle angeben, die über IAM Identity Center Zugriffsberechtigungen verfügt.
### IAM Rollen für AWS IAM Identity Center
Eine Rollenrichtlinie, die für den Amazon Kendra Zugriff erforderlich ist IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM Rollen für Amazon Kendra Erlebnisse
Wenn Sie das [CreateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateExperience.html)oder verwenden, [UpdateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateExperience.html) APIs um eine Suchanwendung zu erstellen oder zu aktualisieren, müssen Sie eine Rolle angeben, die berechtigt ist, auf die erforderlichen Operationen und IAM Identity Center zuzugreifen.
### IAM Rollen für das Amazon Kendra Sucherlebnis
Eine erforderliche Rollenrichtlinie für den Amazon Kendra Zugriff auf `Query` Operationen, Operationen, `QuerySuggestions` `SubmitFeedback` Operationen und das IAM Identity Center, in dem Ihre Benutzer- und Gruppeninformationen gespeichert sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}/data-source/{{data-source-id}}",
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}/faq/{{faq-id}}"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Es wird empfohlen, `aws:sourceAccount` und `aws:sourceArn` in die Vertrauensrichtlinie aufzunehmen. Dadurch `aws:sourceArn` werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob `aws:sourceAccount` sie mit den in der IAM Rollenrichtlinie für die `sts:AssumeRole` Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
## IAM Rollen für die benutzerdefinierte Dokumentenanreicherung
Wenn Sie das [CustomDocumentEnrichmentConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CustomDocumentEnrichmentConfiguration.html)Objekt verwenden, um erweiterte Änderungen an den Metadaten und Inhalten Ihres Dokuments vorzunehmen, müssen Sie eine Rolle angeben, die über die erforderlichen Berechtigungen zum Ausführen `PreExtractionHookConfiguration` und/oder verfügt. `PostExtractionHookConfiguration` Sie konfigurieren eine Lambda-Funktion für `PreExtractionHookConfiguration` und/oder `PostExtractionHookConfiguration` um während des Aufnahmeprozesses erweiterte Änderungen an Ihren Dokumentmetadaten und -inhalten vorzunehmen. Wenn Sie die serverseitige Verschlüsselung für Ihren Amazon S3 Bucket aktivieren möchten, müssen Sie die Erlaubnis erteilen, den AWS KMS Customer Master Key (CMK) zum Verschlüsseln und Entschlüsseln der in Ihrem Bucket gespeicherten Objekte zu verwenden. Amazon S3
### IAM Rollen für die benutzerdefinierte Dokumentenanreicherung
Eine Rollenrichtlinie, die für Amazon Kendra die Ausführung `PreExtractionHookConfiguration` und `PostExtractionHookConfiguration` Verschlüsselung Ihres Amazon S3 Buckets erforderlich ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:{{us-east-1}}:{{123456789012}}:function:{{lambda-function}}"
}
]
}
```
------
Eine optionale Rollenrichtlinie, mit Amazon Kendra der Ihr Amazon S3 Bucket `PostExtractionHookConfiguration` ohne Verschlüsselung ausgeführt `PreExtractionHookConfiguration` werden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:{{us-east-1}}:{{123456789012}}:function:{{lambda-function}}"
}
]
}
```
------
Eine Vertrauensrichtlinie, die es ermöglicht Amazon Kendra , eine Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Es wird empfohlen, `aws:sourceAccount` und `aws:sourceArn` in die Vertrauensrichtlinie aufzunehmen. Dadurch `aws:sourceArn` werden die Berechtigungen eingeschränkt und es wird auf sichere Weise geprüft, ob `aws:sourceAccount` sie mit den in der IAM Rollenrichtlinie für die `sts:AssumeRole` Aktion angegebenen übereinstimmen. Dadurch wird verhindert, dass nicht autorisierte Entitäten auf Ihre IAM Rollen und deren Berechtigungen zugreifen. Weitere Informationen finden Sie in der AWS Identity and Access Management Anleitung zum [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).