Introducción a un origen de identidad de AWS IAM Identity Center (consola) - Amazon Kendra

Introducción a un origen de identidad de AWS IAM Identity Center (consola)

Un origen de identidad de AWS IAM Identity Center contiene información sobre sus usuarios y grupos. Esto resulta útil para configurar el filtrado por contexto de usuario, en el que Amazon Kendra filtra los resultados de búsqueda para distintos usuarios en función del acceso del usuario o de su grupo a los documentos.

Para crear un origen de identidad de IAM Identity Center, debe activar AIM Identity Center y crear una organización en AWS Organizations. Al activar AIM Identity Center y crear una organización por primera vez, automáticamente se establece de forma predeterminada en el directorio de Identity Center como origen de identidad. Puede cambiar a Active Directory (administrado por Amazon o autoadministrado) o a un proveedor de identidad externo como origen de identidad. Para ello, debe seguir las instrucciones correctas: consulte Cambio del origen de identidad de AIM Identity Center. Solo puede tener un origen de identidad por organización.

Para que a sus usuarios y grupos se les asignen diferentes niveles de acceso a los documentos, debe incluir a los usuarios y grupos en la lista de control de acceso cuando incorpore documentos a su índice. Esto permite a los usuarios y grupos buscar documentos en Amazon Kendra de acuerdo con su nivel de acceso. Al realizar una consulta, el ID de usuario debe coincidir exactamente con el nombre de usuario de AIM Identity Center.

Debe conceder también los permisos necesarios para poder utilizar IAM Identity Center con Amazon Kendra. Para obtener más información, consulte Roles de IAM para IAM Identity Center.

Para configurar un origen de identidad de IAM Identity Center

  1. Abra la consola de IAM Identity Center.

  2. Seleccione Activar AIM Identity Center y, a continuación, seleccione Crear organización de AWS.

    El directorio de Identity Center se crea de forma predeterminada y se le envía un correo electrónico para verificar la dirección de correo electrónico asociada a la organización.

  3. Para agregar un usuario a su organización de AWS, en el panel de navegación, elija Grupos.

  4. En la página Grupos, elija Crear grupo e introduzca un nombre y una descripción del grupo en el cuadro de diálogo. Seleccione Crear.

  5. Para agregar un usuario a sus Organizaciones, en el panel de navegación, elija Usuarios.

  6. En la página Users (Usuarios), elija Add user (Añadir usuario). En User details (Detalles del usuario), especifique todos los campos obligatorios. En Password (Contraseña), elija Send an email to the user (Enviar un correo electrónico al usuario). Elija Siguiente.

  7. Para añadir un usuario a un grupo, elija Grupos y seleccione un grupo.

  8. En la página Detalles, bajo Miembros del grupo, elija Añadir usuario.

  9. En la página Añadir usuarios a grupo, seleccione el usuario que desea añadir como miembro del grupo. Puede seleccionar varios usuarios para añadirlos a un grupo.

  10. Para sincronizar la lista de usuarios y grupos con IAM Identity Center, cambie el origen de identidad a Active Directory o a un proveedor de identidad externo.

    El directorio de Identity Center es el origen de identidad predeterminada y requiere que añada manualmente sus usuarios y grupos utilizando este origen si no tiene su propia lista administrada por un proveedor. Para cambiar el origen de identidad, debe seguir las instrucciones correctas al respecto (consulte Cambio del origen de identidad de AIM Identity Center).

nota

Si utiliza Active Directory o un proveedor de identidad externo como origen de identidad, debe asignar las direcciones de correo electrónico de sus usuarios a los nombres de usuario de AIM Identity Center al especificar el protocolo del sistema de administración de identidades entre dominios (SCIM). Para obtener más información, consulte la Guía sobre IAM Identity Center en SCIM para habilitar IAM Identity Center.

Una vez que haya configurado el origen de identidad de IAM Identity Center, podrá activarlo en la consola al crear o editar el índice. Vaya a Control de acceso de usuarios en la configuración de su índice y edítela para poder obtener información sobre los grupos de usuarios de IAM Identity Center.

También puede activar IAM Identity Center mediante el objeto UserGroupResolutionConfiguration. Debe proporcionar el UserGroupResolutionMode como AWS_SSO y crear un rol de IAM que dé permiso para llamar a sso:ListDirectoryAssociations, sso-directory:SearchUsers, sso-directory:ListGroupsForUser y sso-directory:DescribeGroups.

aviso

Amazon Kendra actualmente no admite utilizar UserGroupResolutionConfiguration con una cuenta de miembro de organización de AWS como origen de identidad de IAM Identity Center. Debe crear el índice en la cuenta de administración de la organización para poder utilizar UserGroupResolutionConfiguration.

A continuación, se ofrece información general sobre cómo configurar un origen de datos con UserGroupResolutionConfiguration y un control de acceso de usuarios para filtrar los resultados de la búsqueda según el contexto del usuario. Se supone que ya ha creado un índice y un rol de IAM para los índices. Se crea un índice y se proporciona el rol de IAM mediante la API CreateIndex.

Configurar un origen de datos con UserGroupResolutionConfiguration y filtrado de contexto de usuario

  1. Cree un rol de IAM que dé permiso para acceder al origen de identidad de IAM Identity Center.

  2. Configure UserGroupResolutionConfiguration definiendo el modo en AWS_SSO y llame a UpdateIndex para actualizar su índice y utilizar IAM Identity Center.

  3. Si desea utilizar el control de acceso de usuario basado en tokens para filtrar los resultados de búsqueda en función del contexto de usuario, defina UserContextPolicy en USER_TOKEN al llamar a UpdateIndex. De lo contrario, Amazon Kendra rastrea la lista de control de acceso de cada uno de sus documentos para la mayoría de los conectores de origen de datos. También puede filtrar los resultados de la búsqueda según el contexto del usuario en la API Query proporcionando información sobre los usuarios y los grupos en UserContext. También puede asignar usuarios a sus grupos mediante PutPrincipalMapping, de modo que solo necesite proporcionar el ID de usuario al realizar la consulta.

  4. Cree un rol de IAM que conceda permiso para acceder a su origen de datos.

  5. Configure su origen de datos. Debe proporcionar la información de conexión necesaria para conectarse a su origen de datos.

  6. Cree un origen de datos mediante la API CreateDataSource. Proporcione el objeto DataSourceConfiguration, que incluye TemplateConfiguration, el ID de su índice, el rol de IAM del origen de datos y el tipo de origen de datos, y asigne un nombre al origen de datos. También puede actualizar el origen de datos.