Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Introducción a una fuente de AWS IAM Identity Center identidad (consola)
Una fuente de AWS IAM Identity Center identidad contiene información sobre sus usuarios y grupos. Esto resulta útil para configurar el filtrado por contexto de usuario, en el que se Amazon Kendra filtran los resultados de búsqueda para distintos usuarios en función del acceso del usuario o de su grupo a los documentos.
Para crear un origen de identidad de IAM Identity Center, debe activar AIM Identity Center y crear una organización en AWS Organizations. Al activar AIM Identity Center y crear una organización por primera vez, automáticamente se establece de forma predeterminada en el directorio de Identity Center como origen de identidad. Puede cambiar a Active Directory (administrado por Amazon o autoadministrado) o a un proveedor de identidad externo como origen de identidad. Para ello, debe seguir las instrucciones correctas: consulte [Cambio del origen de identidad de AIM Identity Center](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html). Solo puede tener un origen de identidad por organización.
Para que a sus usuarios y grupos se les asignen diferentes niveles de acceso a los documentos, debe incluir a los usuarios y grupos en la lista de control de acceso cuando incorpore documentos a su índice. Esto permite a los usuarios y grupos buscar documentos en Amazon Kendra de acuerdo con su nivel de acceso. Al realizar una consulta, el ID de usuario debe coincidir exactamente con el nombre de usuario de AIM Identity Center.
También debe conceder los permisos necesarios para utilizar IAM Identity Center con Amazon Kendra. Para obtener más información, consulte [Roles de IAM para IAM Identity Center](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso).
**Para configurar un origen de identidad de IAM Identity Center**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Seleccione **Activar el centro de identidad de IAM** y, a continuación, seleccione **Crear AWS ** organización.
El directorio de Identity Center se crea de forma predeterminada y se le envía un correo electrónico para verificar la dirección de correo electrónico asociada a la organización.
1. Para añadir un grupo a su AWS organización, en el panel de navegación, elija **Grupos**.
1. En la **página Grupos**, elija **Crear grupo** e introduzca un nombre y una descripción del grupo en el cuadro de diálogo. Seleccione **Crear**.
1. Para agregar un usuario a sus Organizaciones, en el panel de navegación, elija **Usuarios**.
1. En la página **Users (Usuarios)**, elija **Add user (Añadir usuario)**. En **User details (Detalles del usuario)**, especifique todos los campos obligatorios. En **Password (Contraseña)**, elija **Send an email to the user (Enviar un correo electrónico al usuario)**. Elija **Siguiente**.
1. Para añadir un usuario a un grupo, elija **Grupos** y seleccione un grupo.
1. En la página **Detalles**, bajo **Miembros del grupo**, elija **Añadir usuario**.
1. En la página **Añadir usuarios a grupo**, seleccione el usuario que desea añadir como miembro del grupo. Puede seleccionar varios usuarios para añadirlos a un grupo.
1. Para sincronizar la lista de usuarios y grupos con IAM Identity Center, cambie el origen de identidad a Active Directory o a un proveedor de identidad externo.
El directorio de Identity Center es el origen de identidad predeterminada y requiere que añada manualmente sus usuarios y grupos utilizando este origen si no tiene su propia lista administrada por un proveedor. Para cambiar el origen de identidad, debe seguir las instrucciones correctas al respecto (consulte [Cambio del origen de identidad de AIM Identity Center](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html)).
**nota**
Si utiliza Active Directory o un proveedor de identidad externo como origen de identidad, debe asignar las direcciones de correo electrónico de sus usuarios a los nombres de usuario de AIM Identity Center al especificar el protocolo del sistema de administración de identidades entre dominios (SCIM). Para obtener más información, consulte la [Guía sobre IAM Identity Center en SCIM para habilitar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html).
Una vez que haya configurado el origen de identidad de IAM Identity Center, podrá activarlo en la consola al crear o editar el índice. Vaya a **Control de acceso de usuarios** en la configuración de su índice y edítela para poder obtener información sobre los grupos de usuarios de IAM Identity Center.
También puede activar el Centro de identidades de IAM mediante el [UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)objeto. Debe proporcionar el `UserGroupResolutionMode` as `AWS_SSO` y crear un IAM rol que dé permiso para llamar a`sso:ListDirectoryAssociations`,, `sso-directory:SearchUsers``sso-directory:ListGroupsForUser`,`sso-directory:DescribeGroups`.
**aviso**
Amazon Kendra actualmente no admite su uso `UserGroupResolutionConfiguration` con una cuenta de miembro de AWS la organización como fuente de identidad del IAM Identity Center. Debe crear el índice en la cuenta de administración de la organización para poder utilizar `UserGroupResolutionConfiguration`.
A continuación, se ofrece información general sobre cómo configurar un origen de datos con `UserGroupResolutionConfiguration` y un control de acceso de usuarios para filtrar los resultados de la búsqueda según el contexto del usuario. Esto supone que ya ha creado un índice y un IAM rol para los índices. Se crea un índice y se proporciona el IAM rol mediante la [CreateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateIndex.html)API.
**Configurar un origen de datos con `UserGroupResolutionConfiguration` y filtrado de contexto de usuario**
1. Cree un [rol de IAM](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso) que dé permiso para acceder al origen de identidad de IAM Identity Center.
1. Para [https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)configurarlo, defina el modo `AWS_SSO` y llame [UpdateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html)para actualizar su índice y utilizar el IAM Identity Center.
1. Si desea utilizar el control de acceso de los usuarios basado en fichas para filtrar los resultados de la búsqueda según el contexto del usuario, configúrelo en el `USER_TOKEN` momento de [UserContextPolicy](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html#Kendra-UpdateIndex-request-UserContextPolicy)la llamada. `UpdateIndex` De lo contrario, Amazon Kendra rastrea la lista de control de acceso de cada uno de sus documentos para la mayoría de los conectores de fuentes de datos. También puede filtrar los resultados de la búsqueda según el contexto del usuario en la API [Query](https://docs.aws.amazon.com/kendra/latest/APIReference/API_Query.html) proporcionando información sobre los usuarios y los grupos en `UserContext`. También puede asignar usuarios a sus grupos de [PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html)forma que solo necesite proporcionar el ID de usuario al realizar la consulta.
1. Cree un [rol de IAM](https://docs.aws.amazon.com//kendra/latest/dg/iam-roles.html#iam-roles-ds) que conceda permiso para acceder a su origen de datos.
1. [Configure](https://docs.aws.amazon.com/kendra/latest/APIReference/API_DataSourceConfiguration.html) su origen de datos. Debe proporcionar la información de conexión necesaria para conectarse a su origen de datos.
1. Cree una fuente de datos mediante la [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API. Proporcione el objeto `DataSourceConfiguration`, que incluye `TemplateConfiguration`, el ID de su índice, el rol de IAM del origen de datos y el tipo de origen de datos, y asigne un nombre al origen de datos. También puede actualizar el origen de datos.
# Cambiar el origen de identidad de IAM Identity Center
**aviso**
Cambiar el origen de identidad en la **Configuración** de AIM Identity Center puede afectar a la conservación de la información de los usuarios y grupos. Para hacerlo de forma segura, se recomienda consultar las [Consideraciones para cambiar el origen de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-considerations.html). Al cambiar el origen de identidad, se genera un nuevo ID del origen de identidad. Compruebe que está utilizando el ID correcto antes de configurar el modo como activado [UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html). `AWS_SSO`
**Para cambiar el origen de identidad de IAM Identity Center**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Elija **Configuración**.
1. En la página **Configuración**, en **Origen de identidad**, seleccione **Cambiar**.
1. En la página **Cambiar origen de identidad**, seleccione el origen de identidad que prefiera y, a continuación, seleccione **Siguiente**.