Requisitos previos - Amazon Kendra
Cómo crear una Cuenta de AWSCreación de un usuario con acceso administrativoRecursos de Amazon Kendra: AWS CLI, SDK, consola

Requisitos previos

Los siguientes pasos son requisitos previos para los ejercicios de introducción. Estos pasos le muestran cómo configurar su cuenta, crear un rol de IAM que dé a Amazon Kendra permiso para hacer llamadas en su nombre e indexar documentos desde un bucket de Amazon S3. Se utiliza un bucket de S3 como ejemplo, pero puede utilizar otros orígenes de datos compatibles con Amazon Kendra. Consulte Orígenes de datos.

Cómo crear una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.

Procedimiento para registrarse en Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.

    Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS le enviará un correo electrónico de confirmación cuando complete el proceso de registro. Puede ver la actividad de la cuenta y administrarla en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de registrarse para obtener una Cuenta de AWS, proteja su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no usar el usuario raíz en las tareas cotidianas.

Protección de Usuario raíz de la cuenta de AWS

  1. Inicie sesión en Consola de administración de AWS como propietario de la cuenta; para ello, elija Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS (consola) en la Guía del usuario de IAM.

Creación de un usuario con acceso administrativo

  1. Activar IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre cómo usar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de los usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.

Inicio de sesión como usuario con acceso de administrador

  • Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario de IAM Identity Center, consulte Inicio de sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Concesión de acceso a usuarios adicionales

  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center.

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center.

  • Si utiliza un bucket de S3 que contiene documentos para realizar pruebas en Amazon Kendra, cree un bucket de S3 en la misma región en la que está usando Amazon Kendra. Para obtener instrucciones, consulte Crear y configurar un bucket de S3 en la guía del usuario de Amazon Simple Storage Service.

    Carga de los documentos en el bucket de S3. Para ver las instrucciones, consulte Carga, descarga y administración de objetos en la Guía del usuario de Amazon Simple Storage Service.

    Si utiliza otro origen de datos, debe tener un sitio activo y credenciales para conectarse al origen de datos.

Si va a utilizar la consola para empezar, comience con Introducción a la consola de Amazon Kendra.

Recursos de Amazon Kendra: AWS CLI, SDK, consola

Se requieren ciertos permisos si usa la CLI, el SDK o la consola.

Para usar Amazon Kendra para la CLI, el SDK o la consola, debe tener permisos que permitan a Amazon Kendra crear y administrar recursos en su nombre. Según su caso de uso, estos permisos incluyen el acceso a la propia API de Amazon Kendra, AWS KMS keys si desea cifrar sus datos a través de un CMK personalizado o un directorio de Identity Center si desea integrarlos con AWS IAM Identity Center o crear una experiencia de búsqueda. Para obtener una lista completa de los permisos para los distintos casos de uso, consulte Roles de IAM.

En primer lugar, debe adjuntar los siguientes permisos a su usuario de IAM.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

En segundo lugar, si usa la CLI o el SDK, también debe crear un rol de IAM y una política para acceder a Amazon CloudWatch Logs. Si está utilizando la consola, no tendrá que crear un rol de IAM ni una política para ello. Esto se crea como parte del procedimiento de la consola.

Para crear un rol de IAM y una política para la AWS CLI y el SDK que permitan a Amazon Kendra acceder a su Amazon CloudWatch Logs.

  1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el menú de la izquierda, elija Políticas y, a continuación, seleccione Crear política.

  3. Seleccione JSON y sustituya la política predeterminada con lo siguiente:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. Elija Revisar política.

  5. Asigne a la política el nombre "KendraPolicyForGettingStartedIndex" y, a continuación, seleccione Crear política.

  6. En el menú de la izquierda, seleccione Roles y, a continuación, Crear rol.

  7. Elija Otra cuenta de AWS y, a continuación, escriba su ID de cuenta en ID de cuenta. Elija Siguiente: permisos.

  8. Elija la política que creó anteriormente y, a continuación, seleccione Siguiente: etiquetas

  9. No añada ninguna etiqueta. Elija Siguiente: revisar.

  10. Asigne al rol el nombre "KendraRoleForGettingStartedIndex" y, a continuación, seleccione Crear rol.

  11. Busque el rol que acaba de crear. Seleccione el nombre del rol para abrir el resumen. Seleccione Relaciones de confianza, y, a continuación, seleccione Editar relación de confianza.

  12. Reemplace la relación de confianza existente con lo siguiente:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Elija Actualizar política de confianza.

En tercer lugar, si utiliza un Amazon S3 para almacenar sus documentos o utiliza S3 para realizar pruebas en Amazon Kendra, también debe crear un rol de IAM y una política para acceder a su bucket. Si utiliza otro origen de datos, consulte los Roles de IAM para orígenes de datos.

Para crear un rol de IAM y una política que permita a Amazon Kendra acceder e indexar su bucket de Amazon S3.

  1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el menú de la izquierda, elija Políticas y, a continuación, seleccione Crear política.

  3. Seleccione JSON y sustituya la política predeterminada con lo siguiente:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:us-east-1:123456789012:index/*"
        }
    ]
}

  4. Elija Revisar política.

  5. Asigne a la política el nombre “KendraPolicyForGettingStartedDataSource” y, a continuación, seleccione Crear política.

  6. En el menú de la izquierda, seleccione Roles y, a continuación, Crear rol.

  7. Elija Otra cuenta de AWS y, a continuación, escriba su ID de cuenta en ID de cuenta. Elija Siguiente: permisos.

  8. Elija la política que creó anteriormente y, a continuación, seleccione Siguiente: etiquetas

  9. No añada ninguna etiqueta. Elija Siguiente: revisar.

  10. Asigne al rol el nombre “KendraRoleForGettingStartedDataSource” y, a continuación, seleccione Crear rol.

  11. Busque el rol que acaba de crear. Seleccione el nombre del rol para abrir el resumen. Seleccione Relaciones de confianza, y, a continuación, seleccione Editar relación de confianza.

  12. Reemplace la relación de confianza existente con lo siguiente:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. Elija Actualizar política de confianza.

Dependiendo de cómo desee utilizar la API de Amazon Kendra, realice una de las siguientes operaciones.