Roles de IAM para índices Roles de IAM para la API BatchPutDocument Roles de IAM para orígenes de datos Rol de IAM de nube privada virtual (VPC)Roles de IAM para preguntas frecuentes (FAQ)Roles de IAM para sugerencias de consulta Roles de IAM para la asignación principal de usuarios y grupos IAM Roles de para AWS IAM Identity Center Roles de IAM para experiencias de Amazon Kendra Roles de IAM para Custom Document Enrichment

Roles de acceso de IAM para Amazon Kendra

Al crear un índice, un origen de datos o una sección de preguntas frecuentes, Amazon Kendra necesita acceder a los recursos de AWS necesarios para crear el recurso de Amazon Kendra. Debe crear una política de AWS Identity and Access Management (IAM) antes de crear el recurso de Amazon Kendra. Al llamar a la operación, debe proporcionar el nombre de recurso de Amazon (ARN) del rol con la política adjunta. Por ejemplo, si llama a la API BatchPutDocument para añadir documentos desde un bucket de Amazon S3, le asigna a Amazon Kendra un rol con una política que tiene acceso al bucket.

Puede crear un nuevo rol de IAM en la consola de Amazon Kendra o elegir un rol existente de IAM para utilizarlo. La consola muestra los roles que tienen la cadena “kendra” o “Kendra” en el nombre del rol.

En los temas siguientes se proporcionan detalles sobre las políticas necesarias. Si crea roles de IAM mediante la consola de Amazon Kendra, estas políticas se crean automáticamente.

Temas

Roles de IAM para índices
Roles de IAM para la API BatchPutDocument
Roles de IAM para orígenes de datos
Rol de IAM de nube privada virtual (VPC)
Roles de IAM para preguntas frecuentes (FAQ)
Roles de IAM para sugerencias de consulta
Roles de IAM para la asignación principal de usuarios y grupos
IAM Roles de para AWS IAM Identity Center
Roles de IAM para experiencias de Amazon Kendra
Roles de IAM para Custom Document Enrichment

Roles de IAM para índices

Al crear un índice, debe proporcionar un rol de IAM con permiso para escribir en un Amazon CloudWatch. Debe proporcionar también una política de confianza que permita a Amazon Kendra asumir el rol. Las siguientes son las políticas que se deben proporcionar.

Una política de roles para permitir a Amazon Kendra el acceso a un registro de CloudWatch.

Una política de roles para permitir a Amazon Kendra el acceso a AWS Secrets Manager. Si usa el contexto de usuario con Secrets Manager como ubicación clave, puede usar la política siguiente.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Roles de IAM para la API BatchPutDocument

aviso

Amazon Kendra no utiliza una política de bucket que conceda permisos a una entidad principal de Amazon Kendra para interactuar con un bucket de S3. En su lugar, usa roles de IAM. Asegúrese de que Amazon Kendra no se incluya como miembro de confianza en su política de bucket para evitar problemas de seguridad de los datos si se conceden permisos accidentalmente a entidades principales arbitrarias. Sin embargo, puede añadir una política de bucket para utilizar un bucket de Amazon S3 en distintas cuentas. Para obtener más información, consulte Políticas de uso de Amazon S3 en varias cuentas. Para obtener más información sobre los roles de IAM para orígenes de datos de S3, consulte Roles de IAM.

Cuando utiliza la API BatchPutDocument para indexar los documentos de un bucket de Amazon S3, debe proporcionar a Amazon Kendra un rol de IAM con acceso al bucket. Debe proporcionar también una política de confianza que permita a Amazon Kendra asumir el rol. Si los documentos del bucket están cifrados, debe dar permiso para usar la clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos.

Una política de roles obligatoria para permitir el acceso de Amazon Kendra a un bucket de Amazon S3.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Se recomienda incluir aws:sourceAccount y aws:sourceArn en la política de confianza. Esto limita los permisos y comprueba de forma segura si aws:sourceAccount y aws:sourceArn son los mismos que se indican en la política de roles de IAM para la acción sts:AssumeRole. Esto evita que entidades no autorizadas accedan a los roles de IAM y a sus permisos. Para obtener más información, consulte la guía de AWS Identity and Access Management sobre el problema del suplente confuso.

Una política de roles opcional que permita a Amazon Kendra utilizar una clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos de un bucket de Amazon S3.

Roles de IAM para orígenes de datos

Cuando se utiliza la API CreateDataSource, se debe asignar a Amazon Kendra un rol de IAM que tenga permiso para acceder a los recursos. Los permisos específicos necesarios dependen del origen de datos.

Cuando se utiliza Adobe Experience Manager, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Adobe Experience Manager.
Permiso para llamar a las API públicas necesarias para el conector de Adobe Experience Manager.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Adobe Experience Manager a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Alfresco, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Alfresco.
Permiso para llamar a las API públicas necesarias para el conector de Alfresco.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Alfresco a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Aurora (MySQL), se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Aurora (MySQL).
Permiso para llamar a las API públicas necesarias para el conector de Aurora (MySQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Aurora (MySQL) a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Aurora (PostgreSQL), se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Aurora (PostgreSQL).
Permiso para llamar a las API públicas necesarias para el conector de Aurora (PostgreSQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Aurora (PostgreSQL) a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Amazon FSx, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar el sistema de archivos Amazon FSx.
Permiso para acceder a Amazon Virtual Private Cloud (VPC) donde reside su sistema de archivos de Amazon FSx.
Permiso para obtener el nombre de dominio de Active Directory para el sistema de archivos de Amazon FSx.
Permiso para llamar a las API públicas necesarias para el conector de Amazon FSx.
Permiso para llamar a las API BatchPutDocument y BatchDeleteDocument para actualizar el índice.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza una base de datos como origen de datos, se asigna a Amazon Kendra un rol que tiene los permisos necesarios para conectarse a . Entre ellos se incluyen:

Permiso para acceder al secreto de AWS Secrets Manager que contiene el nombre de usuario y la contraseña del sitio. Para obtener más información sobre el contenido del secreto, consulte orígenes de datos.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al bucket de Amazon S3 que contiene el certificado SSL utilizado para comunicarse con el sitio.

nota

Puede conectar los orígenes de datos de la base de datos a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Hay dos políticas opcionales que puede utilizar con un origen de datos.

Si ha cifrado el bucket de Amazon S3 que contiene el certificado SSL utilizado para comunicarse con el , proporcione una política para dar a Amazon Kendra acceso a la clave.

Si utiliza una VPC, proporcione una política que dé a Amazon Kendra acceso a los recursos necesarios. Consulte Roles de IAM para los orígenes de datos y VPC para ver la política requerida.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando utiliza un conector de origen de datos de Amazon RDS (Microsoft SQL Server), proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de Amazon RDS (Microsoft SQL Server).
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Amazon RDS (Microsoft SQL Server).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Amazon RDS (Microsoft SQL Server) a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de Amazon RDS (MySQL), se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de Amazon RDS (MySQL).
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Amazon RDS (MySQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Amazon RDS (MySQL) a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de Amazon RDS (Oracle), se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de Amazon RDS (Oracle).
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Amazon RDS (Oracle).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Amazon RDS Oracle a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de Amazon RDS (PostgreSQL), se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de Amazon RDS (PostgreSQL).
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Amazon RDS (PostgreSQL).
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Amazon RDS (PostgreSQL) a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

aviso

Amazon Kendra no utiliza una política de bucket que conceda permisos a una entidad principal de Amazon Kendra para interactuar con un bucket de S3. En su lugar, usa roles de IAM. Asegúrese de que Amazon Kendra no se incluya como miembro de confianza en su política de bucket para evitar problemas de seguridad de los datos si se conceden permisos accidentalmente a entidades principales arbitrarias. Sin embargo, puede añadir una política de bucket para utilizar un bucket de Amazon S3 en distintas cuentas. Para obtener más información, consulte Políticas para usar Amazon S3 en varias cuentas (más abajo).

Cuando utiliza un bucket de Amazon S3 como origen de datos, proporciona un rol que tiene permiso para acceder al bucket y utilizar las operaciones BatchPutDocument y BatchDeleteDocument. Si los documentos del bucket de Amazon S3 están cifrados, debe dar permiso para usar la clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos.

Las siguientes políticas de roles deben permitir a Amazon Kendra asumir un rol. Desplácese más abajo para ver una política de confianza para asumir un rol.

Una política de roles obligatoria que permita a Amazon Kendra el uso de un bucket de Amazon S3 como origen de datos.

Una política de roles opcional que permita a Amazon Kendra utilizar una clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos de un bucket de Amazon S3.

Una política de roles opcional que permita acceder a Amazon Kendra a un bucket de Amazon S3 mientras se usa una Amazon VPC y sin activar AWS KMS ni compartir permisos de AWS KMS.

Una política de roles opcional que permita acceder a Amazon Kendra a un bucket de Amazon S3 mientras se usa una Amazon VPC y con los permisos de AWS KMS activados.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Políticas para usar Amazon S3 en varias cuentas

Si el bucket de Amazon S3 está en una cuenta diferente a la cuenta que usa para el índice de Amazon Kendra, puede crear políticas para usarlo en varias cuentas.

Una política de roles para usar el bucket de Amazon S3 como origen de datos cuando el bucket se encuentra en una cuenta diferente a la del índice de Amazon Kendra. Tenga en cuenta que s3:PutObject y s3:PutObjectAcl son opcionales y que puede utilizarlos si desea incluir un archivo de configuración para la lista de control de acceso.

Una política de bucket para permitir que el rol de origen de datos de Amazon S3 acceda al bucket de Amazon S3 en varias cuentas. Tenga en cuenta que s3:PutObject y s3:PutObjectAcl son opcionales y que puede utilizarlos si desea incluir un archivo de configuración para la lista de control de acceso.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza el rastreador web de Amazon Kendra, se proporciona un rol con las siguientes políticas:

Permiso para acceder al secreto de AWS Secrets Manager que contiene las credenciales para conectarse a sitios web o a un servidor proxy web respaldado por una autenticación básica. Para obtener más información sobre el contenido del secreto, consulte Utilizar un origen de datos de rastreador web.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Si utiliza un bucket de Amazon S3 para almacenar la lista de direcciones URL semilla o mapas de sitio, incluya el permiso para acceder al bucket de Amazon S3.

nota

Puede conectar un origen de datos de Amazon Kendra Web Crawler a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Si guarda las URL semilla o los mapas de sitio en un bucket de Amazon S3, debe añadir este permiso al rol.


,
{"Effect": "Allow",
     "Action": [
         "s3:GetObject"
      ],
      "Resource": [
         "arn:aws:s3:::bucket-name/*"
      ]
}

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Box, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Slack.
Permiso para llamar a las API públicas necesarias para el conector de Box.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Box a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un servidor de Confluence como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder al secreto de AWS Secrets Manager que contiene las credenciales necesarias para conectarse a Confluence. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Confluence.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar un origen de datos de Confluence a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Si utiliza una VPC, proporcione una política que dé a Amazon Kendra acceso a los recursos necesarios. Consulte Roles de IAM para los orígenes de datos y VPC para ver la política requerida.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Para un origen de datos de Confluence Connector v2.0, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager que contiene las credenciales de autenticación de Confluence. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Confluence.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por AWS Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

Debe asociar también una política de confianza que permita a Amazon Kendra asumir el rol.

nota

Puede conectar un origen de datos de Confluence a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de roles que permita a Amazon Kendra conectarse a Confluence.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Dropbox, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Dropbox.
Permiso para llamar a las API públicas necesarias para el conector de Dropbox.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Dropbox a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Drupal, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Drupal.
Permiso para llamar a las API públicas necesarias para el conector de Drupal.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Drupal a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza GitHub, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar GitHub.
Permiso para llamar a las API públicas necesarias para el conector de GitHub.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de GitHub a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Gmail, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Gmail.
Permiso para llamar a las API públicas necesarias para el conector de Gmail.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Gmail a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un origen de datos de Google Workspace Drive, se asigna a Amazon Kendra un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el secreto de AWS Secrets Manager que contiene el correo electrónico de la cuenta de cliente, el correo de la cuenta de administrador y la clave privada necesarios para conectarse al sitio de Google Drive. Para obtener más información acerca del contenido de este secreto, consulte orígenes de datos de Google Drive.
Permiso para usar las API BatchPutDocument y BatchDeleteDocument.

nota

Puede conectar un origen de datos de Google Drive a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

La siguiente política de IAM proporciona los permisos necesarios:

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de IBM DB2, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de IBM DB2.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de IBM DB2.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de IBM DB2 a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Jira, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Jira.
Permiso para llamar a las API públicas necesarias para el conector de Jira.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Jira a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un origen de datos de Microsoft Exchange, se asigna a Amazon Kendra un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el secreto de AWS Secrets Manager que contiene el ID de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Exchange. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Exchange.
Permiso para usar las API BatchPutDocument y BatchDeleteDocument.

nota

Puede conectar un origen de datos de Microsoft Exchange a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

La siguiente política de IAM proporciona los permisos necesarios:

Si va a almacenar la lista de usuarios para indexarlos en un bucket de Amazon S3, también debe proporcionar permiso para usar la operación GetObject de S3. La siguiente política de IAM proporciona los permisos necesarios:

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un origen de datos de Microsoft OneDrive, se asigna a Amazon Kendra un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el secreto de AWS Secrets Manager que contiene el ID de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft OneDrive. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft OneDrive.
Permiso para usar las API BatchPutDocument y BatchDeleteDocument.

nota

Puede conectar un origen de datos de Microsoft OneDrive a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

La siguiente política de IAM proporciona los permisos necesarios:

Una política de confianza que permita a Amazon Kendra asumir un rol.

Para un origen de datos de Microsoft SharePoint Connector v1.0, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager que contiene el nombre de usuario y la contraseña del sitio de SharePoint. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft SharePoint.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por AWS Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al bucket de Amazon S3 que contiene el certificado SSL utilizado para comunicarse con el sitio de SharePoint.

Debe asociar también una política de confianza que permita a Amazon Kendra asumir el rol.

nota

Puede conectar un origen de datos de Microsoft SharePoint a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Si ha cifrado el bucket de Amazon S3 que contiene el certificado SSL utilizado para comunicarse con el sitio de SharePoint, proporcione una política para dar a Amazon Kendra acceso a la clave.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Para un origen de datos de Microsoft SharePoint Connector v2.0, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager que contiene las credenciales de autenticación para el sitio de SharePoint. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft SharePoint.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por AWS Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.
Permiso para acceder al bucket de Amazon S3 que contiene el certificado SSL utilizado para comunicarse con el sitio de SharePoint.

Debe asociar también una política de confianza que permita a Amazon Kendra asumir el rol.

nota

Puede conectar un origen de datos de Microsoft SharePoint a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Si ha cifrado el bucket de Amazon S3 que contiene el certificado SSL utilizado para comunicarse con el sitio de SharePoint, proporcione una política para dar a Amazon Kendra acceso a la clave.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Microsoft SQL Server, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de Microsoft SQL Server.
Permiso para llamar a las API públicas necesarias para el conector de Microsoft SQL Server.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Microsoft SQL Server a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un origen de datos de Microsoft Teams, se asigna a Amazon Kendra un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el secreto de AWS Secrets Manager que contiene el ID de cliente y el secreto de cliente necesarios para conectarse a Microsoft Teams. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Teams.

nota

Puede conectar un origen de datos de Microsoft Teams a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

La siguiente política de IAM proporciona los permisos necesarios:

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un origen de datos de Microsoft Yammer, se asigna a Amazon Kendra un rol que tiene los permisos necesarios para conectarse al sitio. Entre ellos se incluyen:

Permiso para obtener y descifrar el secreto de AWS Secrets Manager que contiene el ID de aplicación y la clave secreta necesarios para conectarse al sitio de Microsoft Yammer. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Microsoft Yammer.
Permiso para usar las API BatchPutDocument y BatchDeleteDocument.

nota

Puede conectar un origen de datos de Microsoft Yammer a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

La siguiente política de IAM proporciona los permisos necesarios:

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de MySQL, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de MySQL.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de MySQL.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de MySQL a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de Oracle, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de Oracle.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de Oracle.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Oracle a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza un conector de origen de datos de PostgreSQL, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar la instancia de origen de datos de PostgreSQL.
Permiso para llamar a las API públicas necesarias para el conector de origen de datos de PostgreSQL.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de PostgreSQL a Amazon Kendra través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Quip, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Quip.
Permiso para llamar a las API públicas necesarias para el conector de Quip.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Quip a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Salesforce como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder al secreto de AWS Secrets Manager que contiene el nombre de usuario y la contraseña del sitio de Salesforce. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de Salesforce.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar un origen de datos de Salesforce a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza ServiceNow como origen de datos, se proporciona un rol con las siguientes políticas:

Permiso para acceder al secreto de Secrets Manager que contiene el nombre de usuario y la contraseña del sitio de ServiceNow. Para obtener más información acerca del contenido del secreto, consulte orígenes de datos de ServiceNow.
Permiso para usar la clave maestra de cliente (CMK) de AWS KMS para descifrar el nombre de usuario y secreto de contraseña almacenados por Secrets Manager.
Permiso para utilizar las operaciones BatchPutDocument y BatchDeleteDocument para actualizar el índice.

nota

Puede conectar un origen de datos de ServiceNow a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Slack, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Slack.
Permiso para llamar a las API públicas necesarias para el conector de Slack.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Slack a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Cuando se utiliza Zendesk, se proporciona un rol con las siguientes políticas.

Permiso para acceder al secreto de AWS Secrets Manager para autenticar Zendesk Suite.
Permiso para llamar a las API públicas necesarias para el conector de Zendesk.
Permiso para llamar a las API BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping y ListGroupsOlderThanOrderingId.

nota

Puede conectar un origen de datos de Zendesk a Amazon Kendra a través de Amazon VPC. Si usa una Amazon VPC, no es necesario que agregue permisos adicionales.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Rol de IAM de nube privada virtual (VPC)

Si usa una nube privada virtual (VPC) para conectarse a su origen de datos, debe proporcionar los siguientes permisos adicionales.


{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
        "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
}

Una política de confianza que permita a Amazon Kendra asumir un rol.

Roles de IAM para preguntas frecuentes (FAQ)

Al utilizar la API CreateFaq para cargar preguntas y respuestas en un índice, debe proporcionar a Amazon Kendra un rol de IAM con acceso al bucket de Amazon S3 que contiene los archivos de origen. Si los archivos de origen están cifrados, debe dar permiso para usar la clave maestra del cliente (CMK) de AWS KMS para descifrarlos.

Una política de roles obligatoria para permitir el acceso de Amazon Kendra a un bucket de Amazon S3.

Una política de roles opcional que permita a Amazon Kendra utilizar una clave maestra del cliente (CMK) de AWS KMS para descifrar los archivos de un bucket de Amazon S3.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Roles de IAM para sugerencias de consulta

Cuando se utiliza un archivo de Amazon S3 como lista de bloques de sugerencias de consulta, se asigna un rol que tenga permiso para acceder al archivo de Amazon S3 y al bucket de Amazon S3. Si el archivo de texto de la lista de bloques (el archivo de Amazon S3) en el bucket de Amazon S3 está cifrado, debe dar permiso para usar la clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos.

Una política de roles obligatoria para permitir a Amazon Kendra utilizar el archivo de Amazon S3 como lista de bloques de sugerencias de consulta.

Una política de roles opcional que permita a Amazon Kendra utilizar una clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos de un bucket de Amazon S3.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Roles de IAM para la asignación principal de usuarios y grupos

Al utilizar la API PutPrincipalMapping para asignar los usuarios a sus grupos y filtrar los resultados de la búsqueda por contexto de usuario, es necesario proporcionar una lista de los usuarios o subgrupos que pertenecen a un grupo. Si la lista contiene más de 1000 usuarios o subgrupos para un grupo, se debe asignar un rol que tenga permiso para acceder al archivo de Amazon S3 de la lista y al bucket de Amazon S3. Si el archivo de texto (el archivo de Amazon S3) de la lista en el bucket de Amazon S3 está cifrado, debe dar permiso para usar la clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos.

Una política de roles obligatoria para permitir a Amazon Kendra usar el archivo de Amazon S3 como lista de usuarios y subgrupos que pertenecen a un grupo.

Una política de roles opcional que permita a Amazon Kendra utilizar una clave maestra del cliente (CMK) de AWS KMS para descifrar los documentos de un bucket de Amazon S3.

Una política de confianza que permita a Amazon Kendra asumir un rol.

IAM Roles de para AWS IAM Identity Center

Al utilizar el objeto UserGroupResolutionConfiguration para obtener los niveles de acceso de grupos y usuarios de un origen de identidad de AWS IAM Identity Center, es necesario asignar un rol que tenga permiso de acceso a IAM Identity Center.

Una política de roles obligatoria para permitir a Amazon Kendra el acceso a IAM Identity Center.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Roles de IAM para experiencias de Amazon Kendra

Al utilizar las API CreateExperience o UpdateExperience para crear o actualizar una aplicación de búsqueda, se debe asignar un rol que tenga permiso para acceder a las operaciones necesarias y a IAM Identity Center.

Una política de roles obligatoria para permitir a Amazon Kendra acceder a las operaciones de Query, QuerySuggestions y SubmitFeedback y a IAM Identity Center, que almacena la información de sus usuarios y grupos.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowsKendraSearchAppToCallKendraApi",
            "Effect": "Allow",
            "Action": [
                "kendra:GetQuerySuggestions",
                "kendra:Query",
                "kendra:DescribeIndex",
                "kendra:ListFaqs",
                "kendra:DescribeDataSource",
                "kendra:ListDataSources",
                "kendra:DescribeFaq",
                "kendra:SubmitFeedback"
            ],
            "Resource": [
                "arn:aws:kendra:us-east-1:123456789012:index/index-id"
            ]
        },
        {
            "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
            "Effect": "Allow",
            "Action": [
                "kendra:DescribeDataSource",
                "kendra:DescribeFaq"
            ],
            "Resource": [
                "arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/data-source-id",
                "arn:aws:kendra:us-east-1:123456789012:index/index-id/faq/faq-id"
            ]
        },
        {
            "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
            "Effect": "Allow",
            "Action": [
                "sso-directory:ListGroupsForUser",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeUsers",
                "sso:ListDirectoryAssociations"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Una política de confianza que permita a Amazon Kendra asumir un rol.

Roles de IAM para Custom Document Enrichment

Al utilizar el objeto CustomDocumentEnrichmentConfiguration para realizar modificaciones avanzadas en los metadatos y el contenido del documento, se debe asignar un rol que tenga los permisos necesarios para ejecutar PreExtractionHookConfiguration o PostExtractionHookConfiguration. Se configura una función de Lambda para PreExtractionHookConfiguration o PostExtractionHookConfiguration para aplicar modificaciones avanzadas de los metadatos y el contenido del documento durante el proceso de ingesta. Si se decide activar el cifrado en el servidor para el bucket de Amazon S3, se debe conceder permiso para utilizar la clave maestra del cliente (CMK) de AWS KMS a fin de cifrar y descifrar los objetos almacenados en el bucket de Amazon S3.

Una política de roles obligatoria para permitir a Amazon Kendra la ejecución de PreExtractionHookConfiguration y PostExtractionHookConfiguration con cifrado del bucket de Amazon S3.

Una política de roles opcional para permitir a Amazon Kendra la ejecución de PreExtractionHookConfiguration y PostExtractionHookConfiguration sin cifrado del bucket de Amazon S3.

Una política de confianza que permita a Amazon Kendra asumir un rol.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de los SDK de AWS

Implementación de Amazon Kendra