Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# IAM Ruoli di accesso per Amazon Kendra
Quando si crea un indice, una fonte di dati o una FAQ, è Amazon Kendra necessario accedere alle AWS risorse necessarie per creare la Amazon Kendra risorsa. È necessario creare una politica AWS Identity and Access Management (IAM) prima di creare la Amazon Kendra risorsa. Quando chiami l'operazione, fornisci l'Amazon Resource Name (ARN) del ruolo con la policy allegata. Ad esempio, se stai chiamando l'[BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)API per aggiungere documenti da un Amazon S3 bucket, fornisci un ruolo Amazon Kendra con una policy che ha accesso al bucket.
Puoi creare un nuovo IAM ruolo nella Amazon Kendra console o scegliere un ruolo IAM esistente da utilizzare. La console mostra i ruoli che hanno la stringa «kendra» o «Kendra» nel nome del ruolo.
I seguenti argomenti forniscono dettagli sulle policy necessarie. Se IAM crei ruoli utilizzando la Amazon Kendra console, queste politiche vengono create automaticamente.
**Topics**
+ [IAM ruoli per gli indici](#iam-roles-index)
+ [IAM ruoli per l' BatchPutDocument API](#iam-roles-batch)
+ [IAM ruoli per le fonti di dati](#iam-roles-ds)
+ [Ruolo del cloud privato virtuale (VPC) IAM](#iam-roles-vpc)
+ [IAM ruoli per le domande frequenti (FAQs)](#iam-roles-ds-faq)
+ [IAM ruoli per i suggerimenti di interrogazione](#iam-roles-query-suggestions)
+ [IAM ruoli per la mappatura principale di utenti e gruppi](#iam-roles-principal-mapping)
+ [IAM ruoli per AWS IAM Identity Center](#iam-roles-aws-sso)
+ [IAM ruoli per Amazon Kendra le esperienze](#iam-roles-amazon-kendra-experiences)
+ [IAM ruoli per Custom Document Enrichment](#iam-roles-custom-document-enrichment)
## IAM ruoli per gli indici
Quando si crea un indice, è necessario fornire a un IAM ruolo il permesso di scrivere a un. Amazon CloudWatchÈ inoltre necessario fornire una politica di fiducia che Amazon Kendra consenta di assumere il ruolo. Di seguito sono riportate le policy da fornire.
### IAM ruoli per gli indici
Una politica di ruolo per consentire l'accesso Amazon Kendra a un CloudWatch registro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*:log-stream:*"
}
]
}
```
------
Una politica di ruolo per consentire l' Amazon Kendra accesso Gestione dei segreti AWS. Se si utilizza il contesto utente con Secrets Manager come posizione chiave, è possibile utilizzare la seguente politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM ruoli per l' BatchPutDocument API
**avvertimento**
Amazon Kendra non utilizza una policy bucket che concede le autorizzazioni a un Amazon Kendra principale per interagire con un bucket S3. Utilizza invece i ruoli. IAM Assicurati che Amazon Kendra non sia incluso come membro fidato nella tua bucket policy per evitare problemi di sicurezza dei dati derivanti dalla concessione accidentale di autorizzazioni a responsabili arbitrari. Tuttavia, puoi aggiungere una policy sui bucket per utilizzare un bucket su account diversi. Amazon S3 Per ulteriori informazioni, consulta [Politiche da utilizzare Amazon S3 su](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3-cross-accounts) più account. Per informazioni sui IAM ruoli per le fonti di dati S3, consulta [IAM ruoli](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3).
Quando utilizzi l'[BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)API per indicizzare i documenti in un Amazon S3 bucket, devi fornire un IAM ruolo Amazon Kendra con accesso al bucket. È inoltre necessario fornire una politica di fiducia che Amazon Kendra consenta di assumere il ruolo. Se i documenti nel bucket sono crittografati, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
### IAM ruoli per l'API BatchPutDocument
Una politica di ruolo richiesta per consentire l'accesso Amazon Kendra a un Amazon S3 bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Si consiglia di includere `aws:sourceAccount` e `aws:sourceArn` nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se `aws:sourceAccount` e `aws:sourceArn` sono le stesse fornite nella politica di IAM ruolo per l'azione`sts:AssumeRole`. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del [vice confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
## IAM ruoli per le fonti di dati
Quando utilizzi l'[CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API, devi assegnare a Amazon Kendra un IAM ruolo che disponga dell'autorizzazione ad accedere alle risorse. Le autorizzazioni specifiche richieste dipendono dall’origine dati.
### IAM ruoli per le fonti di dati di Adobe Experience Manager
Quando utilizzi Adobe Experience Manager, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Adobe Experience Manager.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Adobe Experience Manager.
+ Autorizzazione a chiamare `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
Puoi connettere un'origine dati di Adobe Experience Manager a Amazon Kendra Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}",
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Alfresco
Quando utilizzi Alfresco, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Alfresco.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Alfresco.
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Alfresco a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per sorgenti dati Aurora (MySQL)
Quando si utilizza Aurora (MySQL), si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare il tuo Aurora (MySQL).
+ Autorizzazione a chiamare il pubblico richiesto APIs per il Aurora connettore (MySQL).
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
È possibile connettere un' Aurora origine dati (MySQL) a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per sorgenti dati Aurora (PostgreSQL)
Quando si utilizza Aurora (PostgreSQL), si assegna un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare il tuo Aurora (PostgreSQL).
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Aurora (PostgreSQL).
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`, `PutPrincipalMapping``DeletePrincipalMapping`, `DescribePrincipalMapping` e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
È possibile connettere un' Aurora origine dati (PostgreSQL) a through. Amazon Kendra Amazon VPC[Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di Amazon FSx dati
Quando si utilizza Amazon FSx, si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare il Amazon FSx file system.
+ Autorizzazione di accesso Amazon Virtual Private Cloud (VPC) dove risiede il Amazon FSx file system.
+ Autorizzazione a ottenere il nome di dominio di Active Directory per il Amazon FSx file system.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il Amazon FSx connettore.
+ Autorizzazione a `BatchDeleteDocument` APIs chiamare `BatchPutDocument` e aggiornare l'indice.
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati del database
Quando si utilizza un database come origine dati, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per connettersi a. Ciò include:
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene il nome utente e la password per il sito. Per ulteriori informazioni sul contenuto del segreto, consulta le [fonti di dati](https://docs.aws.amazon.com/kendra/latest/dg/datasource-.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
+ Autorizzazione ad accedere al Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il sito.
**Nota**
È possibile connettere le sorgenti di dati del database a Through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Esistono due politiche opzionali che è possibile utilizzare con un'origine dati.
Se hai crittografato il Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con, fornisci una politica per consentire Amazon Kendra l'accesso alla chiave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Se utilizzi un VPC, fornisci una policy che dia Amazon Kendra accesso alle risorse richieste. Consulta [IAM i ruoli per le fonti di dati, VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds) per la policy richiesta.
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini dati Amazon RDS (Microsoft SQL Server)
Quando si utilizza un connettore di origine dati Amazon RDS (Microsoft SQL Server), si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza di origine dati Amazon RDS (Microsoft SQL Server).
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati Amazon RDS (Microsoft SQL Server).
+ Autorizzazione a chiamare `BatchPutDocument` `BatchDeleteDocument``PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Amazon RDS (Microsoft SQL Server) a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per sorgenti dati Amazon RDS (MySQL)
Quando si utilizza un connettore di origine dati Amazon RDS (MySQL), si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare la tua Amazon RDS istanza di origine dati (MySQL).
+ Autorizzazione a chiamare il pubblico richiesto APIs per il Amazon RDS connettore di origine dati (MySQL).
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`, `PutPrincipalMapping` `DeletePrincipalMapping``DescribePrincipalMapping`, e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
È possibile connettere un' Amazon RDS origine dati (MySQL) a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Amazon RDS (Oracle)
Quando si utilizza un connettore di origine dati Amazon RDS Oracle, si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza dell'origine dati Amazon RDS (Oracle).
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati Amazon RDS (Oracle).
+ Autorizzazione a chiamare `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Amazon RDS Oracle a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per sorgenti dati Amazon RDS (PostgreSQL)
Quando utilizzi un connettore di origine dati Amazon RDS (PostgreSQL), fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza di Amazon RDS origine dati (PostgreSQL).
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati Amazon RDS (PostgreSQL).
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`, `PutPrincipalMapping``DeletePrincipalMapping`, `DescribePrincipalMapping` e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
È possibile connettere un' Amazon RDS origine dati (PostgreSQL) a through. Amazon Kendra Amazon VPC[Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di Amazon S3 dati
**avvertimento**
Amazon Kendra non utilizza una policy bucket che concede le autorizzazioni a un Amazon Kendra principale per interagire con un bucket S3. Utilizza invece i ruoli. IAM Assicurati che Amazon Kendra non sia incluso come membro fidato nella tua bucket policy per evitare problemi di sicurezza dei dati derivanti dalla concessione accidentale di autorizzazioni a responsabili arbitrari. Tuttavia, puoi aggiungere una policy sui bucket per utilizzare un bucket su account diversi. Amazon S3 Per ulteriori informazioni, consulta [Politiche da utilizzare Amazon S3 su più account](#iam-roles-ds-s3-cross-accounts) (scorri verso il basso).
Quando si utilizza un Amazon S3 bucket come fonte di dati, si fornisce un ruolo autorizzato ad accedere al bucket e a utilizzare le operazioni `BatchPutDocument` and`BatchDeleteDocument`. Se i documenti nel Amazon S3 bucket sono crittografati, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
Le seguenti politiche relative ai ruoli devono consentire l'assunzione di un ruolo Amazon Kendra . Scorri più in basso per visualizzare una politica di fiducia per assumere un ruolo.
Una politica di ruolo obbligatoria Amazon Kendra per consentire l'utilizzo di un Amazon S3 bucket come fonte di dati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
]
}
]
}
```
------
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Una politica di ruolo opzionale per consentire l'accesso Amazon Kendra a un Amazon S3 bucket, utilizzando un e senza attivare o condividere Amazon VPC le autorizzazioni. AWS KMS AWS KMS
Una politica di ruolo opzionale per consentire l'accesso Amazon Kendra a un Amazon S3 bucket mentre si utilizza un e con le autorizzazioni Amazon VPC attivate. AWS KMS
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### Politiche da utilizzare Amazon S3 su più account
Se il Amazon S3 bucket si trova in un account diverso da quello utilizzato per l' Amazon Kendra indice, puoi creare politiche per utilizzarlo su più account.
Una politica di ruolo per utilizzare il Amazon S3 bucket come fonte di dati quando il bucket si trova in un account diverso da quello dell'indice. Amazon Kendra Nota che `s3:PutObjectAcl` i `s3:PutObject` e sono facoltativi e li usi se desideri includere un [file di configurazione per la tua lista di controllo degli accessi](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html).
Una policy relativa ai bucket per consentire al ruolo della fonte di Amazon S3 dati di accedere al Amazon S3 bucket su più account. Tieni presente che `s3:PutObjectAcl` i `s3:PutObject` e sono facoltativi e li usi se desideri includere un [file di configurazione per la tua lista di controllo degli accessi](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "${{kendra-s3-connector-role-arn}}"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::${{bucket-in-other-account}}/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "${{kendra-s3-connector-role-arn}}"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::${{bucket-in-other-account}}"
}
]
}
```
------
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Amazon Kendra Web Crawler
Quando utilizzi Amazon Kendra Web Crawler, fornisci un ruolo con le seguenti politiche:
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene le credenziali per connettersi ai siti Web o a un server proxy Web supportato dall'autenticazione di base. Per ulteriori informazioni sul contenuto del segreto, consulta [Utilizzo di un'origine dati del web crawler](https://docs.aws.amazon.com/kendra/latest/dg/data-source-web-crawler.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
+ Se usi un Amazon S3 bucket per archiviare la tua lista di seed URLs o di sitemap, includi l'autorizzazione ad accedere al bucket. Amazon S3
**Nota**
Puoi connettere un'origine dati del Amazon Kendra Web Crawler a. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Se memorizzi i tuoi seed URLs o le tue sitemap in un Amazon S3 bucket, devi aggiungere questa autorizzazione al ruolo.
```
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
```
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Box
Quando usi Box, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Slack.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Box.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Box a Amazon Kendra tramite Amazon VPC. Se utilizzi un Amazon VPC, devi aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Confluence
#### IAM ruoli per Confluence Connector v1.0
Quando utilizzi un server Confluence come origine dati, fornisci un ruolo con le seguenti politiche:
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene le credenziali necessarie per connettersi a Confluence. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati [Confluence](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
**Nota**
Puoi connettere un'origine dati Confluence a Amazon Kendra through. Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni [aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Se utilizzi un VPC, fornisci una policy che dia Amazon Kendra accesso alle risorse richieste. Consulta [IAM i ruoli per le fonti di dati, VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds) per la policy richiesta.
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM ruoli per Confluence Connector v2.0
Per un'origine dati Confluence Connector v2.0, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene le credenziali di autenticazione per Confluence. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di dati [Confluence](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Gestione dei segreti AWS
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
È inoltre necessario allegare una politica di fiducia che Amazon Kendra consenta di assumere il ruolo.
**Nota**
Puoi connettere un'origine dati Confluence a Amazon Kendra through. Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere autorizzazioni [aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di ruolo per consentire la connessione Amazon Kendra a Confluence.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati di Dropbox
Quando utilizzi Dropbox, fornisci un ruolo con le seguenti norme.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare il tuo Dropbox.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Dropbox.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
Puoi connettere una fonte di dati Dropbox a Amazon Kendra . Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere [ulteriori autorizzazioni](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}",
"arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Drupal
Quando usi Drupal, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare il tuo Drupal.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Drupal.
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
Puoi connettere una fonte di dati Drupal a Amazon Kendra tramite. Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secret_id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/{{key_id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/{{index_id}}",
"arn:aws:kendra:us-east-1:111122223333:index/{{index_id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/{{index_id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di GitHub dati
Quando si utilizza GitHub, si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare il tuo GitHub.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il GitHub connettore.
+ Autorizzazione a chiamare `BatchPutDocument` `BatchDeleteDocument``PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine GitHub dati a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati di Gmail
Quando utilizzi Gmail, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Gmail.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Gmail.
+ Autorizzazione a chiamare il`BatchPutDocument`,`BatchDeleteDocument`,`PutPrincipalMapping`, `DeletePrincipalMapping``DescribePrincipalMapping`, e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
Puoi connettere un'origine dati Gmail a Amazon Kendra . Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati di Google Drive
Quando utilizzi un'origine dati Google Workspace Drive, fornisci un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
+ Autorizzazione a ottenere e decrittografare il codice Gestione dei segreti AWS segreto contenente l'e-mail dell'account cliente, l'e-mail dell'account amministratore e la chiave privata necessari per connettersi al sito di Google Drive. Per ulteriori informazioni sul contenuto del segreto, consulta Fonti di [dati di Google Drive](https://docs.aws.amazon.com/kendra/latest/dg/data-source-google-drive.html).
+ Autorizzazione all'uso di [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)e [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Nota**
Puoi connettere una fonte di dati di Google Drive a Amazon Kendra tramite Amazon VPC. Se utilizzi un Amazon VPC, devi aggiungere [ulteriori autorizzazioni](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di DB2 dati IBM
Quando utilizzi un connettore di origine DB2 dati IBM, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza di origine DB2 dati IBM.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine DB2 dati IBM.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere una fonte di DB2 dati IBM a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Jira
Quando usi Jira, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Jira.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Jira.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
Puoi connettere un'origine dati Jira a Amazon Kendra . Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini dati di Microsoft Exchange
Quando si utilizza un'origine dati di Microsoft Exchange, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
+ Autorizzazione a ottenere e decrittografare il Gestione dei segreti AWS segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito di Microsoft Exchange. Per ulteriori informazioni sul contenuto del segreto, vedere [Origini dati di Microsoft Exchange](https://docs.aws.amazon.com/kendra/latest/dg/data-source-exchange.html).
+ Autorizzazione a utilizzare [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)e [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Nota**
È possibile connettere un'origine dati Microsoft Exchange a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [ulteriori autorizzazioni](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Se stai archiviando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione `GetObject` S3. La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-ids}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com",
"s3.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini OneDrive dati Microsoft
Quando si utilizza un'origine OneDrive dati Microsoft, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
+ Autorizzazione a ottenere e decrittografare il Gestione dei segreti AWS segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito. OneDrive Per ulteriori informazioni sul contenuto del segreto, vedi [Origini OneDrive dati Microsoft](https://docs.aws.amazon.com/kendra/latest/dg/data-source-onedrive.html).
+ Autorizzazione a utilizzare [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)e [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Nota**
È possibile connettere un'origine OneDrive dati Microsoft a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Se stai archiviando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione `GetObject` S3. La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-ids}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com",
"s3.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini SharePoint dati Microsoft
#### IAM ruoli per SharePoint Connector v1.0
Per un'origine dati Microsoft SharePoint Connector v1.0, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene il nome utente e la password per il SharePoint sito. Per ulteriori informazioni sul contenuto del segreto, vedi [Origini SharePoint dati Microsoft](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Gestione dei segreti AWS
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
+ Autorizzazione ad accedere al Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito.
È inoltre necessario allegare una politica di fiducia che Amazon Kendra consenta di assumere il ruolo.
**Nota**
È possibile connettere un'origine SharePoint dati Microsoft a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Se hai crittografato il Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito, fornisci una politica per consentire Amazon Kendra l'accesso alla chiave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM ruoli per SharePoint Connector v2.0
Per un'origine dati Microsoft SharePoint Connector v2.0, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene le credenziali di autenticazione per il SharePoint sito. Per ulteriori informazioni sul contenuto del segreto, vedi [Origini SharePoint dati Microsoft](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Gestione dei segreti AWS
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
+ Autorizzazione ad accedere al Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito.
È inoltre necessario allegare una politica di fiducia che Amazon Kendra consenta di assumere il ruolo.
**Nota**
È possibile connettere un'origine SharePoint dati Microsoft a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Se hai crittografato il Amazon S3 bucket che contiene il certificato SSL utilizzato per comunicare con il SharePoint sito, fornisci una politica per consentire Amazon Kendra l'accesso alla chiave.
Una politica di fiducia per consentire di Amazon Kendra assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini dati Microsoft SQL Server
Quando si utilizza Microsoft SQL Server, si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare l'istanza di Microsoft SQL Server.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Microsoft SQL Server.
+ Autorizzazione a chiamare `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Microsoft SQL Server a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini dati di Microsoft Teams
Quando utilizzi un'origine dati Microsoft Teams, fornisci un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
+ Autorizzazione a ottenere e decrittografare il Gestione dei segreti AWS segreto che contiene l'ID client e il segreto del client necessari per connettersi a Microsoft Teams. Per ulteriori informazioni sul contenuto del segreto, consulta [Origini dati di Microsoft Teams](https://docs.aws.amazon.com/kendra/latest/dg/data-source-teams.html).
**Nota**
Puoi connettere un'origine dati Microsoft Teams a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La seguente IAM politica fornisce le autorizzazioni necessarie:
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le origini dati Microsoft Yammer
Quando si utilizza un'origine dati Microsoft Yammer, si fornisce un ruolo Amazon Kendra con le autorizzazioni necessarie per la connessione al sito. Ciò include:
+ Autorizzazione a ottenere e decrittografare il Gestione dei segreti AWS segreto che contiene l'ID dell'applicazione e la chiave segreta necessari per connettersi al sito Microsoft Yammer. Per ulteriori informazioni sul contenuto del segreto, vedere Origini [dati di Microsoft Yammer](https://docs.aws.amazon.com/kendra/latest/dg/data-source-yammer.html).
+ Autorizzazione a utilizzare e. [BatchPutDocument[BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html)](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) APIs
**Nota**
È possibile connettere un'origine dati Microsoft Yammer a Amazon Kendra through. Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Se stai archiviando l'elenco di utenti da indicizzare in un Amazon S3 bucket, devi anche fornire l'autorizzazione per utilizzare l'operazione `GetObject` S3. La seguente IAM politica fornisce le autorizzazioni necessarie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-ids}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com",
"s3.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per sorgenti dati MySQL
Quando si utilizza un connettore di origine dati My SQL, si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza di origine dati My SQL.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati My SQL.
+ Autorizzazione a chiamare `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati MySQL a through. Amazon Kendra Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Oracle
Quando si utilizza un connettore di origine dati Oracle, si fornisce un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza dell'origine dati Oracle.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati Oracle.
+ Autorizzazione a chiamare `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Oracle a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le sorgenti dati PostgreSQL
Quando utilizzi un connettore di origine dati PostgreSQL, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto per autenticare l'istanza di origine dati PostgreSQL.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore di origine dati PostgreSQL.
+ Autorizzazione a chiamare`BatchPutDocument`,`BatchDeleteDocument`, `PutPrincipalMapping``DeletePrincipalMapping`, `DescribePrincipalMapping` e. `ListGroupsOlderThanOrderingId` APIs
**Nota**
È possibile connettere un'origine dati PostgreSQL a through. Amazon Kendra Amazon VPC[Se si utilizza un Amazon VPC, è necessario aggiungere autorizzazioni aggiuntive.](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Quip
Quando usi Quip, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Quip.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Quip.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere una fonte di dati Quip a Amazon Kendra tramite Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{your-index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{your-index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Salesforce
Quando utilizzi Salesforce come fonte di dati, fornisci un ruolo con le seguenti politiche:
+ Autorizzazione ad accedere al Gestione dei segreti AWS segreto che contiene il nome utente e la password per il sito Salesforce. Per ulteriori informazioni sul contenuto del segreto, consulta le fonti di dati di [Salesforce](https://docs.aws.amazon.com/kendra/latest/dg/data-source-salesforce.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
**Nota**
È possibile connettere un'origine dati Salesforce a Amazon Kendra through. Amazon VPC Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di ServiceNow dati
Quando utilizzi un ServiceNow come fonte di dati, fornisci un ruolo con le seguenti politiche:
+ Autorizzazione ad accedere al Secrets Manager segreto che contiene il nome utente e la password per il ServiceNow sito. Per ulteriori informazioni sul contenuto del segreto, consulta le [fonti di ServiceNow dati](https://docs.aws.amazon.com/kendra/latest/dg/data-source-servicenow.html).
+ Autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare il nome utente e la password segreti memorizzati da. Secrets Manager
+ Autorizzazione all'uso `BatchPutDocument` e alle `BatchDeleteDocument` operazioni di aggiornamento dell'indice.
**Nota**
È possibile connettere un'origine ServiceNow dati a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Slack
Quando usi Slack, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare Slack.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Slack.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
Puoi connettere una fonte di dati Slack a Amazon Kendra . Amazon VPC Se utilizzi un Amazon VPC, devi aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ruoli per le fonti di dati Zendesk
Quando utilizzi Zendesk, fornisci un ruolo con le seguenti politiche.
+ Autorizzazione ad accedere al tuo Gestione dei segreti AWS segreto per autenticare la tua Zendesk Suite.
+ Autorizzazione a chiamare il pubblico richiesto APIs per il connettore Zendesk.
+ Autorizzazione a chiamare il `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,, `DeletePrincipalMapping``DescribePrincipalMapping`, e `ListGroupsOlderThanOrderingId` APIs.
**Nota**
È possibile connettere un'origine dati Zendesk a Amazon Kendra through Amazon VPC. Se si utilizza un Amazon VPC, è necessario aggiungere [autorizzazioni aggiuntive](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{secret-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}",
"arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:{{123456789012}}:index/{{index-id}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## Ruolo del cloud privato virtuale (VPC) IAM
Se utilizzi un cloud privato virtuale (VPC) per connetterti alla tua origine dati, devi fornire le seguenti autorizzazioni aggiuntive.
### Ruolo VPC IAM
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:subnet/[[{{subnet_ids}}]]",
"arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:security-group/[[{{security_group}}]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{{{account_id}}}}_{{{{index_id}}}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{{{region}}}}:{{{{account_id}}}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{{{account_id}}}}_{{{{index_id}}}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}
```
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM ruoli per le domande frequenti (FAQs)
Quando si utilizza l'[CreateFaq](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateFaq.html)API per caricare domande e risposte in un indice, è necessario fornire Amazon Kendra un IAM ruolo con accesso al Amazon S3 bucket che contiene i file di origine. Se i file di origine sono crittografati, è necessario fornire l'autorizzazione a utilizzare la chiave master AWS KMS del cliente (CMK) per decrittografare i file.
### IAM ruoli per FAQs
Una politica di ruolo obbligatoria per consentire l'accesso Amazon Kendra a un Amazon S3 bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i file in un bucket. Amazon S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM ruoli per i suggerimenti di interrogazione
Quando si utilizza un Amazon S3 file come elenco di blocchi di suggerimenti per le interrogazioni, si fornisce un ruolo autorizzato ad accedere al Amazon S3 file e al Amazon S3 bucket. Se il file di testo della lista di blocco (il Amazon S3 file) nel Amazon S3 bucket è crittografato, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
### IAM ruoli per i suggerimenti di interrogazione
Una politica di ruolo obbligatoria che consente di Amazon Kendra utilizzare il Amazon S3 file come elenco di blocchi per i suggerimenti di interrogazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM ruoli per la mappatura principale di utenti e gruppi
Quando utilizzi l'[PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html)API per mappare gli utenti ai rispettivi gruppi per filtrare i risultati della ricerca in base al contesto dell'utente, devi fornire un elenco di utenti o sottogruppi che appartengono a un gruppo. Se l'elenco include più di 1000 utenti o sottogruppi per gruppo, devi fornire un ruolo con l'autorizzazione ad accedere al Amazon S3 file dell'elenco e al bucket. Amazon S3 Se il file di testo (il Amazon S3 file) dell'elenco nel Amazon S3 bucket è crittografato, è necessario fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per decrittografare i documenti.
### IAM ruoli per la mappatura principale
Una politica di ruolo obbligatoria Amazon Kendra per consentire l'utilizzo del Amazon S3 file come elenco di utenti e sottogruppi che appartengono a un gruppo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
]
}
]
}
```
------
Una politica di ruolo opzionale che consente di Amazon Kendra utilizzare una chiave master AWS KMS del cliente (CMK) per decrittografare i documenti in un bucket. Amazon S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
}
]
}
```
------
Una politica di fiducia per consentire di assumere un ruolo Amazon Kendra .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Si consiglia di includere `aws:sourceAccount` e `aws:sourceArn` nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se `aws:sourceAccount` e `aws:sourceArn` sono le stesse fornite nella politica di IAM ruolo per l'azione`sts:AssumeRole`. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del [vice confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
## IAM ruoli per AWS IAM Identity Center
Quando si utilizza l'[UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)oggetto per recuperare i livelli di accesso di gruppi e utenti da una fonte di AWS IAM Identity Center identità, è necessario fornire un ruolo con autorizzazione di accesso IAM Identity Center.
### IAM ruoli per AWS IAM Identity Center
Una politica di ruolo obbligatoria per consentire l' Amazon Kendra accesso IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}
```
------
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM ruoli per Amazon Kendra le esperienze
Quando utilizzi [CreateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateExperience.html)o [UpdateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateExperience.html) APIs per creare o aggiornare un'applicazione di ricerca, devi fornire un ruolo autorizzato ad accedere alle operazioni necessarie e a IAM Identity Center.
### IAM ruoli per l'esperienza Amazon Kendra di ricerca
Una politica di ruolo obbligatoria per consentire l'accesso Amazon Kendra a `Query` operazioni, `QuerySuggestions` `SubmitFeedback` operazioni e a IAM Identity Center che archivia le informazioni su utenti e gruppi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}/data-source/{{data-source-id}}",
"arn:aws:kendra:{{us-east-1}}:{{123456789012}}:index/{{index-id}}/faq/{{faq-id}}"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
Una politica di fiducia Amazon Kendra per consentire di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Si consiglia di includere `aws:sourceAccount` e `aws:sourceArn` nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se `aws:sourceAccount` e `aws:sourceArn` sono le stesse fornite nella politica di IAM ruolo per l'azione`sts:AssumeRole`. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del [vice confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
## IAM ruoli per Custom Document Enrichment
Quando si utilizza l'[CustomDocumentEnrichmentConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CustomDocumentEnrichmentConfiguration.html)oggetto per applicare modifiche avanzate ai metadati e al contenuto del documento, è necessario fornire un ruolo con le autorizzazioni necessarie per l'esecuzione e/o. `PreExtractionHookConfiguration` `PostExtractionHookConfiguration` È possibile configurare una funzione Lambda per `PreExtractionHookConfiguration` e/o applicare modifiche avanzate `PostExtractionHookConfiguration` ai metadati e ai contenuti del documento durante il processo di inserimento. Se scegli di attivare Server Side Encryption per il tuo Amazon S3 bucket, devi fornire l'autorizzazione a utilizzare la chiave master del AWS KMS cliente (CMK) per crittografare e decrittografare gli oggetti memorizzati nel bucket. Amazon S3
### IAM ruoli per Custom Document Enrichment
Una politica dei ruoli obbligatoria Amazon Kendra per consentire l'esecuzione `PreExtractionHookConfiguration` e `PostExtractionHookConfiguration` con crittografia per il Amazon S3 bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:{{us-east-1}}:{{123456789012}}:function:{{lambda-function}}"
}
]
}
```
------
Una politica di ruolo opzionale per Amazon Kendra consentirne l'esecuzione `PreExtractionHookConfiguration` e `PostExtractionHookConfiguration` senza crittografia per il Amazon S3 bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{bucket-name}}"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:{{us-east-1}}:{{123456789012}}:function:{{lambda-function}}"
}
]
}
```
------
Una politica di fiducia per consentire Amazon Kendra di assumere un ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Si consiglia di includere `aws:sourceAccount` e `aws:sourceArn` nella politica di fiducia. Ciò limita le autorizzazioni e verifica in modo sicuro se `aws:sourceAccount` e `aws:sourceArn` sono le stesse fornite nella politica di IAM ruolo per l'azione`sts:AssumeRole`. Ciò impedisce alle entità non autorizzate di accedere ai tuoi IAM ruoli e alle loro autorizzazioni. Per ulteriori informazioni, consulta la AWS Identity and Access Management guida sul problema del [vice confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).