前提条件 - Amazon Kendra
AWS アカウント へのサインアップ管理アクセスを持つユーザーを作成するAmazon Kendra リソース: AWS CLI、SDK、コンソール

前提条件

以下のステップは、入門ガイド演習の前提条件です。この手順では、アカウントを設定、ユーザーに代わって呼び出しを行うアクセス許可を Amazon Kendra に付与する IAM ロールを作成、Amazon S3 バケットからの文書にインデックスを作成する方法について説明します。例として S3 バケットを使用しますが、Amazon Kendra がサポートする他のデータソースを使用することもできます。「Data sources」を参照してください。

AWS アカウント へのサインアップ

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウントにサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/[マイアカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理アクセスを持つユーザーを作成する

AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。

AWS アカウントのルートユーザーをセキュリティで保護する

  1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS マネジメントコンソール にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」で AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする方法 (コンソール) を確認してください。

管理アクセスを持つユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。

  2. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

    IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「 Configure user access with the default IAM アイデンティティセンターディレクトリ」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM アイデンティティセンターユーザーを使用してサインインする方法については、「AWS サインイン User Guide」の「Signing in to the AWS access portal」を参照してください。

追加のユーザーにアクセス権を割り当てる

  1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成するを参照してください

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「Add groups」を参照してください。

  • Amazon Kendra をテストするためにドキュメントを含む S3 バケットを使用している場合は、Amazon Kendra を使用しているのと同じリージョンに S3 バケットを作成します。手順については、Amazon Simple Storage Service コンソールユーザーガイドS3 バケットの作成と設定を参照してください。

    ドキュメントを S3 バケットにアップロードします。手順については、Amazon Simple Storage Service ユーザーガイドオブジェクトのアップロード、ダウンロードおよび管理を参照してください。

    別のデータソースを使用している場合は、データソースに接続するためのアクティブなサイトと認証情報が必要です。

コンソールを使用して開始する場合は、Amazon Kendra コンソールの使用をスタートする で開始します。

Amazon Kendra リソース: AWS CLI、SDK、コンソール

CLI、SDK、またはコンソールを使用する場合は、特定の権限が必要です。

CLI、SDK、またはコンソールに Amazon Kendra を使用するには、ユーザーに代わってリソースを作成および管理できる権限を Amazon Kendra に許可する必要があります。ユースケースによっては、これらの権限には、Amazon Kendra API 自体へ、カスタム CMK を使用してデータを暗号化する場合は AWS KMS keys へ、AWS IAM Identity Center と統合または検索エクスペリエンスを作成する場合は Identity Center ディレクトリへのアクセスが含まれます。さまざまなユースケースのための権限の一覧については、「IAM roles」を参照してください。

まず、以下のアクセス許可を IAM ユーザーにアタッチする必要があります。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Stmt1644430853544",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430878150",
      "Action": "kendra:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430973706",
      "Action": [
        "sso:AssociateProfile",
        "sso:CreateManagedApplicationInstance",
        "sso:DeleteManagedApplicationInstance",
        "sso:DisassociateProfile",
        "sso:GetManagedApplicationInstance",
        "sso:GetProfile",
        "sso:ListDirectoryAssociations",
        "sso:ListProfileAssociations",
        "sso:ListProfiles"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644430999558",
      "Action": [
        "sso-directory:DescribeGroup",
        "sso-directory:DescribeGroups",
        "sso-directory:DescribeUser",
        "sso-directory:DescribeUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1644431025960",
      "Action": [
        "identitystore:DescribeGroup",
        "identitystore:DescribeUser",
        "identitystore:ListGroups",
        "identitystore:ListUsers"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

次に、CLI または SDK を使用する場合は、IAM にアクセスする Amazon CloudWatch Logs ロールとポリシーも作成する必要があります。コンソールを使用している場合は、このために IAM ロールとポリシーを作成する必要はありません。これはコンソール手順の一部として作成します。

Amazon Kendra が Amazon CloudWatch Logs にアクセスできるようにする、AWS CLI および SDK 用の IAM ロールとポリシーを作成する方法。

  1. AWS マネジメントコンソール にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

  2. 左側のメニューで、[Policies] (ポリシー) を選択し、[Create policy] (ポリシーの作成) を選択します。

  3. [JSON] を選択し、デフォルトのポリシーを以下に置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Kendra"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
            ]
        }
    ]
}

  4. [Review policy] (ポリシーの確認) を選択します。

  5. ポリシー "KendraPolicyForGettingStartedIndex" に名前を付け、[ポリシーを作成] を選択します。

  6. 左側のメニューから、[Roles] (ロール) を選択し、[Create role] (ロールの作成) を選択します。

  7. [Another AWS account] (別の アカウント) を選択し、[Account ID] (アカウント ID) にアカウント ID を入力します。[Next: Permissions] (次へ: アクセス許可) を選択します。

  8. 上記の手順で作成したポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  9. タグを追加しないでください。[Next: Review] (次へ: レビュー)を選択します。

  10. ロール "KendraRoleForGettingStartedIndex" に名前を付け、[ロールの作成] を選択します。

  11. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。[Trust relationships] (信頼関係) を選択し、[Edit trust relationship] (信頼関係の編集) を選択します。

  12. 既存の信頼関係を、次のものに置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. [Update trust policy] (信頼ポリシーの更新) を選択します。

3 つ目に、Amazon S3 を使用してドキュメントを保存する場合や、S3 を使用して Amazon Kendra をテストする場合は、バケットにアクセスするための IAM ロールとポリシーも作成する必要があります。別のデータソースを使用している場合は、「IAM roles for data sources」を参照してください。

Amazon Kendra が Amazon S3 バケットにアクセスできるようにする、IAM ロールとポリシーを作成する方法。

  1. AWS マネジメントコンソール にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

  2. 左側のメニューで、[Policies] (ポリシー) を選択し、[Create policy] (ポリシーの作成) を選択します。

  3. [JSON] を選択し、デフォルトのポリシーを以下に置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket name"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kendra:BatchPutDocument",
                "kendra:BatchDeleteDocument"
            ],
            "Resource": "arn:aws:kendra:us-east-1:123456789012:index/*"
        }
    ]
}

  4. [Review policy] (ポリシーの確認) を選択します。

  5. ポリシーに「KendraPolicyForGettingStartedDataSource」という名前を付けて、[Create policy] (ポリシーの作成) を選択します。

  6. 左側のメニューから、[Roles] (ロール) を選択し、[Create role] (ロールの作成) を選択します。

  7. [Another AWS account] (別の アカウント) を選択し、[Account ID] (アカウント ID) にアカウント ID を入力します。[Next: Permissions] (次へ: アクセス許可) を選択します。

  8. 上記の手順で作成したポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  9. タグを追加しないでください。[Next: Review] (次へ: レビュー)を選択します。

  10. ロールに「KendraRoleForGettingStartedDataSource」という名前を付けて、[Create role] (ロールの作成) を選択します。

  11. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。[Trust relationships] (信頼関係) を選択し、[Edit trust relationship] (信頼関係の編集) を選択します。

  12. 既存の信頼関係を、次のものに置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "kendra.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

  13. [Update trust policy] (信頼ポリシーの更新) を選択します。

Amazon Kendra API の使用方法に応じて、次のいずれかの操作を実行します。