翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 前提条件
以下のステップは、入門ガイド演習の前提条件です。この手順では、アカウントをセットアップし、ユーザーに代わって呼び出しを行うアクセス許可を付与 Amazon Kendra する IAM ロールを作成し、 Amazon S3 バケットからドキュメントのインデックスを作成する方法を示します。例として S3 バケットを使用しますが、 Amazon Kendra がサポートする他のデータソースを使用することもできます。「[Data sources](https://docs.aws.amazon.com/kendra/latest/dg/hiw-data-source.html)」を参照してください。
## にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
## 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
+ テストにドキュメントを含む S3 バケットを使用している場合は Amazon Kendra、使用しているリージョンと同じリージョンに S3 バケットを作成します Amazon Kendra。手順については、*Amazon Simple Storage Service コンソールユーザーガイド*の [S3 バケットの作成と設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-configure-bucket.html)を参照してください。
ドキュメントを S3 バケットにアップロードします。手順については、*Amazon Simple Storage Service ユーザーガイド*の[オブジェクトのアップロード、ダウンロードおよび管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-download-objects.html)を参照してください。
別のデータソースを使用している場合は、データソースに接続するためのアクティブなサイトと認証情報が必要です。
コンソールを使用して開始する場合は、[Amazon Kendra コンソールの開始方法](gs-console.md) で開始します。
## Amazon Kendra リソース: AWS CLI、SDK、コンソール
CLI、SDK、またはコンソールを使用する場合は、特定の権限が必要です。
を CLI、SDK、またはコンソール Amazon Kendra に使用するには、 がユーザーに代わってリソースを作成および管理 Amazon Kendra できるようにするアクセス許可が必要です。ユースケースに応じて、これらのアクセス許可には Amazon Kendra API 自体へのアクセスが含まれます。カスタム CMK を介してデータを暗号化 AWS KMS keys する場合は、 と統合 AWS IAM アイデンティティセンター するか、[検索エクスペリエンスを作成する](https://docs.aws.amazon.com/kendra/latest/dg/deploying-search-experience-no-code.html)場合は Identity Center ディレクトリを使用します。さまざまなユースケースのための権限の一覧については、「[IAM roles](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html)」を参照してください。
まず、以下のアクセス許可を IAM ユーザーにアタッチする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1644430853544",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "Stmt1644430878150",
"Action": "kendra:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "Stmt1644430973706",
"Action": [
"sso:AssociateProfile",
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:DisassociateProfile",
"sso:GetManagedApplicationInstance",
"sso:GetProfile",
"sso:ListDirectoryAssociations",
"sso:ListProfileAssociations",
"sso:ListProfiles"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "Stmt1644430999558",
"Action": [
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUser",
"sso-directory:DescribeUsers"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "Stmt1644431025960",
"Action": [
"identitystore:DescribeGroup",
"identitystore:DescribeUser",
"identitystore:ListGroups",
"identitystore:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
次に、 CLI または SDK を使用する場合は、アクセスする IAM ロールとポリシーも作成する必要があります Amazon CloudWatch Logs。コンソールを使用している場合は、このロール IAM とポリシーを作成する必要はありません。これはコンソール手順の一部として作成します。
**が にアクセス Amazon Kendra することを許可する および SDK の IAM ロール AWS CLI とポリシーを作成するには Amazon CloudWatch Logs。**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左側のメニューで、**[Policies]** (ポリシー) を選択し、**[Create policy]** (ポリシーの作成) を選択します。
1. **[JSON]** を選択し、デフォルトのポリシーを以下に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
]
}
]
}
```
------
1. **[Review policy]** (ポリシーの確認) を選択します。
1. ポリシー "KendraPolicyForGettingStartedIndex" に名前を付け、**[ポリシーを作成]** を選択します。
1. 左側のメニューから、**[Roles]** (ロール) を選択し、**[Create role]** (ロールの作成) を選択します。
1. **別の AWS アカウント**を選択し、アカウント ID に**アカウント ID** を入力します。**[Next: Permissions]** (次へ: アクセス許可) を選択します。
1. 上記の手順で作成したポリシーを選択し、**[Next: Tags]** (次へ: タグ) を選択します。
1. タグを追加しないでください。**[Next: Review]** (次へ: レビュー)を選択します。
1. ロール "KendraRoleForGettingStartedIndex" に名前を付け、**[ロールの作成]** を選択します。
1. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。**[Trust relationships]** (信頼関係) を選択し、**[Edit trust relationship]** (信頼関係の編集) を選択します。
1. 既存の信頼関係を、次のものに置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kendra.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **[Update trust policy]** (信頼ポリシーの更新) を選択します。
3 つ目 Amazon S3 は、 を使用してドキュメントを保存する場合、または S3 を使用してテストする場合は Amazon Kendra、バケットにアクセスするための IAM ロールとポリシーも作成する必要があります。別のデータソースを使用している場合は、「[IAM roles for data sources](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds)」を参照してください。
**バケットへのアクセスとインデックス作成 Amazon Kendra を に許可する IAM ロールとポリシーを作成するには Amazon S3 。**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左側のメニューで、**[Policies]** (ポリシー) を選択し、**[Create policy]** (ポリシーの作成) を選択します。
1. **[JSON]** を選択し、デフォルトのポリシーを以下に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/*"
}
]
}
```
------
1. **[Review policy]** (ポリシーの確認) を選択します。
1. ポリシーに「KendraPolicyForGettingStartedDataSource」という名前を付けて、**[Create policy]** (ポリシーの作成) を選択します。
1. 左側のメニューから、**[Roles]** (ロール) を選択し、**[Create role]** (ロールの作成) を選択します。
1. **別の AWS アカウント**を選択し、アカウント ID に**アカウント ID** を入力します。**[Next: Permissions]** (次へ: アクセス許可) を選択します。
1. 上記の手順で作成したポリシーを選択し、**[Next: Tags]** (次へ: タグ) を選択します。
1. タグを追加しないでください。**[Next: Review]** (次へ: レビュー)を選択します。
1. ロールに「KendraRoleForGettingStartedDataSource」という名前を付けて、**[Create role]** (ロールの作成) を選択します。
1. 先ほど作成したロールを検索します。ロールの名前を選択し、[概要] を開きます。**[Trust relationships]** (信頼関係) を選択し、**[Edit trust relationship]** (信頼関係の編集) を選択します。
1. 既存の信頼関係を、次のものに置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kendra.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **[Update trust policy]** (信頼ポリシーの更新) を選択します。
Amazon Kendra API の使用方法に応じて、次のいずれかを実行します。
+ [開始方法 (AWS CLI)](gs-cli.md)
+ [開始方法 (AWS SDK for Java)](gs-java.md)
+ [開始方法 (AWS SDK for Python (Boto3))](gs-python.md)