Amazon Kendra の IAM アクセスロール
インデックス、データソース、またはよくある質問を作成する場合、Amazon Kendra では AWS リソースの作成に必要な Amazon Kendra リソースへのアクセス許可が必要です。Amazon Kendra リソースを作成する前に、AWS Identity and Access Management (IAM) ポリシーを作成する必要があります。オペレーションを呼び出すときに、ポリシーをアタッチしたロールの Amazon リソースネーム (ARN) を指定します。例えば Amazon S3 バケットからドキュメントを追加する BatchPutDocument API を呼び出す場合は、バケットにアクセスできるポリシーを持つロールを Amazon Kendra に提供します。
Amazon Kendra コンソールで新しい IAM ロールを作成するか、使用する IAM の既存のロールを選択できます。コンソールには、ロール名に「kendra」か、「Kendra」という文字列を含むロールが表示されます。
次のトピックでは、必要なポリシーの詳細について説明します。Amazon Kendra コンソールを使用して IAM ロールを作成すると、これらのポリシーが作成されます。
インデックスのための IAM ロール
インデックスを作成するときは、Amazon CloudWatch への書き込み許可を持つ IAM ロールを提供する必要があります。Amazon Kendra がロールを引き受けることを許可する信頼ポリシーを提供する必要があります。次のポリシーを提供する必要があります。
Amazon Kendra に CloudWatch ログへのアクセスを許可するロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
}
]
}
Amazon Kendra が AWS Secrets Manager へのアクセスを許可するロールポリシー。キーの場所として Secrets Manager とのユーザーコンテキストを使用している場合は、次のポリシーを使用できます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
BatchPutDocument API のための IAM ロール
Amazon Kendra では、Amazon Kendra プリンシパルによる S3 バケットの操作を許可するバケットポリシーを使用しません。代わりに IAM ロールを使用します。誤って任意のプリンシパルに許可を付与することによるデータセキュリティ上の問題を避けるため、Amazon Kendra が信頼できるメンバーとしてバケットポリシーに含まれていないことを確認してください。ただしバケットポリシーを追加すれば、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「複数のアカウント間で Amazon S3 を使用するポリシー」を参照してください。S3 データソースの IAM ロールについては、「IAM ロール」を参照してください。
BatchPutDocument API を使用して Amazon S3 バケット内のドキュメントをインデックス化する場合、Amazon Kendra にバケットへのアクセス許可を持つ IAM ロールを提供する必要があります。Amazon Kendra がロールを引き受けることを許可する信頼ポリシーを提供する必要があります。バケット内のドキュメントが暗号化されている場合は、ドキュメントを復号する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。
Amazon Kendra に Amazon S3 バケットへのアクセスを許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccount と aws:sourceArn が sts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。
Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
データソースのための IAM ロール
CreateDataSource API を使用する場合、リソースにアクセスするための許可を持つ Amazon Kendra ロールを IAM に付与する必要があります。必要な固有のアクセス許可は、データソースによって異なります。
Adobe Experience Manager を使用する場合、以下のようなポリシーでロールを提供します。
-
Adobe Experience Manager で認証するための AWS Secrets Manager シークレットへのアクセス許可。
-
Adobe Experience Manager コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Adobe Experience Manager データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Alfresco を使用する場合、以下のようなポリシーでロールを提供します。
-
Alfresco で認証するための AWS Secrets Manager シークレットへのアクセス許可
-
Alfresco コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Alfresco データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Aurora (MySQL) を使用する場合、以下のようなポリシーでロールを提供します。
-
Aurora (MySQL) で認証するための AWS Secrets Manager シークレットへのアクセス許可。
-
Aurora (MySQL) コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Aurora (MySQL) データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Aurora (PostgreSQL) を使用する場合、以下のようなポリシーでロールを提供します。
-
Aurora (PostgreSQL) で認証するための AWS Secrets Manager シークレットへのアクセス許可。
-
Aurora (PostgreSQL) コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Aurora (PostgreSQL) データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon FSx を使用する場合、以下のようなポリシーでロールを提供します。
-
Amazon FSx ファイルシステムの認証を行うための AWS Secrets Manager のシークレットへのアクセス許可。
-
Amazon FSx ファイルシステムがある地域の Amazon Virtual Private Cloud (VPC) へのアクセス許可 。
-
Amazon FSx ファイルシステムの Active Directory のドメイン名の取得許可。
-
Amazon FSx コネクタに必要なパブリック API アクションの呼び出し許可。
-
インデックスを更新する BatchPutDocument および BatchDeleteDocument API の呼び出し許可。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
データベースをデータソースとして使用する場合は、データベースへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
-
このサイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「データソース」を参照してください。
-
Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
-
このサイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
データベースのデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
データソースで使用できるポリシーには 2 つのオプションがあります。
このサイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、Amazon Kendra がキーにアクセスできる許可を付与するポリシーを提供します。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
VPC を使用している場合は、必要なリソースに Amazon Kendra がアクセスできる許可を付与するポリシーを提供します。必要なポリシーについては「データソースおよび VPC の IAM ロール」を参照してください。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS (Microsoft SQL Server) のデータソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon RDS (Microsoft SQL Server) データソースインスタンスを認証するための許可。
-
Amazon RDS (Microsoft SQL Server) のデータソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Amazon RDS (Microsoft SQL Server) データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS (MySQL) のデータソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Amazon RDS (MySQL) データソースインスタンスを認証するための許可。
-
Amazon RDS (MySQL) データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Amazon RDS (MySQL) データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS Oracle のデータソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Managerシークレットにアクセスして Amazon RDS (Oracle) データソースインスタンスを認証するための許可。
-
Amazon RDS (Oracle) データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Amazon RDS Oracle データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS (PostgreSQL) データソースコネクタを使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Managerシークレットにアクセスして Amazon RDS (PostgreSQL) データソースインスタンスを認証する許可。
-
Amazon RDS (PostgreSQL) データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Amazon RDS (PostgreSQL) データソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon Kendra では、Amazon Kendra プリンシパルによる S3 バケットの操作を許可するバケットポリシーを使用しません。代わりに IAM ロールを使用します。誤って任意のプリンシパルに許可を付与することによるデータセキュリティ上の問題を避けるため、Amazon Kendra が信頼できるメンバーとしてバケットポリシーに含まれていないことを確認してください。ただしバケットポリシーを追加すれば、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「複数のアカウントで Amazon S3 を使用するためのポリシー (下にスクロール)」を参照してください。
Amazon S3 バケットをデータソースとして使用する場合は、バケットへのアクセス許可を持つロールを提供し、BatchPutDocument および BatchDeleteDocument オペレーションを使用します。Amazon S3 バケット内のドキュメントが暗号化されている場合は、ドキュメントを復号する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。
以下のロールポリシーでは、Amazon Kendra がロールを引き受けられるようにする必要があります。下にスクロールすると、ロールを引き受けるための信頼ポリシーが表示されます。
データソースとしての Amazon S3 バケットへのアクセスを、Amazon Kendra に許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
}
]
}
Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon VPC を使用中に、Amazon Kendra に Amazon S3 バケットへのアクセスを許可する任意のロールポリシーで、AWS KMS のアクティベートや、AWS KMS へのアクセス許可の共有が不要。
Amazon VPC を使用中に、Amazon Kendra に Amazon S3 バケットへのアクセスを許可する任意のロールポリシーで、AWS KMS へのアクセス許可が必要。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
複数のアカウントで Amazon S3 を使用するためのポリシー
Amazon S3 バケットが、Amazon Kendra インデックスに使用しているアカウントと異なるアカウントにある場合に、複数のアカウントでそのバケットを使用するためのポリシーを作成できます。
Amazon S3 バケットが Amazon Kendra インデックスとは別のアカウントにある場合に、そのバケットをデータソースとして使用するためのロールポリシー。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。
Amazon S3 データソースロールで複数のアカウントが Amazon S3 バケットにアクセスできるようにするバケットポリシー。なお s3:PutObject および s3:PutObjectAcl はオプションであり、アクセス制御リストに設定ファイルを含めたい場合に使用してください。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon Kendra Web Crawler を使用する場合、以下のようなポリシーでロールを提供します。
-
基本認証によってバックアップされるウェブサイトまたはウェブプロキシサーバーへの接続に使用するユーザー名とパスワードが含まれている AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Web クローラーデータソースの使用」を参照してください。
-
Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
-
シード URL またはサイトマップのリストを Amazon S3 バケットに保存する場合は、Amazon S3 バケットへのアクセス許可を含めてください。
Amazon Kendra ウェブクローラーのデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
シード URL またはサイトマップを Amazon S3 バケットに保存する場合は、このアクセス許可をロールに追加する必要があります。
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Box を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Slack を認証する許可。
-
Box コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Box のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
Confluence への接続に必要な認証情報が含まれている AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Confluence データソース」を参照してください。
-
Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
Confluence のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
VPC を使用している場合は、必要なリソースに Amazon Kendra がアクセスできる許可を付与するポリシーを提供します。必要なポリシーについては「データソースおよび VPC の IAM ロール」を参照してください。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Confluence コネクタ v2.0 データソース用には、以下のようなポリシーを提供します。
-
Confluence の認証情報を含む AWS Secrets Manager シークレットにアクセスする許可。シークレットの内容の詳細については、「Confluence データソース」を参照してください。
-
AWS Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
Amazon Kendra がロールを引き受けることを許可する信頼ポリシーをアタッチする必要があります。
Confluence のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra が Confluence に接続することを許可するロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Dropbox を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Dropbox を認証する許可。
-
Dropbox コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Dropbox のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Drupal を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Drupal を認証するための許可。
-
Drupal コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Drupal のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret_id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key_id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index_id",
"arn:aws:kendra:us-east-1:111122223333:index/index_id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index_id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
GitHub を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして GitHub を認証する許可。
-
GitHub コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
GitHub のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Gmail を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Gmail を認証するための許可。
-
Gmail コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Gmail のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Google WorkSpaces Drive をデータソースとして使用する場合、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
Google Drive のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Managerシークレットにアクセスして IBM DB2 データソースインスタンスを認証する許可。
-
IBM DB2 データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
IBM DB2 のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Jira を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Jira を認証するための許可。
-
Jira コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Jira のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft Exchange をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
Microsoft Exchange のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon S3 バケットにインデックスとしてユーザーのリストを保存する場合は、S3 GetObject オペレーションの使用許可を提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft OneDrive をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
Microsoft OneDrive のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon S3 バケットにインデックスとしてユーザーのリストを保存する場合は、S3 GetObject オペレーションの使用許可を提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft SharePoint v1.0 をデータソースとして使用する場合は、以下のようなポリシーを持つロールを提供します。
-
SharePoint サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Microsoft SharePoint データソース」を参照してください。
-
AWS Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
-
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
Amazon Kendra がロールを引き受けることを許可する信頼ポリシーをアタッチする必要があります。
Microsoft SharePoint のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
SharePoint との通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、Amazon Kendra がキーにアクセスする許可を付与するポリシーを提供します。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft SharePoint Connector v2.0 をデータソースとして使用する場合は、以下のようなポリシーを持つロールを提供します。
-
SharePoint サイトの認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「Microsoft SharePoint データソース」を参照してください。
-
AWS Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
-
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
Amazon Kendra がロールを引き受けることを許可する信頼ポリシーをアタッチする必要があります。
Microsoft SharePoint のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
SharePoint との通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、Amazon Kendra がキーにアクセスする許可を付与するポリシーを提供します。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft SQL Server をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして Microsoft SQL Server インスタンスを認証する許可。
-
Microsoft SQL Server コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Microsoft SQL Server のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft Teams をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
Microsoft Teams のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
次の IAM ポリシーで、必要な許可が提供されます。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft Yammer をデータソースとして使用する場合は、サイトへの接続に必要な許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
Microsoft Yammer のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon S3 バケットにインデックスとしてユーザーのリストを保存する場合は、S3 GetObject オペレーションの使用許可を提供する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
My SQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして My SQL データソースインスタンスを認証する許可。
-
My SQL データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
MySQL のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Oracle をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Managerシークレットにアクセスして Oracle データソースインスタンスを認証する許可。
-
Oracle データソースコネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Oracle のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
PostgreSQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
AWS Secrets Manager シークレットにアクセスして PostgreSQL データソースインスタンスを認証する許可。
-
PostgreSQL データソースコネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
PostgreSQL のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Quip を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Quip を認証する許可。
-
Quip コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Quip のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id",
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Slaesforce をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
Saleseforce サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「Salesforce データソース」を参照してください。
-
Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
Salesforce のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
ServiceNow をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
-
ServiceNow サイトのユーザー名とパスワードを含む Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「ServiceNow データソース」を参照してください。
-
Secrets Manager に保存されているユーザー名とパスワードシークレットを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可。
-
インデックスを更新するために BatchPutDocument および BatchDeleteDocument オペレーションを使用する許可。
ServiceNow のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Slack を使用する場合、次のポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Slack を認証する許可。
-
Slack コネクタに必要なパブリック API アクションの呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Slack のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Zendesk を使用する場合、以下のようなポリシーでロールを提供します。
-
AWS Secrets Manager シークレットにアクセスして Zendesk Suite を認証する許可。
-
Zendesk コネクタに必要なパブリック API の呼び出し許可。
-
BatchPutDocument、BatchDeleteDocument、PutPrincipalMapping、DeletePrincipalMapping、DescribePrincipalMapping、および ListGroupsOlderThanOrderingId API を呼び出す許可。
Zendesk のデータソースは、Amazon VPC を介して Amazon Kendra に接続できます。Amazon VPC を使用している場合は、追加のアクセス許可を付与する必要はありません。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Virtual Private Cloud (VPC) のための IAM ロール
仮想プライベートクラウド (VPC) を使用してデータソースに接続する場合は、次の追加の許可を提供する必要があります。
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
よくある質問 (FAQ) のための IAM ロール
CreateFaq API を使用して質問と回答をインデックスにロードする場合、ソースファイルを含む Amazon S3 バケットへのアクセス許可を持つ IAM ロールを、Amazon Kendra に提供する必要があります。ソースファイルが暗号化されている場合は、ファイルを復号する AWS KMS カスタマーマスターキー (CMK) を使用する許可を提供する必要があります。
Amazon Kendra に Amazon S3 バケットへのアクセスを許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon Kendra が Amazon S3 バケットにあるファイルを復号するため、AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
クエリ提案のための IAM ロール
Amazon S3 ファイルをクエリ提案ブロックリストとして使用する場合、Amazon S3 ファイルおよび Amazon S3 バケットへのアクセス許可を持つロールを提供します。Amazon S3 バケット内のブロックリストテキストファイル (Amazon S3 ファイル) が暗号化されている場合は、ドキュメントを復号化する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。
Amazon Kendra がクエリ提案ブロックリストとして Amazon S3 ファイルを使用することを許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
ユーザーとグループのプリンシパルマッピングを行うための IAM ロール
PutPrincipalMapping API を使用してユーザーをグループにマッピングし、検索結果をユーザーコンテキストでフィルタリングするには、グループに属するユーザーまたはサブグループのリストを提供する必要があります。リストが 1 つのグループにつき 1,000 を超えるユーザーまたはサブグループを含む場合は、リストおよび Amazon S3 バケットにある Amazon S3 ファイルへのアクセス許可を持つロールを提供する必要があります。Amazon S3 バケット内のリストのテキスト (Amazon S3 ファイル) が暗号化されている場合は、ドキュメントを復号化する AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。
Amazon Kendra がグループに属するユーザーおよびサブグループのリストとして Amazon S3 ファイルを使用することを許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon S3 バケットのドキュメントを復号するため、Amazon Kendra に AWS KMS カスタマーマスターキー (CMK) の使用を許可する任意のロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccount と aws:sourceArn が sts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。
AWS IAM Identity Center のための IAM ロール
UserGroupResolutionConfiguration オブジェクトを使用して、AWS IAM Identity Center アイデンティティソースからグループおよびユーザーのアクセスレベルを取得する場合、IAM Identity Center へのアクセス許可を持つロールを提供する必要があります。
Amazon Kendra が IAM Identity Center にアクセスできるようにする必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon Kendra エクスペリエンスのための IAM ロール
CreateExperience API または UpdateExperience API を使用して、検索アプリケーションを作成または更新する場合、必要なオペレーションおよび IAM Identity Center へのアクセス許可を持つロールを提供する必要があります。
Amazon Kendra が Query オペレーション、QuerySuggestions オペレーション、SubmitFeedbackオペレーション、およびユーザーおよびグループの情報を保存する IAM Identity Center へのアクセスを許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/data-source-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccount と aws:sourceArn が sts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。
Custom Document Enrichment のための IAM ロール
CustomDocumentEnrichmentConfiguration オブジェクトを使用してドキュメントのメタデータとコンテンツの高度な変更を適用する場合、PreExtractionHookConfiguration および/または PostExtractionHookConfiguration の実行に必要な許可を持つロールを提供する必要があります。PreExtractionHookConfiguration および/または PostExtractionHookConfiguration の Lambda 関数を設定して、取り込みプロセス中にドキュメントのメタデータとコンテンツの高度な変更を適用します。Amazon S3 バケットの [サーバー側の暗号化] を有効にする場合は、Amazon S3 バケットに保存されているオブジェクトを暗号化および復号するための AWS KMS カスタマーマスターキー (CMK) の使用許可を提供する必要があります。
Amazon Kendra が Amazon S3 バケットの暗号化を使用して PreExtractionHookConfiguration および PostExtractionHookConfiguration を実行することを許可する必須ロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
Amazon Kendra が Amazon S3 バケットの暗号化を使用せずに PreExtractionHookConfiguration および PostExtractionHookConfiguration を実行することを許可するための任意のロールポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
Amazon Kendra がロールを引き受けるための許可を付与する信頼ポリシー。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
信頼ポリシーにはaws:sourceAccount と aws:sourceArn を含めることをお勧めします。これにより、aws:sourceAccount と aws:sourceArn が sts:AssumeRole アクションの IAM ロールポリシーで提供されるものと同じであった場合に、アクセス許可とセキュリティチェックが制限されます。また権限のないエンティティが IAM ロールとその権限にアクセスするのを防止できます。詳細については、「AWS Identity and Access Management ガイド」の「混乱した代理問題」を参照してください。
