AWSAmazon Kendra の 管理ポリシー - Amazon Kendra
AmazonKendraReadOnlyAmazonKendraFullAccessポリシーの更新

AWSAmazon Kendra の 管理ポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスはAWS マネージドポリシーから権限を削除しないため、ポリシーの更新によって既存の権限が破棄されることはありません。

さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーのリストと詳細については、IAM ユーザーガイドジョブ機能に関する AWS 管理ポリシーを参照してください。

AWS 管理ポリシー: AmazonKendraReadOnly

Amazon Kendra リソースに読み取り専用アクセスを付与します。このポリシーには、以下のアクセス許可が含まれています。

  • kendra - ユーザーは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、DescribeListQueryBatchGetDocumentStatusGetQuerySuggestions、または GetSnapshots で始まる API 演算が含まれます。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "kendra:Describe*",
                "kendra:List*",
                "kendra:Query",
                "kendra:BatchGetDocumentStatus",
                "kendra:GetQuerySuggestions",
                "kendra:GetSnapshots"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 管理ポリシー: AmazonKendraFullAccess

すべての Amazon Kendra リソースの作成、読み取り、更新、削除、タグ付け、および実行を行うためのフルアクセスを付与します。このポリシーには、以下のアクセス許可が含まれています。

  • kendra - プリンシパルに Amazon Kendra 内のすべてのアクションへの読み取りおよび書き込みアクセスを許可します。

  • s3 - プリンシパルに Amazon S3 バケットの場所を取得してバケットを一覧表示できるようにします。

  • iam - プリンシパルがロールを渡して一覧表示できるようにします。

  • kms - プリンシパルが AWS KMS キーとエイリアスを記述および一覧表示できるようにします。

  • secretsmanager - プリンシパルが、シークレットの作成、記述、一覧表示ができるようにします。

  • ec2 - プリンシパルがセキュリティグループ、VCP (仮想プライベートクラウド)、およびサブネットを記述できるようにします。

  • cloudwatch - プリンシパルが Cloud Watch メトリクスを表示できるようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kendra.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListKeys",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonKendra-*"
        },
        {
            "Effect": "Allow",
            "Action": "kendra:*",
            "Resource": "*"
        }
    ]
}

Amazon Kendra での AWS 管理ポリシーに関する更新

Amazon Kendra の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するには、Amazon Kendra ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

AmazonKendraReadOnly - GetSnapshots、BatchGetDocumentStatus API をサポートする権限を追加する

Amazon Kendra には新しい API GetSnapshots および BatchGetDocumentStatus が追加されました。GetSnapshots はユーザーの検索アプリケーションとのやり取りを示すデータを提供します。BatchGetDocumentStatus はドキュメントのインデックス作成の進行状況を監視します。

 2022 年 1 月 3 日

AmazonKendraReadOnly - GetQuerySugests 演算をサポートする許可を追加する

Amazon Kendra に、一般的な検索クエリのクエリ提案を取得でき、ユーザーの検索をガイドできる新しい GetQuerySuggestions を追加しました。ユーザーが検索クエリを入力すると、提案されるクエリが検索のオートコンプリートを手助けします。

 2021 年 5 月 27 日

Amazon Kendra が変更の追跡を開始しました。

Amazon Kendra が AWS 管理ポリシーの変更の追跡を開始しました。

 2021 年 5 月 27 日