Amazon Kendra에 대한 IAM 액세스 역할
인덱스, 데이터 소스 또는 FAQ를 만들 때 Amazon Kendra는 Amazon Kendra 리소스를 만드는 데 필요한 AWS 리소스에 대한 액세스 권한이 필요합니다. Amazon Kendra 리소스를 생성하기 전에 AWS Identity and Access Management(IAM) 정책을 만들어야 합니다. 작업을 호출할 때 연결된 정책과 함께 역할의 Amazon 리소스 이름(ARN)을 제공합니다. 예를 들어 BatchPutDocument API를 호출하여 Amazon S3 버킷의 문서를 추가하는 경우 버킷에 액세스할 수 있는 정책이 포함된 역할을 Amazon Kendra에 제공합니다.
Amazon Kendra 콘솔에서 새 IAM 역할을 생성하거나 사용할 기존 IAM 역할을 선택합니다. 콘솔에는 역할 이름에 “kendra” 또는 “Kendra”라는 문자열이 있는 역할이 표시됩니다.
다음 주제에서는 필수 정책에 대한 세부 정보를 제공합니다. Amazon Kendra 콘솔을 사용하여 IAM 역할을 생성하는 경우 이러한 정책이 자동으로 생성됩니다.
인덱스의 IAM 역할
인덱스를 만들 때는 Amazon CloudWatch에 쓸 수 있는 권한이 있는 IAM 역할을 제공해야 합니다. Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책도 제공해야 합니다. 제공해야 하는 정책은 다음과 같습니다.
Amazon Kendra가 CloudWatch 로그에 액세스하도록 허용하는 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
}
]
}
Amazon Kendra가 AWS Secrets Manager에 액세스하도록 허용하는 역할 정책. Secrets Manager와의 사용자 컨텍스트를 키 위치로 사용하는 경우 다음 정책을 사용할 수 있습니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
BatchPutDocument API의 IAM 역할
Amazon Kendra는 Amazon Kendra보안 주체에게 S3 버킷과 상호 작용할 수 있는 권한을 부여하는 버킷 정책을 사용하지 않습니다. 대신 IAM 역할을 사용합니다. 실수로 임의의 보안 주체에게 권한을 부여하여 데이터 보안 문제가 발생하지 않도록, 버킷 정책에 Amazon Kendra가 신뢰할 수 있는 구성원으로 포함되지 않도록 하세요. 하지만 여러 계정에서 Amazon S3 버킷을 사용하도록 버킷 정책을 추가할 수 있습니다. 자세한 내용은 계정 간 Amazon S3 사용 정책을 참조하세요. S3 데이터 소스의 IAM 역할에 대한 자세한 내용은 IAM 역할을 참조하세요.
BatchPutDocument API를 사용하여 Amazon S3 버킷의 문서를 인덱싱하는 경우 버킷에 액세스할 수 있는 IAM 역할을 Amazon Kendra에 제공해야 합니다. Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책도 제공해야 합니다. 버킷의 문서가 암호화된 경우 CMK(AWS KMS 고객 마스터 키)를 사용하여 문서를 해독할 수 있는 권한을 제공해야 합니다.
Amazon Kendra가 Amazon S3 버킷에 액세스하도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
신뢰 정책에 aws:sourceAccount 및 aws:sourceArn을 포함하는 것이 좋습니다. 이렇게 하면 권한이 제한되고 aws:sourceAccount 및 aws:sourceArn이 해당 sts:AssumeRole 작업에 대한 IAM 역할 정책에 제공된 것과 동일한지 안전하게 확인할 수 있습니다. 그러면 권한 없는 개체가 사용자의 IAM 역할과 권한에 액세스하는 것을 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 설명서의 혼동된 대리자 문제를 참조하세요.
Amazon Kendra가 AWS KMS 고객 마스터 키(CMK)를 사용하여 Amazon S3 버킷의 문서를 해독할 수 있도록 허용하는 선택적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
데이터 소스에 대한 IAM 역할
CreateDataSource API를 사용할 때는 리소스에 액세스할 권한이 있는 IAM 역할을 Amazon Kendra에 부여해야 합니다. 필요한 구체적인 권한은 데이터 소스에 따라 다릅니다.
Adobe Experience Manager를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
AWS Secrets Manager 보안 암호에 액세스하여 Adobe Experience Manager를 인증할 수 있는 권한.
-
Adobe Experience Manager 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Adobe Experience Manager 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Alfresco를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Alfresco를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Alfresco 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Alfresco 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Aurora(MySQL)를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Aurora(MySQL)를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Aurora(MySQL) 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Aurora(MySQL) 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Aurora(PostgreSQL)를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Aurora(PostgreSQL)를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Aurora(PostgreSQL) 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Aurora(PostgreSQL) 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon FSx를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Amazon FSx 파일 시스템을 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한
-
Amazon FSx 파일 시스템이 위치한 Amazon Virtual Private Cloud(VPC)에 액세스할 수 있는 권한
-
Amazon FSx 파일 시스템용 Active Directory의 도메인 이름을 가져올 수 있는 권한
-
Amazon FSx 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
인덱스를 업데이트하기 위해 BatchPutDocument 및 BatchDeleteDocument API를 호출할 수 있는 권한.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
데이터베이스를 데이터 소스로 사용하는 경우 연결에 필요한 권한이 있는 역할을 Amazon Kendra에 제공합니다. 다음이 포함됩니다.
-
사이트의 사용자 이름과 암호가 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 데이터 소스를 참조하세요.
-
Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
-
사이트와 통신하는 데 사용되는 SSL 인증서가 포함된 Amazon S3 버킷에 액세스할 수 있는 권한.
Amazon VPC를 통해 데이터베이스 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
데이터 소스에 사용할 수 있는 두 가지 선택적 정책이 있습니다.
통신에 사용되는 SSL 인증서가 포함된 Amazon S3 버킷을 암호화한 경우, Amazon Kendra에 키 액세스 권한을 부여하는 정책을 제공하세요.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
VPC를 사용하는 경우 필요한 리소스 액세스 권한을 Amazon Kendra에 제공하는 정책을 제공하세요. 필요한 정책은 데이터 소스, VPC에 대한 IAM 역할을 참조하세요.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS(Microsoft SQL Server) 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Amazon RDS(Microsoft SQL Server) 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Amazon RDS(Microsoft SQL Server) 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Amazon RDS(Microsoft SQL Server) 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS(MySQL) 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Amazon RDS(MySQL) 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Amazon RDS(MySQL) 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Amazon RDS(MySQL) 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS Oracle 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Amazon RDS(Oracle) 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Amazon RDS(Oracle) 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Amazon RDS Oracle 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon RDS (PostgreSQL) 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Amazon RDS(PostgreSQL) 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Amazon RDS(PostgreSQL) 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Amazon RDS(PostgreSQL) 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon Kendra는 Amazon Kendra보안 주체에게 S3 버킷과 상호 작용할 수 있는 권한을 부여하는 버킷 정책을 사용하지 않습니다. 대신 IAM 역할을 사용합니다. 실수로 임의의 보안 주체에게 권한을 부여하여 데이터 보안 문제가 발생하지 않도록, 버킷 정책에 Amazon Kendra가 신뢰할 수 있는 구성원으로 포함되지 않도록 하세요. 하지만 여러 계정에서 Amazon S3 버킷을 사용하도록 버킷 정책을 추가할 수 있습니다. 자세한 내용은 여러 계정에서 Amazon S3를 사용할 수 있는 정책(아래로 스크롤) 섹션을 참조하세요.
Amazon S3 버킷을 데이터 소스로 사용하는 경우 버킷에 액세스하고 BatchPutDocument 및 BatchDeleteDocument 작업을 사용할 권한이 있는 역할을 제공합니다. Amazon S3 버킷의 문서가 암호화된 경우 CMK(AWS KMS 고객 마스터 키)를 사용하여 문서를 해독할 수 있는 권한을 제공해야 합니다.
다음 역할 정책은 Amazon Kendra의 역할 수임을 허용해야 합니다. 아래로 스크롤하여 역할 수임을 위한 신뢰 정책을 확인하세요.
Amazon Kendra가 Amazon S3 버킷을 데이터 소스로 사용할 수 있도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
}
]
}
Amazon Kendra가 AWS KMS 고객 마스터 키(CMK)를 사용하여 Amazon S3 버킷의 문서를 해독할 수 있도록 허용하는 선택적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon VPC를 사용하는 동안, AWS KMS를 활성화하거나 AWS KMS 권한을 공유하지 않고도 Amazon Kendra가 Amazon S3 버킷에 액세스할 수 있도록 허용하는 선택적 역할 정책.
AWS KMS를 활성화하고 Amazon VPC를 사용하는 동안 Amazon Kendra가 Amazon S3 버킷에 액세스할 수 있도록 허용하는 선택적 역할 정책.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
여러 계정에서 Amazon S3를 사용할 수 있는 정책
Amazon Kendra 인덱스에 사용하는 계정과 다른 계정에 Amazon S3 버킷이 있는 경우 여러 계정에서 사용할 수 있는 정책을 만들 수 있습니다.
Amazon S3 버킷이 Amazon Kendra 인덱스와 다른 계정에 있는 경우 버킷을 데이터 소스로 사용하기 위한 역할 정책. 참고로 s3:PutObject 및 s3:PutObjectAcl은 선택 사항이며 액세스 제어 목록용 구성 파일을 포함하려는 경우 이 옵션을 사용하세요.
Amazon S3 데이터 소스 역할이 여러 계정에서 Amazon S3 버킷에 액세스할 수 있도록 허용하는 버킷 정책. 참고로 s3:PutObject 및 s3:PutObjectAcl은 선택 사항이며 액세스 제어 목록용 구성 파일을 포함하려는 경우 이 옵션을 사용하세요.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon Kendra 웹 크롤러를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
기본 인증으로 뒷받침되는 웹 사이트 또는 웹 프록시 서버에 연결하기 위한 보안 인증 정보가 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 웹 크롤러 데이터 소스 사용을 참조하세요.
-
Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
-
Amazon S3 버킷을 사용하여 시드 URL 또는 사이트맵 목록을 저장하는 경우 Amazon S3 버킷에 액세스할 수 있는 권한을 포함하세요.
Amazon VPC를 통해 Amazon Kendra 웹 크롤러 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
시드 URL 또는 사이트맵을 Amazon S3 버킷에 저장하는 경우 이 권한을 역할에 추가해야 합니다.
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Box를 사용할 때는 다음 정책이 적용된 역할을 제공합니다.
-
Slack을 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Box 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Box 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Confluence 서버를 데이터 소스로 사용하는 경우 다음 정책이 적용된 역할을 제공합니다.
-
Confluence에 연결하는 데 필요한 보안 인증이 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 Confluence 데이터 소스를 참조하세요.
-
Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
Amazon VPC를 통해 Confluence 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
VPC를 사용하는 경우 필요한 리소스 액세스 권한을 Amazon Kendra에 제공하는 정책을 제공하세요. 필요한 정책은 데이터 소스, VPC에 대한 IAM 역할을 참조하세요.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Confluence 커넥터 v2.0 데이터 소스의 경우 다음 정책이 포함된 역할을 제공합니다.
-
Confluence에 대한 보안 인증 정보가 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 Confluence 데이터 소스를 참조하세요.
-
AWS Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책도 연결해야 합니다.
Amazon VPC를 통해 Confluence 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 Confluence에 연결할 수 있도록 허용하는 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Dropbox를 사용할 때는 다음 정책이 적용된 역할을 제공합니다.
-
Dropbox를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Dropbox 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Dropbox 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Drupal을 사용할 때는 다음 정책이 적용된 역할을 제공합니다.
-
Drupal을 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Drupal 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Drupal 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret_id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key_id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index_id",
"arn:aws:kendra:us-east-1:111122223333:index/index_id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index_id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
GitHub를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
GitHub를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
GitHub 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 GitHub 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Gmail을 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Gmail을 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Gmail 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Gmail 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Google Workspace Drive 데이터 소스를 사용하는 경우 연결에 필요한 권한이 있는 역할을 Amazon Kendra에 제공합니다. 다음이 포함됩니다.
Amazon VPC를 통해 Google Drive 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
IBM DB2 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
IBM DB2 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
IBM DB2 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 IBM DB2 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Jira를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Jira를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Jira 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Jira 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft Exchange 데이터 소스를 사용하는 경우 사이트 연결에 필요한 권한이 있는 역할을 Amazon Kendra에 제공합니다. 다음이 포함됩니다.
Amazon VPC를 통해 Microsoft Exchange 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
인덱싱할 사용자 목록을 Amazon S3 버킷에 저장하는 경우 S3 GetObject 작업을 사용할 권한도 제공해야 합니다. 다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft OneDrive 데이터 소스를 사용하는 경우 사이트 연결에 필요한 권한이 있는 역할을 Amazon Kendra에 제공합니다. 다음이 포함됩니다.
Amazon VPC를 통해 OneDrive 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
인덱싱할 사용자 목록을 Amazon S3 버킷에 저장하는 경우 S3 GetObject 작업을 사용할 권한도 제공해야 합니다. 다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft SharePoint 커넥터 v1.0 데이터 소스의 경우 다음 정책이 포함된 역할을 제공합니다.
-
SharePoint 사이트의 사용자 이름과 암호가 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 Microsoft SharePoint 데이터 소스를 참조하세요.
-
AWS Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
-
SharePoint 사이트와 통신하는 데 사용되는 SSL 인증서가 포함된 Amazon S3 버킷에 액세스할 수 있는 권한.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책도 연결해야 합니다.
Amazon VPC를 통해 Microsoft SharePoint 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
SharePoint 사이트와의 통신에 사용되는 SSL 인증서가 포함된 Amazon S3 버킷을 암호화한 경우, Amazon Kendra에 키 액세스 권한을 부여하는 정책을 제공하세요.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft SharePoint 커넥터 v2.0 데이터 소스의 경우 다음 정책이 포함된 역할을 제공합니다.
-
SharePoint 사이트에 대한 보안 인증 정보가 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 Microsoft SharePoint 데이터 소스를 참조하세요.
-
AWS Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
-
SharePoint 사이트와 통신하는 데 사용되는 SSL 인증서가 포함된 Amazon S3 버킷에 액세스할 수 있는 권한.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책도 연결해야 합니다.
Amazon VPC를 통해 Microsoft SharePoint 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
SharePoint 사이트와의 통신에 사용되는 SSL 인증서가 포함된 Amazon S3 버킷을 암호화한 경우, Amazon Kendra에 키 액세스 권한을 부여하는 정책을 제공하세요.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft SQL Server를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Microsoft SQL Server 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Microsoft SQL Server 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Microsoft SQL Server 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft Teams 데이터 소스를 사용하는 경우 사이트 연결에 필요한 권한이 있는 역할을 Amazon Kendra에 제공합니다. 다음이 포함됩니다.
Amazon VPC를 통해 Microsoft Teams 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
다음 IAM 정책은 필수 권한을 제공합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Microsoft Yammer 데이터 소스를 사용하는 경우 사이트 연결에 필요한 권한이 있는 역할을 Amazon Kendra에 제공합니다. 다음이 포함됩니다.
Amazon VPC를 통해 Microsoft Yammer 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
인덱싱할 사용자 목록을 Amazon S3 버킷에 저장하는 경우 S3 GetObject 작업을 사용할 권한도 제공해야 합니다. 다음 IAM 정책은 필수 권한을 제공합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
MySQL 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
MySQL 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
MySQL 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 MySQL 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Oracle 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Oracle 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Oracle 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Oracle 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
PostgreSQL 데이터 소스 커넥터를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
PostgreSQL 데이터 소스 인스턴스를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
PostgreSQL 데이터 소스 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 PostgreSQL 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Quip을 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Quip을 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Quip 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Quip 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id",
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Salesforce를 데이터 소스로 사용하는 경우 다음 정책이 적용된 역할을 제공합니다.
-
Salesforce 사이트의 사용자 이름과 암호가 포함된 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 Salesforce 데이터 소스를 참조하세요.
-
Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
Amazon VPC를 통해 Salesforce 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
ServiceNow를 데이터 소스로 사용하는 경우 다음 정책이 적용된 역할을 제공합니다.
-
ServiceNow 사이트의 사용자 이름과 암호가 포함된 Secrets Manager 보안 암호에 액세스할 수 있는 권한. 보안 암호의 내용에 대해 자세히 알아보려면 ServiceNow 데이터 소스를 참조하세요.
-
Secrets Manager에서 저장한 사용자 이름과 보안 암호를 해독하기 위해 AWS KMS 고객 마스터 키(CMK)를 사용하는 권한.
-
BatchPutDocument 및 BatchDeleteDocument 작업을 사용하여 인덱스를 업데이트할 수 있는 권한
Amazon VPC를 통해 ServiceNow 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Slack을 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Slack을 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Slack 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Slack 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Zendesk를 사용하는 경우 다음 정책이 포함된 역할을 제공합니다.
-
Zendesk Suite를 인증하기 위해 AWS Secrets Manager 보안 암호에 액세스할 수 있는 권한.
-
Zendesk 커넥터에 필요한 공개 API를 호출할 수 있는 권한.
-
BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping, ListGroupsOlderThanOrderingId API를 호출할 수 있는 권한.
Amazon VPC를 통해 Zendesk 데이터 소스를 Amazon Kendra에 연결할 수 있습니다. Amazon VPC를 사용하는 경우에는 권한을 추가해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Virtual private cloud(VPC) IAM 역할
가상 프라이빗 클라우드(VPC)를 사용하여 데이터 소스에 연결하는 경우 다음 추가 권한을 제공해야 합니다.
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
자주 묻는 질문(FAQ)에 대한 IAM 역할
CreateFaq API를 사용하여 질문과 답변을 인덱스에 로드할 때는 소스 파일이 포함된 Amazon S3 버킷에 대한 액세스 권한이 있는 IAM 역할을 Amazon Kendra에 제공해야 합니다. 소스 파일이 암호화된 경우 CMK(AWS KMS 고객 마스터 키)를 사용하여 파일을 해독할 수 있는 권한을 제공해야 합니다.
Amazon Kendra가 Amazon S3 버킷에 액세스하도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon Kendra가 AWS KMS 고객 마스터 키(CMK)를 사용하여 Amazon S3 버킷의 파일을 해독할 수 있도록 허용하는 선택적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
쿼리 제안에 대한 IAM 역할
Amazon S3 파일을 쿼리 제안 차단 목록으로 사용하는 경우 Amazon S3 파일 및 Amazon S3 버킷에 액세스할 권한이 있는 역할을 제공합니다. Amazon S3 버킷의 차단 목록 텍스트 파일(Amazon S3 파일)이 암호화된 경우 CMK(AWS KMS 고객 마스터 키)를 사용하여 문서를 해독할 수 있는 권한을 제공해야 합니다.
Amazon Kendra가 Amazon S3 파일을 쿼리 제안 차단 목록으로 사용하도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon Kendra가 AWS KMS 고객 마스터 키(CMK)를 사용하여 Amazon S3 버킷의 문서를 해독할 수 있도록 허용하는 선택적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
사용자 및 그룹의 보안 주체 매핑에 대한 IAM 역할
사용자 컨텍스트별로 검색 결과를 필터링하기 위해 PutPrincipalMapping API를 사용하여 사용자를 그룹에 매핑하는 경우, 그룹에 속하는 사용자 또는 하위 그룹의 목록을 제공해야 합니다. 목록에 포함된 사용자 또는 그룹의 하위 그룹이 1,000을 초과하는 경우 목록 및 Amazon S3 버킷의 Amazon S3 파일에 액세스할 수 있는 권한이 있는 역할을 제공해야 합니다. Amazon S3 버킷의 텍스트 파일(Amazon S3 파일)이 암호화된 경우 CMK(AWS KMS 고객 마스터 키)를 사용하여 문서를 해독할 수 있는 권한을 제공해야 합니다.
Amazon Kendra가 Amazon S3 파일을 그룹에 속하는 사용자 및 하위 그룹 목록으로 사용하도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
Amazon Kendra가 AWS KMS 고객 마스터 키(CMK)를 사용하여 Amazon S3 버킷의 문서를 해독할 수 있도록 허용하는 선택적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
신뢰 정책에 aws:sourceAccount 및 aws:sourceArn을 포함하는 것이 좋습니다. 이렇게 하면 권한이 제한되고 aws:sourceAccount 및 aws:sourceArn이 해당 sts:AssumeRole 작업에 대한 IAM 역할 정책에 제공된 것과 동일한지 안전하게 확인할 수 있습니다. 그러면 권한 없는 개체가 사용자의 IAM 역할과 권한에 액세스하는 것을 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 설명서의 혼동된 대리자 문제를 참조하세요.
AWS IAM Identity Center에 대한 IAM 역할
UserGroupResolutionConfiguration 객체를 사용하여 AWS IAM Identity Center ID 소스에서 그룹 및 사용자의 액세스 수준을 가져올 때는 IAM Identity Center 액세스 권한이 있는 역할을 제공해야 합니다.
Amazon Kendra가 IAM Identity Center에 액세스하도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
Amazon Kendra 경험에 대한 IAM 역할
CreateExperience 또는 UpdateExperience API를 사용하여 검색 애플리케이션을 만들거나 업데이트할 때는 필요한 작업과 IAM Identity Center에 액세스할 권한이 있는 역할을 제공해야 합니다.
Amazon Kendra가 Query 작업, QuerySuggestions 작업, SubmitFeedback 작업 및 사용자 및 그룹 정보를 저장하는 IAM Identity Center에 액세스하도록 허용하는 데 필요한 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/data-source-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
신뢰 정책에 aws:sourceAccount 및 aws:sourceArn을 포함하는 것이 좋습니다. 이렇게 하면 권한이 제한되고 aws:sourceAccount 및 aws:sourceArn이 해당 sts:AssumeRole 작업에 대한 IAM 역할 정책에 제공된 것과 동일한지 안전하게 확인할 수 있습니다. 그러면 권한 없는 개체가 사용자의 IAM 역할과 권한에 액세스하는 것을 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 설명서의 혼동된 대리자 문제를 참조하세요.
사용자 지정 문서 보강에 대한 IAM 역할
CustomDocumentEnrichmentConfiguration 객체를 사용하여 문서 메타데이터 및 콘텐츠의 고급 변경을 적용하는 경우 PreExtractionHookConfiguration 및/또는 PostExtractionHookConfiguration을 실행하는 데 필요한 권한이 있는 역할을 제공해야 합니다. 수집 프로세스 중에 문서 메타데이터 및 콘텐츠의 고급 변경을 적용하려면 PreExtractionHookConfiguration 및/또는 PostExtractionHookConfiguration에 대한 Lambda 함수를 구성합니다. Amazon S3 버킷에 대해 서버 측 암호화를 활성화하기로 선택한 경우, AWS KMS 고객 마스터 키(CMK)를 사용하여 Amazon S3 버킷에 저장된 객체를 암호화하고 해독할 수 있는 권한을 제공해야 합니다.
Amazon S3 버킷을 암호화하고 Amazon Kendra가 PreExtractionHookConfiguration, PostExtractionHookConfiguration을 실행하도록 허용하는 필수적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
Amazon S3 버킷을 암호화하지 않고 Amazon Kendra가 PreExtractionHookConfiguration, PostExtractionHookConfiguration을 실행하도록 허용하는 선택적 역할 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
Amazon Kendra가 역할을 수임하도록 허용하는 신뢰 정책.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
신뢰 정책에 aws:sourceAccount 및 aws:sourceArn을 포함하는 것이 좋습니다. 이렇게 하면 권한이 제한되고 aws:sourceAccount 및 aws:sourceArn이 해당 sts:AssumeRole 작업에 대한 IAM 역할 정책에 제공된 것과 동일한지 안전하게 확인할 수 있습니다. 그러면 권한 없는 개체가 사용자의 IAM 역할과 권한에 액세스하는 것을 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 설명서의 혼동된 대리자 문제를 참조하세요.
