Introdução a uma fonte de identidade do AWS IAM Identity Center (console) - Amazon Kendra

Introdução a uma fonte de identidade do AWS IAM Identity Center (console)

Uma fonte de identidade do AWS IAM Identity Centercontém informações sobre usuários e grupos. Isso é útil para configurar a filtragem de contexto do usuário, que o Amazon Kendra filtra os resultados da pesquisa para diferentes usuários com base no acesso do usuário ou do grupo aos documentos.

Para criar uma fonte de identidade do IAM Identity Center, ative o IAM Identity Center e crie uma organização no AWS Organizations. Ao ativar o IAM Identity Center e criar uma organização pela primeira vez, ele automaticamente usa como padrão o diretório do Identity Center como fonte de identidade. Você pode mudar para o Active Directory (gerenciado ou autogerenciado pela Amazon) ou um provedor de identidade externo como sua fonte de identidade. Você deve seguir a orientação correta para isso, consulte Alteração da fonte de identidade do IAM Identity Center. Você pode ter somente uma fonte de identidade por organização.

Para que usuários e grupos tenham diferentes níveis de acesso aos documentos, inclua os usuários e os grupos na sua lista de controle de acesso ao ingerir documentos no índice. Isso permite que os usuários e os grupos pesquisem documentos no Amazon Kendra de acordo com o nível de acesso. Ao emitir uma consulta, o ID do usuário precisa corresponder exatamente ao nome do usuário no IAM Identity Center.

Você também precisa conceder as permissões necessárias para usar o IAM Identity Center com o Amazon Kendra. Para obter mais informações, consulte Funções para o IAM Identity Center do IAM.

Para configurar uma fonte de identidade do IAM Identity Center

  1. Abra o console do IAM Identity Center.

  2. Escolha Ativar o IAM Identity Center e, em seguida, escolha Criar organização da AWS.

    O diretório do Identity Center é criado por padrão e um e-mail é enviado a você para verificar o endereço de e-mail associado à organização.

  3. Para adicionar um usuário à sua organização do AWS, no painel de navegação, escolha Grupos.

  4. Na página Grupos, escolha Criar grupo e insira um nome e uma descrição para o grupo na caixa de diálogo.. Escolha Criar.

  5. Para adicionar um usuário à sua organização, no painel de navegação, escolha Usuários.

  6. Na página Usuários, selecione Adicionar usuário. Em Detalhes do usuário, especifique todos os campos obrigatórios. Em Senha, escolha Enviar um e-mail para o usuário. Escolha Próximo.

  7. Para adicionar um usuário a um grupo, escolha Grupos e selecione um grupo.

  8. Na página Detalhes do grupo, em Membros do grupo, escolha Adicionar usuários.

  9. Na página Adicionar usuários ao grupo, localize os usuários que você deseja adicionar como membros do grupo. É possível selecionar vários usuários para adicionar ao grupo.

  10. Para sincronizar sua lista de usuários e grupos com o IAM Identity Center, altere a fonte de identidade para Active Directory ou provedor de identidade externo.

    O diretório do Identity Center é a fonte de identidade padrão e exige adicionar manualmente os usuários e os grupos usando essa fonte se você não tiver sua lista gerenciada por um provedor. Você deve seguir a orientação correta para isso, consulte Alteração da fonte de identidade do IAM Identity Center.

nota

Se estiver usando o Active Directory ou um provedor de identidade externo como fonte de identidade, mapeie os endereços de e-mail dos usuários para os nomes de usuário do IAM Identity Center ao especificar o protocolo System for Cross-domain Identity Management (SCIM) . Para obter mais informações, consulte o Guia do IAM Identity Center no SCIM para ativar o IAM Identity Center.

Depois de configurar a fonte de identidade do IAM Identity Center, você pode ativá-la no console ao criar ou editar o índice. Acesse Controle de acesso do usuário nas configurações do índice e edite as configurações para permitir a busca de informações do grupo de usuários no IAM Identity Center.

Você também pode ativar o IAM Identity Center usando o objeto UserGroupResolutionConfiguration. Você fornece o UserGroupResolutionMode como AWS_SSO e cria uma função do IAM que oferece permissão para chamar sso:ListDirectoryAssociations,sso-directory:SearchUsers,sso-directory:ListGroupsForUser esso-directory:DescribeGroups.

Atenção

O Amazon Kendra atualmente não suporta o uso do UserGroupResolutionConfiguration com uma conta de membro da organização da AWS como fonte de identidade do IAM Identity Center. É necessário criar o índice na conta de gerenciamento da organização para usar o UserGroupResolutionConfiguration.

Veja a seguir uma visão geral de como configurar uma fonte de dados com UserGroupResolutionConfiguration e controle de acesso do usuário para filtrar os resultados da pesquisa no contexto do usuário. Isso pressupõe que você já criou um índice e uma função IAM para os índices. Crie um índice e forneça a função do IAMusando a API createIndex.

Configurando uma fonte de dados com UserGroupResolutionConfiguration e filtragem de contexto de usuário

  1. Crie uma função do IAM que dê permissão para acessar sua fonte de identidade do IAM Identity Center.

  2. Configure UserGroupResolutionConfiguration definindo o modo do AWS_SSO e chame updateIndex para atualizar o índice e usar o IAM Identity Center.

  3. Se quiser usar o controle de acesso de usuário baseado em token para filtrar os resultados de pesquisa por contexto do usuário, defina UserContextPolicy como USER_TOKEN ao chamar UpdateIndex. Caso contrário, o Amazon Kendra rastreará a lista de controle de acesso de cada um dos documentos para a maioria dos conectores de fonte de dados. Você também pode filtrar os resultados da pesquisa no contexto do usuário na API Consulta fornecendo informações do usuário e do grupo no UserContext. Você também pode mapear usuários para os grupos usando putPrincipalMapping para que só seja necessário fornecer o ID do usuário ao emitir a consulta.

  4. Crie uma função do IAM que conceda permissão para acessar a fonte de dados.

  5. Configurar a fonte de dados Fornece as informações de conexão necessárias para se conectar a fonte de dados.

  6. Crie uma fonte de dados usando a API CreateDataSource. Forneça o objeto do DataSourceConfiguration, que inclui TemplateConfiguration, a ID do seu índice, a função do IAM da fonte de dados, o tipo da fonte de dados e dê um nome à fonte de dados. Você também pode atualizar a fonte de dados.