Funções do IAM para índices As funções do IAM para a API BatchputDocument Funções do IAM de fontes de dados Funçaõ do IAM da nuvem privada virtual (VPC)Funções do IAM para perguntas frequentes Funções do IAM para sugestões de consulta Funções do IAM para mapeamento principal de usuários e grupos IAM Perfis do para AWS IAM Identity Center Funções do IAM para experiências do Amazon Kendra Funções do IAM para enriquecimento personalizado de documentos

Funções de acesso do IAM para o Amazon Kendra

Ao criar um índice, uma fonte de dados ou perguntas frequentes, o Amazon Kendra precisa acessar os recursos necessários da AWS para criar o recurso do Amazon Kendra. Você deve criar uma política do AWS Identity and Access Management (IAM) antes de criar o recurso do Amazon Kendra. Ao chamar a operação, forneça o nome do recurso da Amazon (ARN) da função com a política em anexo. Por exemplo, se estiver chamando a API BatchputDocument para adicionar documentos de um bucket do Amazon S3, você fornece ao Amazon Kendra uma função com uma política que tem acesso ao bucket.

É possível usar uma nova função do IAM no console do Amazon Kendra ou escolher uma função existente do IAM para usar. O console exibe funções que têm a string “kendra” ou “Kendra” no nome da função.

Os tópicos a seguir fornecem detalhes das políticas necessárias. Se você criar funções do IAM usando o console do Amazon Kendra, essas políticas serão criadas para você.

Tópicos

Funções do IAM para índices
As funções do IAM para a API BatchputDocument
Funções do IAM de fontes de dados
Funçaõ do IAM da nuvem privada virtual (VPC)
Funções do IAM para perguntas frequentes
Funções do IAM para sugestões de consulta
Funções do IAM para mapeamento principal de usuários e grupos
IAM Perfis do para AWS IAM Identity Center
Funções do IAM para experiências do Amazon Kendra
Funções do IAM para enriquecimento personalizado de documentos

Funções do IAM para índices

Ao criar um índice, você deve fornecer uma função do IAM com permissão para gravar em um Amazon CloudWatch. Uma política de confiança que permita que o Amazon Kendra assuma a função. A seguir estão as políticas que devem ser fornecidas.

Uma política de função para permitir que Amazon Kendra tenha acesso a um log do CloudWatch.

Uma política de função para permitir que Amazon Kendra tenha acesso a AWS Secrets Manager. Se estiver usando o contexto do usuário com Secrets Manager como um local de chave, poderá usar a política a seguir.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

As funções do IAM para a API BatchputDocument

Atenção

O Amazon Kendra não usa uma política de bucket que concede permissões a uma entidade principal do Amazon Kendra para interagir com um bucket do S3. Em vez disso, ele usa as funções do IAM. O Amazon Kendra não deve estar incluído como membro confiável na política de bucket para evitar problemas de segurança de dados ao conceder permissões acidentalmente a diretores arbitrários. No entanto, você pode adicionar uma política de bucket para usar um bucket do Amazon S3 em contas diferentes. Para obter mais informações, consulte Políticas para uso do Amazon S3 em todas as contas. Para obter mais informações sobre as funções do IAM para fontes de dados do S3, consulte as funções do IAM.

Ao usar a API BatchputDocument para indexar documentos em um bucket do Amazon S3, você deve fornecer ao Amazon Kendra uma função do IAM com acesso ao bucket. Uma política de confiança que permita que o Amazon Kendra assuma a função. Se os documentos no bucket estiverem criptografados, você deverá fornecer permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar os documentos.

Uma política de função necessária para o Amazon Kendra permitir o acesso a um bucket do Amazon S3.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

É recomendável que você inclua aws:sourceAccount e aws:sourceArn na política de confiança. Isso limita as permissões e verifica com segurança se aws:sourceAccount e aws:sourceArn são as mesmas fornecidas na política de função do IAM da ação do sts:AssumeRole. Isso impede que entidades não autorizadas acessem suas funções do IAM e suas permissões. Para obter mais informações, consulte o guia do AWS Identity and Access Management sobre o problema do substituto confuso.

Uma política de função opcional para permitir que Amazon Kendra use uma chave mestra do cliente do AWS KMS (CMK) para descriptografar documentos em um bucket do Amazon S3.

Funções do IAM de fontes de dados

Ao usar a API CreateDataSource, você deve atribuir a Amazon Kendra e IAM uma função que tenha permissão para acessar os recursos. As permissões específicas necessárias dependem da fonte de dados.

Ao usar o Adobe Experience Manager, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Adobe Experience Manager.
Permissão para chamar as APIs públicas necessárias para o conector do Adobe Experience Manager.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Adobe Experience Manager ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Alfresco, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Alfresco.
Permissão para chamar as APIs públicas necessárias para o conector do Alfresco.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Alfresco ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Aurora (MySQL), você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Aurora (MySQL).
Permissão para chamar as APIs públicas necessárias para o conector do Aurora (MySQL).
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Aurora (MySQL) ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Aurora (MySQL), você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Aurora (PostgreSQL).
Permissão para chamar as APIs públicas necessárias para o conector do Aurora (PostgreSQL).
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Aurora (PostgreSQL) ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Amazon FSx, você fornece uma função com as políticas a seguir.

Permissão para acessar o segredo do AWS Secrets Manager a fim de autenticar o sistema de arquivos do Amazon FSx.
Permissão para acessar a Amazon Virtual Private Cloud (VPC) em que fica o sistema de arquivos do Amazon FSx.
Permissão para obter o nome de domínio do Active Directory para o sistema de arquivos do Amazon FSx.
Permissão para chamar as APIs públicas necessárias para o conector do Amazon FSx.
Permissão para chamar as APIs BatchPutDocument e BatchDeleteDocument para atualizar o índice.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um banco de dados como fonte de dados, você fornece ao Amazon Kendra uma função que tem as permissões necessárias para se conectar ao . Isso inclui:

Permissão para acessar a senha do AWS Secrets Manager que contém o nome de usuário e a senha do site. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.
Permissão para acessar o bucket do Amazon S3 que contém o certificado SSL usado para se comunicar com o site.

nota

É possível conectar fontes de dados do banco de dados ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Há duas políticas opcionais que você pode usar com uma fonte de dados.

Se você criptografou o bucket do Amazon S3 que contém o certificado SSL usado para se comunicar com o , forneça uma política para dar ao Amazon Kendra acesso à chave.

Se você estiver usando uma VPC, forneça uma política que dê ao Amazon Kendra acesso aos recursos necessários. Consulte as Funções do IAM para fontes de dados e VPC para ver a política necessária.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Amazon RDS (Microsoft SQL Server), você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do Amazon RDS (Microsoft SQL Server).
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do Amazon RDS (Microsoft SQL Server).
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Amazon Kendra (Microsoft SQL Server) ao Amazon RDS por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Amazon RDS (MySQL), você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do Amazon RDS (MySQL).
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do Amazon RDS (MySQL).
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Amazon RDS (MySQL) ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Amazon RDS Oracle, você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do Amazon RDS Oracle.
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do Amazon RDS (Oracle).
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Amazon RDS Oracle ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Amazon RDS (PostgreSQL), você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do Amazon RDS (PostgreSQL).
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do Amazon RDS (PostgreSQL).
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Amazon RDS (PostgreSQL) ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Atenção

O Amazon Kendra não usa uma política de bucket que concede permissões a uma entidade principal do Amazon Kendra para interagir com um bucket do S3. Em vez disso, ele usa as funções do IAM. O Amazon Kendra não deve estar incluído como membro confiável na política de bucket para evitar problemas de segurança de dados ao conceder permissões acidentalmente a diretores arbitrários. No entanto, você pode adicionar uma política de bucket para usar um bucket do Amazon S3 em contas diferentes. Para obter mais informaçõe, consulte Políticas para usar Amazon S3 em todas as contas (role a tela para baixo).

Ao usar um bucket do Amazon S3 como fonte de dados, você fornece uma função que tem permissão para acessar o bucket e usar as operações BatchPutDocument e BatchDeleteDocument. Se os documentos no bucket do Amazon S3 estiverem criptografados, você deverá fornecer permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar os documentos.

As políticas de função a seguir devem permitir que Amazon Kendra assuma uma função. Role mais para baixo para ver uma política de confiança para assumir uma função.

Uma política de função necessária para permitir que Amazon Kendra tenha acesso a um bucket do Amazon S3 como a fonte de dados.

Uma política de função opcional para permitir que Amazon Kendra use uma chave mestra do cliente do AWS KMS (CMK) para descriptografar documentos em um bucket do Amazon S3.

Uma política de função opcional que permite que o Amazon Kendra tenha acesso a um bucket do Amazon S3 usando um Amazon VPC e sem ativar AWS KMS ou compartilhar permissões do AWS KMS.

Uma política de função opcional que permite que o Amazon Kendra tenha acesso a um bucket do Amazon S3 usando um Amazon VPC e com as permissões ativadas do AWS KMS.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Políticas para usar Amazon S3 em todas as contas

Se o bucket do Amazon S3 estiver em uma conta diferente da conta que você usa para o índice do Amazon Kendra, você pode criar políticas para usá-lo em todas as contas.

Uma política de função para usar o bucket do Amazon S3 como fonte de dados quando o bucket está em uma conta diferente do índice do Amazon Kendra. s3:PutObject e s3:PutObjectAcl são opcionais. Você pode usá-los se quiser incluir um arquivo de configuração para sua lista de controle de acesso.

Uma política de bucket para permitir que a função da fonte de dados do Amazon S3 acesse o bucket do Amazon S3 em todas as contas. s3:PutObject e s3:PutObjectAcl são opcionais. Você pode usá-los se quiser incluir um arquivo de configuração para sua lista de controle de acesso.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Web Crawler do Amazon Kendra, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager que contém as credenciais para se conectar a sites ou a um servidor proxy da web apoiado pela autenticação básica. Para obter mais informações sobre os conteúdos da senha, consulte Usando a fonte de dados do Web Crawler.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.
Se você usa um bucket do Amazon S3 para armazenar sua lista de URLs iniciais ou mapas de sites, inclua permissão para acessar o bucket do Amazon S3.

nota

É possível conectar uma fonte de dados do Amazon Kendra Web Crawler ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Se você armazenar os URLs iniciais ou mapas de sites em um bucket do Amazon S3, deverá adicionar essa permissão à função.


,
{"Effect": "Allow",
     "Action": [
         "s3:GetObject"
      ],
      "Resource": [
         "arn:aws:s3:::bucket-name/*"
      ]
}

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Box, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Slack.
Permissão para chamar as APIs públicas necessárias para o conector do Box.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Box ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do servidor do Confluence, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager que contém as credenciais necessárias para se conectar ao Confluence. Para obter mais informações sobre os conteúdos da senha, consulte Fontes de dados do Confluence.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.

nota

É possível conectar uma fonte de dados do Confluence ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do conector do Confluence v2.0, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager que contém as credenciais de autenticação do Confluence. Para obter mais informações sobre os conteúdos da senha, consulte Fontes de dados do Confluence.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo AWS Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.

Anexe uma política de confiança que permita que Amazon Kendra assuma a função.

nota

É possível conectar uma fonte de dados do Confluence ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de função para permitir que Amazon Kendra se conecte ao Confluence.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Dropbox, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Dropbox.
Permissão para chamar as APIs públicas necessárias para o conector do Dropbox.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Dropbox ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Drupal, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Drupal.
Permissão para chamar as APIs públicas necessárias para o conector do Drupal.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Drupal ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o ,GitHub você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o GitHub.
Permissão para chamar as APIs públicas necessárias para o conector do GitHub.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do GitHub ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Gmail, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Gmail.
Permissão para chamar as APIs públicas necessárias para o conector do Gmailconnector.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Gmail ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar uma fonte de dados do Google Workspace Drive, você fornece ao Amazon Kendra uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:

Permissão para obter e decifrar a senha do AWS Secrets Manager que contém o e-mail da conta do cliente, o e-mail da conta do administrador e a chave privada necessários para se conectar ao site do Google Drive. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Google Drive.
Permissão para usar as APIs BatchputDocument e BatchDeleteDocument.

nota

É possível conectar uma fonte de dados do Google Drive ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

O modelo de política do IAM a seguir fornece as permissões necessárias.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do IBM DB2, você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do IBM DB2.
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do IBM DB2.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do IBM DB2 ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Jira, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o .
Permissão para chamar as APIs públicas necessárias para o conector do Jira.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Jira ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um banco de dados como fonte de dados do Microsoft Exchange, você fornece ao Amazon Kendra uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:

Permissão para obter e descriptografar a senha do AWS Secrets Manager que contém a ID do aplicativo e a chave secreta necessárias para se conectar ao site do Microsoft Exchange. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft Exchange.
Permissão para usar as APIs BatchputDocument e BatchDeleteDocument.

nota

É possível conectar uma fonte de dados do Microsoft Exchange ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

O modelo de política do IAM a seguir fornece as permissões necessárias.

Se você estiver armazenando a lista de usuários para indexar em um bucket do Amazon S3, também deverá fornecer permissão para usar a operação GetObject do S3. O modelo de política do IAM a seguir fornece as permissões necessárias.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um banco de dados como fonte de dados do Microsoft OneDrive, você fornece ao Amazon Kendra uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:

Permissão para obter e descriptografar a senha do AWS Secrets Manager que contém a ID do aplicativo e a chave secreta necessárias para se conectar ao site do Microsoft OneDrive. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft OneDrive.
Permissão para usar as APIs BatchputDocument e BatchDeleteDocument.

nota

É possível conectar uma fonte de dados do Microsoft OneDrive ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

O modelo de política do IAM a seguir fornece as permissões necessárias.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Microsoft SharePoint connector v1.0, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager que contém o nome de usuário e a senha do site do SharePoint. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft SharePoint.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo AWS Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.
Permissão para acessar o bucket do Amazon S3 que contém o certificado SSL usado para se comunicar com o site do SharePoint.

Anexe uma política de confiança que permita que Amazon Kendra assuma a função.

nota

É possível conectar uma fonte de dados do Microsoft SharePoint ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Se você criptografou o bucket do Amazon S3 que contém o certificado SSL usado para se comunicar com o site do SharePoint, forneça uma política para dar ao Amazon Kendra acesso à chave.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Microsoft SharePoint Connector v2.0, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager que contém as credenciais de autenticação do site do SharePoint. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft SharePoint.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo AWS Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.
Permissão para acessar o bucket do Amazon S3 que contém o certificado SSL usado para se comunicar com o site do SharePoint.

Anexe uma política de confiança que permita que Amazon Kendra assuma a função.

nota

É possível conectar uma fonte de dados do Microsoft SharePoint ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Se você criptografou o bucket do Amazon S3 que contém o certificado SSL usado para se comunicar com o site do SharePoint, forneça uma política para dar ao Amazon Kendra acesso à chave.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Microsoft SQL Server, você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância do Microsoft SQL Server.
Permissão para chamar as APIs públicas necessárias para o conector do banco de dados do Microsoft SQL Server.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Microsoft SQL Server ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um banco de dados como fonte de dados do Microsoft Teams, você fornece ao Amazon Kendra uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:

Permissão para obter e descriptografar a senha do AWS Secrets Manager que contém o ID e a senha do cliente necessários para se conectar ao Microsoft Teams. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft Teams.

nota

É possível conectar uma fonte de dados do Microsoft Teams ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

O modelo de política do IAM a seguir fornece as permissões necessárias.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um banco de dados como fonte de dados do Microsoft Yammer, você fornece ao Amazon Kendra uma função que tem as permissões necessárias para se conectar ao site. Isso inclui:

Permissão para obter e descriptografar a senha do AWS Secrets Manager que contém o ID do aplicativo e a chave secreta necessários para se conectar ao site do Microsoft Yammer. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Microsoft Yammer.
Permissão para usar as APIs BatchputDocument e BatchDeleteDocument.

nota

É possível conectar uma fonte de dados do Microsoft Yammer ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

O modelo de política do IAM a seguir fornece as permissões necessárias.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do MySQL, você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do MySQL.
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do MySQL.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do MySQL ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do Oracle, você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do Oracle.
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do Oracle.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Oracle ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do PostgreSQL, você fornece uma função com as políticas a seguir.

Permissão para acessar sua senha do AWS Secrets Manager para autenticar a instância da fonte de dados do PostgreSQL.
Permissão para chamar as APIs públicas necessárias para o conector da fonte de dados do PostgreSQL.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do PostgreSQL ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o , você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Quip.
Permissão para chamar as APIs públicas necessárias para o conector do .
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Quip ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do servidor do Salesforce, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager que contém o nome de usuário e a senha do site do Salesforce. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do Salesforce.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.

nota

É possível conectar uma fonte de dados do Salesforce ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar um conector de fonte de dados do servidor do ServiceNow, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do Secrets Manager que contém o nome de usuário e a senha do site do ServiceNow. Para obter mais informações sobre os conteúdos da senha, consulte fontes de dados do ServiceNow.
Permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar o nome de usuário e a senha secreta armazenados pelo Secrets Manager.
Permissão para usar as operações BatchPutDocument e BatchDeleteDocument para atualizar o índice.

nota

É possível conectar uma fonte de dados do ServiceNow ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Slack, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Slack.
Permissão para chamar as APIs públicas necessárias para o conector do Slack.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Slack ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Ao usar o Zendesk, você fornece uma função com as políticas a seguir.

Permissão para acessar a senha do AWS Secrets Manager para autenticar o Zendesk.
Permissão para chamar as APIs públicas necessárias para o conector do Zendesk.
Permissão para chamar as APIs BatchPutDocument, BatchDeleteDocument, PutPrincipalMapping, DeletePrincipalMapping, DescribePrincipalMapping e ListGroupsOlderThanOrderingId.

nota

É possível conectar uma fonte de dados do Zendesk ao Amazon Kendra por meio da Amazon VPC. Se você estiver usando uma Amazon VPC, não precisará de mais permissões.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Funçaõ do IAM da nuvem privada virtual (VPC)

Se você usar uma nuvem privada virtual (VPC) para se conectar à fonte de dados, forneça as permissões adicionais a seguir.


{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
        "arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    
{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterfacePermission"
      ],
      "Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeNetworkInterfaceAttribute",
        "ec2:DescribeVpcs",
        "ec2:DescribeRegions",
        "ec2:DescribeNetworkInterfacePermissions",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    }
}

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Funções do IAM para perguntas frequentes

Ao usar a API CreateFAQ para carregar perguntas e respostas em um índice, você deve fornecer um Amazon Kendra com uma função do IAM com acesso ao bucket do Amazon S3 que contém os arquivos de origem. Se os arquivos fonte estiverem criptografados, você deverá fornecer permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar os arquivos.

Uma política de função necessária para o Amazon Kendra permitir o acesso a um bucket do Amazon S3.

Uma política de função opcional para permitir que Amazon Kendra use uma chave mestra do cliente do AWS KMS (CMK) para descriptografar arquivos em um bucket do Amazon S3.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Funções do IAM para sugestões de consulta

Ao usar um arquivo do Amazon S3 como uma lista de bloqueio de sugestões de consulta, você fornece um papel que tem permissão para acessar o arquivo do Amazon S3 e o bucket do Amazon S3. Se o arquivo de texto da lista de bloqueios (o arquivo Amazon S3) no bucket do Amazon S3 estiver criptografado, você deverá fornecer permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar os documentos.

Uma política de função necessária para permitir que Amazon Kendra use o arquivo do Amazon S3 como sua lista de bloqueio de sugestões de consulta.

Uma política de função opcional para permitir que Amazon Kendra use uma chave mestra do cliente do AWS KMS (CMK) para descriptografar documentos em um bucket do Amazon S3.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Funções do IAM para mapeamento principal de usuários e grupos

Ao usar a API PutPrincipalMapping para mapear usuários para seus grupos para filtrar os resultados da pesquisa por contexto de usuário, forneça uma lista de usuários ou subgrupos que pertencem a um grupo. Se sua lista tiver mais de 1.000 usuários ou subgrupos para um grupo, você precisará fornecer uma função que tenha permissão para acessar o arquivo do Amazon S3 da sua lista e do bucket do Amazon S3. Se o arquivo de texto (o arquivo Amazon S3) no bucket do Amazon S3 estiver criptografado, você deverá fornecer permissão para usar a chave mestra do cliente do AWS KMS (CMK) para descriptografar os documentos.

Uma política de função necessária para permitir que o Amazon Kendra use o arquivo do Amazon S3 como sua lista de usuários e subgrupos que pertencem a um grupo.

Uma política de função opcional para permitir que Amazon Kendra use uma chave mestra do cliente do AWS KMS (CMK) para descriptografar documentos em um bucket do Amazon S3.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

IAM Perfis do para AWS IAM Identity Center

Ao usar o objeto UserGroupResolutionConfiguration para obter níveis de acesso de grupos e usuários de uma fonte de identidade do AWS IAM Identity Center, você precisa fornecer uma função que tenha permissão de acesso ao IAM Identity Center.

Uma política de função necessária para o Amazon Kendra permitir o acesso ao IAM Identity Center.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Funções do IAM para experiências do Amazon Kendra

Ao usar as APIs CreateExperience ou UpdateExperience para criar ou atualizar um aplicativo de pesquisa, você deve fornecer uma função que tenha permissão para acessar as operações necessárias e o IAM Identity Center.

Uma política de função necessária para permitir que o Amazon Kendra acesse operações Query, operações QuerySuggestions, operações SubmitFeedback e o IAM Identity Center que armazenam as informações de usuários e grupos.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowsKendraSearchAppToCallKendraApi",
            "Effect": "Allow",
            "Action": [
                "kendra:GetQuerySuggestions",
                "kendra:Query",
                "kendra:DescribeIndex",
                "kendra:ListFaqs",
                "kendra:DescribeDataSource",
                "kendra:ListDataSources",
                "kendra:DescribeFaq",
                "kendra:SubmitFeedback"
            ],
            "Resource": [
                "arn:aws:kendra:us-east-1:123456789012:index/index-id"
            ]
        },
        {
            "Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
            "Effect": "Allow",
            "Action": [
                "kendra:DescribeDataSource",
                "kendra:DescribeFaq"
            ],
            "Resource": [
                "arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/data-source-id",
                "arn:aws:kendra:us-east-1:123456789012:index/index-id/faq/faq-id"
            ]
        },
        {
            "Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
            "Effect": "Allow",
            "Action": [
                "sso-directory:ListGroupsForUser",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeUsers",
                "sso:ListDirectoryAssociations"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "kendra.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Funções do IAM para enriquecimento personalizado de documentos

Ao usar o objeto CustomDocumentEnrichmentConfiguration para aplicar alterações avançadas nos metadados e no conteúdo do documento, você deve fornecer uma função que tenha as permissões necessárias para exetar PreExtractionHookConfiguration e/ou PostExtractionHookConfiguration. Configure uma função do Lambda para PreExtractionHookConfiguration e/ou PostExtractionHookConfiguration aplicar alterações avançadas nos metadados e no conteúdo do documento durante o processo de ingestão. Se optar por ativar a criptografia do lado do servidor para o bucket do Amazon S3, deverá fornecer permissão para usar a chave mestra do cliente do AWS KMS (CMK) para criptografar e descriptografar os objetos armazenados no bucket do Amazon S3.

Uma política de função necessária para permitir que Amazon Kendra execute PreExtractionHookConfiguration e PostExtractionHookConfiguration com criptografia para o bucket do Amazon S3.

Uma política de função opcional para permitir que Amazon Kendra execute PreExtractionHookConfiguration e PostExtractionHookConfiguration com criptografia para o bucket do Amazon S3.

Uma política de confiança que permite que o Amazon Kendra assuma a função.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar os SDKs da AWS

Implantação de Amazon Kendra