Filtragem no contexto do usuário - Amazon Kendra
Filtragem por token de usuárioFiltragem por ID de usuário e grupoFiltrando por atributo do usuárioFiltragem de contexto do usuário para documentos adicionados diretamente a um índiceFiltragem de contexto do usuário para perguntas frequentesFiltragem de contexto do usuário para fontes de dados

Filtragem no contexto do usuário

nota

O suporte a recursos varia de acordo com o tipo de índice e a API de pesquisa usada. Consulte se esse recurso é compatível com o tipo de índice e a API de pesquisa que você está usando em Tipos de índice.

Filtre os resultados da pesquisa de um usuário com base no acesso do usuário ou do grupo aos documentos. Use um token de usuário, ID de usuário ou atributo de usuário para filtrar documentos.

A filtragem de contexto do usuário é um tipo de pesquisa personalizada com o benefício de controlar o acesso aos documentos. Por exemplo, nem todas as equipes que pesquisam informações no portal da empresa devem acessar documentos ultrassecretos da empresa, nem esses documentos são relevantes para todos os usuários. Somente usuários específicos ou grupos de equipes com acesso a documentos ultrassecretos devem ver esses documentos em seus resultados de pesquisa.

Quando um documento é indexado no Amazon Kendra, uma lista de controle de acesso (ACL) correspondente é ingerida para a maioria dos documentos. A ACL especifica quais nomes de usuário e grupos têm acesso permitido ou negado ao documento. Documentos sem uma ACL são documentos públicos.

O Amazon Kendra pode extrair as informações do usuário ou do grupo associadas a cada documento para a maioria das fontes de dados. Por exemplo, um documento no Quip pode incluir uma lista de “compartilhamento” de usuários selecionados que têm acesso ao documento. Use um bucket do S3 como fonte de dados, forneça um arquivo JSON para sua ACL e inclua o caminho do S3 para esse arquivo como parte da configuração da fonte de dados. Se adicionar documentos diretamente a um índice, especifique a ACL no objeto Entidade principal como parte do objeto de documento na API de BatchputDocument.

Se estiver utilizando um índice do Amazon Kendra Enterprise ou Developer Edition, use a API CreateAccessControlConfiguration para reconfigurar o controle de acesso existente em nível de documento sem ter que indexar todos os documentos novamente. Por exemplo, seu índice contém documentos ultrassecretos da empresa que somente determinados funcionários ou usuários devem acessar. Um desses usuários deixa a empresa ou muda para uma equipe que deveria ser impedida de acessar documentos ultrassecretos. O usuário ainda tem acesso a documentos ultrassecretos porque o usuário teve acesso quando seus documentos foram indexados anteriormente. Crie uma configuração específica de controle de acesso para o usuário com acesso negado. Posteriormente, atualize a configuração do controle de acesso para permitir o acesso caso o usuário retorne à empresa e se junte novamente à equipe “ultrassecreta”. Configure novamente o controle de acesso para seus documentos conforme as circunstâncias mudarem.

Para aplicar sua configuração de controle de acesso a determinados documentos, você chama a API de BatchputDocument com o AccessControlConfigurationId o incluído no objeto Documento. Use um bucket do S3 como fonte de dados, atualize o .metadata.json com o AccessControlConfigurationId e sincronize sua fonte de dados. OAmazon Kendra atualmente só oferece suporte à configuração de controle de acesso para fontes de dados e documentos do S3 indexados usando a API de BatchPutDocument.

Filtragem por token de usuário

Importante

Os índices do Amazon Kendra GenAI Enterprise Edition não são compatíveis com o controle de acesso de usuários baseado em tokens.

Ao consultar um índice, você poderá usar um token de usuário para filtrar os resultados da pesquisa com base no acesso do usuário ou do grupo aos documentos. Ao emitir uma consulta, o Amazon Kendra extrai e valida o token, extrai e verifica as informações do usuário e do grupo e executa a consulta. Todos os documentos aos quais o usuário tem acesso, incluindo documentos públicos, são devolvidos. Para obter mais informações, consulte Controle de acesso de usuário baseado em token.

Você fornece o token do usuário no objeto UserContext e o transmite na API de consulta.

Veja a seguir como incluir um token de usuário. 

response = kendra.query(
    QueryText = query,
    IndexId = index,
    UserToken = {
        Token = "token"
    })

Você poderá mapear usuários para grupos. Ao usar a filtragem de contexto de usuário, não é necessário incluir todos os grupos aos quais um usuário pertence ao emitir a consulta. Com a API de PutPrincipalMapping, você poderá mapear usuários para seus grupos. Se não quiser usar a API de PutPrincipalMapping, deverá fornecer o nome do usuário e todos os grupos aos quais o usuário pertence ao emitir uma consulta. Você também poderá obter níveis de acesso de grupos e usuários na sua fonte de identidade do Centro de identidade do IAM usando o objeto UserGroupResolutionConfiguration.

Filtragem por ID de usuário e grupo

Ao consultar um índice, você pode usar o ID do usuário e o grupo para filtrar os resultados da pesquisa com base no acesso do usuário ou do grupo aos documentos. Ao emitir uma consulta, o Amazon Kendra verifica as informações do usuário e do grupo e executa a consulta. Todos os documentos relevantes para a consulta à qual o usuário tem acesso, inclusive documentos públicos, são retornados.

Você também poderá filtrar os resultados da pesquisa por fontes de dados às quais usuários e grupos têm acesso. Especificar uma fonte de dados é útil se um grupo estiver vinculado a várias fontes de dados, mas você desejar que o grupo acesse apenas documentos de uma determinada fonte de dados. Por exemplo, os grupos “Pesquisa”, “Engenharia” e “Vendas e Marketing” estão todos vinculados aos documentos da empresa armazenados nas fontes de dados do Confluence e Salesforce. No entanto, a equipe de “Vendas e Marketing” só precisa acessar documentos relacionados ao cliente armazenados no Salesforce. Assim, quando usuários de vendas e marketing pesquisam documentos relacionados ao cliente, eles podem visualizar documentos da Salesforce em seus resultados. Usuários que não trabalham em vendas e marketing não veem documentos do Salesforce em seus resultados de pesquisa.

Você fornece as informações do usuário, dos grupos e das fontes de dados no objeto UserContext e as transmite na API de consulta. O ID do usuário e a lista de grupos e fontes de dados devem corresponder ao nome especificado no objeto Entidade principal para identificar o usuário, os grupos e as fontes de dados. Com o objeto Principal, adicione um usuário, grupo ou fonte de dados a uma lista de permissões ou a uma lista de negação para acessar um documento.

Se desejar, especifique um dos seguintes itens:

  • Informações de usuários e grupos e informações de fontes de dados (opcionais).

  • Somente as informações do usuário se você mapear seus usuários para grupos e fontes de dados usando a API de PutPrincipalMapping. Você também poderá obter níveis de acesso de grupos e usuários na sua fonte de identidade do Centro de identidade do IAM usando o objeto UserGroupResolutionConfiguration.

Se essas informações não estiverem incluídas na consulta, Amazon Kendra retornará todos os documentos. Se você fornecer essas informações, somente documentos com IDs de usuário, grupos e fontes de dados correspondentes serão retornados.

Veja a seguir como incluir ID de usuário, grupos e fontes de dados.

response = kendra.query(
    QueryText = query,
    IndexId = index,
    UserContext={'Token': 'string', 'UserId': 'string', 'Groups': [ 'string', ], 'DataSourceGroups': [ { 'GroupId': 'string', 'DataSourceId': 'string' }, ] },)

Filtrando por atributo do usuário

Ao consultar um índice, use os atributos integrados _user_id e _group_id para filtrar os resultados da pesquisa com base no acesso do usuário e do grupo aos documentos. Configure até 100 identificadores de grupo. Ao emitir uma consulta, o Amazon Kendra verifica as informações do usuário e do grupo e executa a consulta. Todos os documentos relevantes para a consulta à qual o usuário tem acesso, incluindo documentos públicos, são retornados.

Você fornece os atributos de usuário e grupo no objeto AttributeFilter e os transmite na API de consulta.

O exemplo a seguir mostra uma solicitação que filtra a resposta da consulta com base na ID do usuário e nos grupos “RH” e “TI” aos quais o usuário pertence. A consulta retornará qualquer documento que tenha o usuário ou os grupos “RH” ou “TI” na lista de permissões. Se o usuário ou qualquer um dos grupos estiver na lista de negação de um documento, o documento não será retornado.

response = kendra.query(
        QueryText = query,
        IndexId = index,
        AttributeFilter = {
            "OrAllFilters": [
                {
                    "EqualsTo": {
                        "Key": "_user_id",
                        "Value": {
                            "StringValue": "user1"
                        }
                     }
                },
                {
                    "EqualsTo": {
                        "Key": "_group_ids",
                        "Value": {
                            "StringListValue": ["HR", "IT"]
                        }
                    }
                }
            ]
        }
        )

Você também poderá especificar qual fonte de dados um grupo pode acessar no objeto Principal.

nota

A filtragem de contexto do usuário não é um controle de autenticação ou autorização para seu conteúdo. Ele não faz autenticação de usuário no usuário e nos grupos enviados para a API de Query. Cabe ao seu aplicativo garantir que as informações do usuário e do grupo enviadas à API de Query sejam autenticadas e autorizadas.

Há uma implementação da filtragem de contexto do usuário para cada fonte de dados. A seção a seguir descreve cada implementação.

Filtragem de contexto do usuário para documentos adicionados diretamente a um índice

Ao adicionar documentos diretamente a um índice usando a API de BatchputDocument do Amazon Kendra, obtém informações do usuário e do grupo do campo AccessControlList do documento. Você fornece uma lista de controle de acesso (ACL) para seus documentos e a ACL é ingerida com seus documentos.

Você especifica a ACL no objeto Principal como parte do objeto Documento na API de BatchPutDocument . Você fornece as seguintes informações:

  • O acesso que o usuário ou grupo deve ter. Você poderá dizer ALLOW ou DENY.

  • O tipo de entidade. Você poderá dizer USER ou GROUP.

  • O nome do usuário ou grupo.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para perguntas frequentes

Ao adicionar uma pergunta frequente a um índice, o Amazon Kendra obtém informações do usuário e do grupo do =objeto/campo AccessControlList do arquivo JSON de Perguntas frequentes. Você também poderá usar um arquivo CSV de perguntas frequentes com campos ou atributos personalizados para controle de acesso.

Você fornece as seguintes informações:

  • O acesso que o usuário ou grupo deve ter. Você poderá dizer ALLOW ou DENY.

  • O tipo de entidade. Você poderá dizer USER ou GROUP.

  • O nome do usuário ou grupo.

Para obter mais informações, consulte Arquivos de perguntas frequentes.

Filtragem de contexto do usuário para fontes de dados

O Amazon Kendra também rastreia as informações da lista de controle de acesso (ACL) de usuários e grupos de conectores de fonte de dados compatíveis. Isso é útil para a filtragem de contexto do usuário, em que os resultados da pesquisa são filtrados com base no acesso do usuário ou do grupo aos documentos.

Importante

Os índices do Amazon Kendra GenAI Enterprise Edition são compatíveis somente com os conectores de fonte de dados do Amazon Kendra v2.0.

Tópicos

Filtragem de contexto do usuário para as fontes de dados do Gerenciador de experiência da Adobe

Ao usar uma fonte de dados do Gerenciador de experiência da Adobe, o Amazon Kendra obtém as informações do usuário e do grupo da instância do Gerenciador de experiência da Adobe.

Os IDs do grupo e do usuário são mapeados da seguinte forma:

  • _group_ids – Os IDs de grupo existem no conteúdo do Gerenciador de experiência da Adobe onde há permissões de acesso definidas. Eles são mapeados a partir dos nomes dos grupos no Gerenciador de experiência da Adobe.

  • _user_id – Os IDs de usuário existem no conteúdo do Gerenciador de experiência da Adobe onde há permissões de acesso definidas. Eles são mapeados dos e-mails do usuário como IDs no Gerenciador de experiência da Adobe.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para as fontes de dados do Alfresco

Ao usar uma fonte de dados do Alfresco, o Amazon Kendra obtém as informações do usuário e do grupo da instância do Alfresco.

Os IDs do grupo e do usuário são mapeados da seguinte forma:

  • _group_ids – Existem IDs de grupo no Alfresco em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos nomes do sistema dos grupos (não dos nomes de exibição) no Alfresco.

  • _user_id – Existem IDs de usuário no Alfresco em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no Alfresco.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para as fontes de dados (MySQL) do Aurora

Ao usar uma fonte de dados (MySQL) do Aurora, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados (MySQL) do Aurora tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados (PostgreSQL) do Aurora.

Ao usar uma fonte de dados (MySQL) do Aurora, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados (PostgreSQL) do Aurora tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do Amazon FSx

Ao usar uma fonte de dados do Amazon FSx, o Amazon Kendra obtém informações de usuários e grupos do serviço de diretório da instância do Amazon FSx.

Os IDs do grupo e do usuário do Amazon FSx são mapeadas da seguinte forma:

  • _group_ids – Há IDs de grupo no Amazon FSx em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos nomes dos grupos do sistema no serviço de diretório do Amazon FSx.

  • _user_id – Há IDs de usuário no Amazon FSx em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos nomes de usuário do sistema no serviço de diretório do Amazon FSx.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do banco de dados

Ao usar uma fonte de dados de banco de dados, como Amazon Aurora PostgreSQL, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no objeto ACLConfiguration como parte do objeto DatabaseConfiguration na API de CreateDataSource.

Uma fonte de dados de banco de dados tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados (Microsoft SQL Server) do Amazon RDS

Quando você usa uma fonte de dados (Microsoft SQL Server) do Amazon RDS, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados do (Microsoft SQL Server) do Amazon RDS tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados (MySQL) do Amazon RDS

Ao usar uma fonte de dados (MySQL) do Amazon RDS , o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados (MySQL) do Amazon RDS tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados (Oracle) Amazon RDS

Quando você usa uma fonte de dados (Oracle) do Amazon RDS, Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados (Oracle) do Amazon RDS tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados (PostgreSQL) do Amazon RDS

Ao usar uma fonte de dados (MySQL) do Amazon RDS, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados (PostgreSQL) do Amazon RDS tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do Amazon S3

Você adiciona a filtragem de contexto do usuário a um documento em uma fonte de dados do Amazon S3 usando um arquivo de metadados associado ao documento. Você adiciona as informações a campo AccessControlList no documento do JSON. Para obter mais informações sobre como adicionar metadados aos documentos indexados de uma fonte de dados do Amazon S3, consulte Metadados do documento do S3.

Você fornece três informações:

  • O acesso que a entidade deve ter. Você poderá dizer ALLOW ou DENY.

  • O tipo de entidade. Você poderá dizer USER ou GROUP.

  • O nome da entidade.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Box

Ao usar uma fonte de dados do Box, o Amazon Kendra obtém informações do usuário e do grupo da instância do Box.

O grupo Box e os IDs de usuário são mapeados da seguinte forma:

  • _group_ids – Há IDs de grupo no Box em arquivos em que há permissões de acesso definidas. Eles são mapeados a partir dos nomes dos grupos no Box.

  • _user_id – Há IDs de usuário no Box em arquivos em que há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs de usuário no Box.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Confluence

Ao usar uma fonte de dados do Confluence, o Amazon Kendra obtém informações de usuários e grupos da instância do Confluence.

Você configura o acesso de usuários e grupos aos espaços usando a página de permissões de espaço. Para páginas e blogs, você usa a página de restrições. Para obter mais informações sobre permissões de espaço, consulte Visão geral das permissões de espaço no site de suporte do Confluence. Para obter mais informações sobre restrições de páginas e blogs, consulte Restrições de página no site de suporte do Confluence.

O grupo e os nomes de usuário do Confluence são mapeados da seguinte forma:

  • _group_ids – Os nomes dos grupos estão presentes em espaços, páginas e blogs onde há restrições. Eles são mapeados a partir do nome do grupo no Confluence. Os nomes dos grupos estão sempre em minúsculas.

  • _user_id – Os nomes de usuário estão presentes no espaço, na página ou no blog em que há restrições. Eles são mapeados de acordo com o tipo de instância do Confluence que você está usando.

    Para o conector do Confluence v1.0

    • Servidor – O _user_id é o nome do usuário. O nome de usuário é sempre minúsculo.

    • Nuvem – O _user_id é o ID da conta do usuário.

    Para o conector do Confluence v2.0

    • Servidor – O _user_id é o nome do usuário. O nome de usuário é sempre minúsculo.

    • Nuvem – O_user_id é o ID de e-mail do usuário.

    Importante

    Para que a filtragem de contexto do usuário funcione corretamente no seu conector do Confluence, você precisa garantir que a visibilidade de um usuário com acesso a uma página do Confluence esteja definida como Qualquer pessoa. Para obter mais informações, consulte Definir a visibilidade do seu e-mail na documentação do desenvolvedor da Atlassian.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Dropbox

Ao usar uma fonte de dados do Dropbox, o Amazon Kendra obtém as informações do usuário e do grupo da instância do Dropbox.

Os IDs do grupo e do usuário são mapeados da seguinte forma:

  • _group_ids – Há IDs de grupo no Dropbox em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos nomes dos grupos no Dropbox.

  • _user_id – Há IDs de usuário no Dropbox em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no Dropbox.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Drupal

Ao usar uma fonte de dados do Drupal, o Amazon Kendra obtém as informações do usuário e do grupo da instância do Drupal.

Os IDs do grupo e do usuário são mapeados da seguinte forma:

  • _group_ids – Há IDs de grupo no Drupal em arquivos em que há permissões de acesso definidas. Eles são mapeados a partir dos nomes dos grupos no Drupal.

  • _user_id – Há IDs de usuário no Drupal em arquivos onde há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no Drupal.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto de usuário para fontes de dados do GitHub

Ao usar uma fonte de dados do GitHub, o Amazon Kendra obtém informações do usuário da instância do GitHub.

Os IDs de usuário do GitHub são mapeados da seguinte forma:

  • _user_id – Há IDs de usuário no GitHub em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no GitHub.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Gmail

Ao usar uma fonte de dados do Gmail, o Amazon Kendra obtém as informações do usuário da instância do Gmail.

Os IDs de usuário são mapeadas da seguinte forma:

  • _user_id – Há IDs de usuário no Gmail em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no Gmail.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Google Drive

Uma fonte de dados do Google Workspace Drive retorna informações de usuários e grupos para usuários e grupos do Google Drive. A associação ao grupo e ao domínio é mapeada para o campo de índice de _group_ids. O nome de usuário do Google Drive é mapeado para o campo do _user_id.

Ao fornecer um ou mais endereços de e-mail de usuário na API de Query, somente os documentos que foram compartilhados com esses endereços de e-mail são retornados. O parâmetro AttributeFilter a seguir retorna somente documentos compartilhados com "martha@example.com”.

"AttributeFilter": {
                "EqualsTo":{
                   "Key": "_user_id", 
                   "Value": {
                       "StringValue": "martha@example.com"
                   }
               }
           }

Se fornecer um ou mais endereços de e-mail de grupo na consulta, somente os documentos compartilhados com os grupos serão retornados. O parâmetro AttributeFilter a seguir retorna somente documentos compartilhados com o grupo "hr@example.com”.

"AttributeFilter": {
                "EqualsTo":{
                   "Key": "_group_ids", 
                   "Value": {
                       "StringListValue": ["hr@example.com"]
                   }
               }
           }

Se fornecer o domínio na consulta, todos os documentos compartilhados com o domínio serão retornados. O parâmetro AttributeFilter a seguir retorna documentos compartilhados com o domínio “exemplo.com”.

"AttributeFilter": {
                "EqualsTo":{
                   "Key": "_group_ids", 
                   "Value": {
                       "StringListValue": ["example.com"]
                   }
               }
           }

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do IBM DB2

Ao usar uma fonte de dados IBM DB2, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados do IBM DB2 tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do Jira

Ao usar uma fonte de dados do Jira, o Amazon Kendra obtém informações de usuários e grupos da instância do Jira.

Os IDs de usuário do Jira são mapeados da seguinte forma:

  • _user_id – Há IDs de usuário no Jira em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs de usuário no Jira.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto de usuário para fontes de dados do Microsoft Exchange

Ao usar uma fonte de dados do Microsoft Exchange, o Amazon Kendra obtém as informações do usuário pela instância do Microsoft Exchange.

Os IDs de usuário do Microsoft Exchange são mapeadas da seguinte forma:

  • _user_id: existem IDs de usuário nas permissões do Microsoft Exchange para que os usuários acessem certo conteúdo. Eles são mapeados dos nomes de usuário como IDs no Microsoft Exchange.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Microsoft OneDrive

O Amazon Kendra recupera informações de usuários e grupos do Microsoft OneDrive quando indexa os documentos no site. As informações do usuário e do grupo são obtidas do site subjacente do Microsoft SharePoint que hospeda o OneDrive.

Ao usar um usuário ou grupo do OneDrive para filtrar resultados de pesquisa, calcule o ID da seguinte forma:

  1. Obter o nome do site. Por exemplo, ., https://host.onmicrosoft.com/sites/siteName.

  2. Pegue o hash MD5 do nome do site. Por exemplo, 430a6b90503eef95c89295c8999c7981.

  3. Crie o e-mail do usuário ou o ID do grupo concatenando o hash MD5 com uma barra vertical (|) e o ID. Por exemplo, se o nome de um grupo fosse “localGroupName”, o ID do grupo seria:

    "430a6b90503eef95c89295c8999c7981 | localGroupName"

    nota

    Inclua um espaço antes e depois da barra vertical. A barra vertical é usada para identificar localGroupName com seu hash MD5.

    Para o nome de usuário “someone@host.onmicrosoft.com”, o ID do usuário seria o seguinte:

    "430a6b90503eef95c89295c8999c7981 | someone@host.onmicrosoft.com"

Envie o ID do usuário ou do grupo para o Amazon Kendra como o atributo _user_id ou _group_id ao chamar a API de consulta. Por exemplo, o comando da AWS CLI que usa um grupo para filtrar os resultados da pesquisa seria assim:

aws kendra  query \
                --index-id index ID  
                --query-text "query text" 
                --attribute-filter '{
                   "EqualsTo":{
                     "Key": "_group_id", 
                     "Value": {"StringValue": "430a6b90503eef95c89295c8999c7981 | localGroupName"}
                  }}'

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Microsoft OneDrive v2.0

Uma fonte de dados do Microsoft OneDrive v2.0 retorna informações de seção e página das entidades da lista de controle de acesso (ACL) do OneDrive. O Amazon Kendra usa o domínio de locatário do OneDrive para se conectar à instância do OneDrive e pode, então, filtrar os resultados da pesquisa com base no acesso do usuário ou grupo aos nomes de arquivos e seções.

Para objetos padrão, os _user_id e _group_id são usados da seguinte forma:

  • _user_id – Seu ID de e-mail de usuário do Microsoft OneDrive é mapeado para o campo do _user_id.

  • _group_id – Seu e-mail de grupo do Microsoft OneDrive é mapeado para o campo do _group_id.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto de usuário para fontes de dados do Microsoft SharePoint

O Amazon Kendra recupera informações de usuários e grupos do Microsoft SharePoint ao indexar os documentos do site. Para filtrar os resultados da pesquisa com base no acesso do usuário ou grupo, forneça as informações deles ao chamar a API Query.

Para filtrar usando um nome de usuário, use o endereço de e-mail do usuário. Por exemplo, johnstiles@example.com.

Ao usar um grupo do SharePoint para filtrar resultados de pesquisa, calcule o ID do grupo da seguinte forma:

Para grupos locais

  1. Obter o nome do site. Por exemplo, ., https://host.onmicrosoft.com/sites/siteName.

  2. Pegue o hash SHA256 do nome do site. Por exemplo, 430a6b90503eef95c89295c8999c7981.

  3. Crie o ID do grupo concatenando o hash SHA256 com uma barra vertical (|) e o nome do grupo. Por exemplo, se o nome do grupo fosse “localGroupName”, o ID do grupo seria:

    "430a6b90503eef95c89295c8999c7981 | localGroupName"

    nota

    Inclua um espaço antes e depois da barra vertical. A barra vertical é usada para se identificar localGroupName com seu hash SHA256.

Envie o ID do grupo ao Amazon Kendra como atributo _group_id ao chamar a API de consulta. Por exemplo, o comando da AWS CLI é semelhante a:

aws kendra  query \
                --index-id index ID  
                --query-text "query text" 
                --attribute-filter '{
                   "EqualsTo":{
                     "Key": "_group_id", 
                     "Value": {"StringValue": "430a6b90503eef95c89295c8999c7981 | localGroupName"}
                  }}'

Para grupos do AD

  1. Use o ID do grupo do AD para configurar a filtragem dos resultados de pesquisa.

Envie o ID do grupo ao Amazon Kendra como atributo _group_id ao chamar a API de consulta. Por exemplo, o comando da AWS CLI é semelhante a:

aws kendra  query \
                --index-id index ID  
                --query-text "query text" 
                --attribute-filter '{
                   "EqualsTo":{
                     "Key": "_group_id", 
                     "Value": {"StringValue": "AD group"}
                  }}'

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto de usuário para fontes de dados do Microsoft SQL Server

Ao usar uma fonte de dados do Microsoft SQL Server, o Amazon Kendra obtém informações de usuários e grupos de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados do banco de dados do Microsoft SQL Server tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do Microsoft Teams

O Amazon Kendra recupera informações do usuário do Microsoft Teams ao indexar os documentos. As informações do usuário são obtidas da instância subjacente do Microsoft Teams.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Microsoft Yammer

O Amazon Kendra recupera informações do usuário do Microsoft Yammer ao indexar os documentos. As informações do usuário e do grupo são obtidas da instância subjacente do Microsoft Yammer.

Os IDs de usuário do Microsoft Yammer são mapeadas da seguinte forma:

  • _email_id: o ID de e-mail da Microsoft mapeado para o campo _user_id.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados MySQL

Ao usar uma fonte de dados MySQL, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados do MySQL tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do Oracle Database

Ao usar uma fonte de dados do Oracle Database, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados do banco de dados Oracle Database tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do PostgreSQL

Ao usar uma fonte de dados do PostgreSQL, o Amazon Kendra obtém informações do usuário e do grupo de uma coluna na tabela de origem. Você especifica essa coluna no console ou usando o objeto TemplateConfiguration como parte da API de CreateDataSource.

Uma fonte de dados de banco de dados do PostgreSQL tem as seguintes limitações:

  • Você poderá apenas especificar uma lista de permissões para uma fonte de dados do banco de dados. Se desejar, especifique uma lista de negação.

  • Você poderá apenas especificar grupos. Não é possível especificar usuários individuais para a lista de permissões.

  • A coluna do banco de dados deve ser uma sequência de caracteres contendo uma lista de grupos delimitada por ponto e vírgula.

Filtragem de contexto do usuário para fontes de dados do Quip

Ao usar uma fonte de dados do Quip, o Amazon Kendra obtém as informações do usuário da instância do Quip.

Os IDs de usuário do Quip são mapeados da seguinte forma:

  • _user_id – Os IDs de usuário existem no Quip em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no Quip.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Salesforce

Uma fonte de dados do Salesforce retorna informações de usuários e grupos de entidades da lista de controle de acesso (ACL) do Salesforce. Aplique a filtragem de contexto do usuário aos objetos padrão e aos feeds de bate-papo do Salesforce. A filtragem de contexto do usuário não está disponível para artigos de conhecimento do Salesforce.

Se você associar qualquer campo do Salesforce aos campos de título e corpo do documento do Amazon Kendra, este usará os dados desses campos nas respostas da pesquisa.

Para objetos padrão, os _user_id e _group_ids são usados da seguinte forma:

  • _user_id – O nome de usuário do Salesforce.

  • _group_ids

    • Nome do Salesforce Profile

    • Nome do Salesforce Group

    • Nome do Salesforce UserRole

    • Nome do Salesforce PermissionSet

Para feeds de bate-papo, os _user_id e _group_ids são usados da seguinte forma:

  • _user_id – O nome de usuário do Salesforce. Disponível somente se o item for publicado no feed do usuário.

  • _group_ids – Os IDs de grupo são usados da seguinte forma: Disponível somente se o item do feed for publicado em um bate-papo ou em um grupo de colaboração.

    • O nome da conversa ou grupo de colaboração.

    • Se o grupo for público, PUBLIC:ALL.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do ServiceNow

A filtragem de contexto do usuário para o ServiceNow tem suporte somente com a API TemplateConfiguration e o ServiceNow Connector v2.0. A API de ServiceNowConfiguration e o ServiceNow do Connector v1.0. não dão suporte à filtragem de contexto do usuário.

Ao usar uma fonte de dados do ServiceNow, o Amazon Kendra obtém as informações do usuário e do grupo da instância do ServiceNow.

Os IDs do grupo e do usuário são mapeados da seguinte forma:

  • _group_ids – Há IDs de grupo no ServiceNow em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos nomes das funções do sys_ids no ServiceNow.

  • _user_id – Há IDs de usuário no ServiceNow em arquivos nos quais há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no ServiceNow.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Slack

Ao usar uma fonte de dados do Slack, o Amazon Kendra obtém as informações do usuário da instância do Slack.

Os IDs de usuário do Slack são mapeados da seguinte forma:

  • _user_id – Há IDs de usuário no Slack em mensagens e canais em que há permissões de acesso definidas. Eles são mapeados a partir dos e-mails do usuário como IDs no Slack.

Adicionar até 200 entradas no campo AccessControlList.

Filtragem de contexto do usuário para fontes de dados do Zendesk

Ao usar uma fonte de dados do Zendesk, o Amazon Kendra obtém as informações do usuário e do grupo da instância do Zendesk.

Os IDs do grupo e do usuário são mapeados da seguinte forma:

  • _group_ids – Há IDs de grupo nos tickets e artigos do Zendesk em que há permissões de acesso definidas. Eles são mapeados a partir dos nomes dos grupos no Zendesk.

  • _user_id – Há IDs de grupo nos tickets e artigos do Zendesk em que há permissões de acesso definidas. Eles são mapeados a partir dos emails do usuário como IDs no Zendesk.

Adicionar até 200 entradas no campo AccessControlList.