本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS IAM Identity Center 身份源入门(控制台) AWS IAM Identity Center 身份源包含有关您的用户和群组的信息。这对于设置用户上下文筛选非常有用,即根据用户或其群组对文档的访问权限 Amazon Kendra 筛选不同用户的搜索结果。 要创建 IAM Identity Center 身份源,您必须激活 IAM Identity Center 并在 AWS Organizations中创建一个组织。当您首次激活 IAM Identity Center 并创建组织时,它会自动默认将 Identity Center 目录作为身份源。您可以将其更改为 Active Directory(Amazon 托管或自管理)或外部身份提供商,以作为您的身份来源。您必须遵循正确的指导,请参阅[更改 IAM Identity Center 身份来源](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html)。每个组织只能有一个身份源。 为了向用户和组分配不同级别的文档访问权限,在将文档提取到索引中时,您需要将您的用户和组包含在访问控制列表中。这允许您的用户和组根据其访问权限级别搜索 Amazon Kendra 中的文档。当您发出查询时,用户 ID 必须与 IAM Identity Center 中的用户名完全匹配。 您还必须授予使用 IAM 身份中心所需的权限 Amazon Kendra。有关更多信息,请参阅[IAM Identity Center 的IAM 角色](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso)。 **设置 IAM Identity Center 身份源** 1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。 1. 选择**启用 IAM 身份中心**,然后选择**创建 AWS 组织**。 默认情况下会创建 Identity Center 目录,并向您发送一封电子邮件以验证与组织关联的电子邮件地址。 1. 要将群组添加到您的 AWS 组织,请在导航窗格中选择**群组**。 1. 在**组页面**上,选择**创建组**并在对话框中输入组的名称和描述。选择**创建**。 1. 要向组织添加用户,请在导航窗格中选择**用户**。 1. 在 **Users (用户)** 页面上,选择 **Add user (添加用户)**。在**用户详细信息**下,指定所有必填字段。对于**密码**,选择**向用户发送电子邮件**。选择**下一步**。 1. 要将用户添加到组,请选择**组**并选择一个组。 1. 在**详细信息**页面上的**组成员**下,选择**添加用户**。 1. 在**向组添加用户**页面上,选择要添加为组成员的用户。您可以选择多个用户以添加到组中。 1. 要将您的用户和组列表与 IAM Identity Center 同步,请将您的身份源更改为 Active Directory 或外部身份提供商。 Identity Center 目录是默认的身份源,如果您没有让提供商管理自己的列表,则需要您使用此来源手动添加用户和组。要更改身份源,您必须按照正确的指导操作,请参阅[更改 IAM Identity Center 身份源](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html)。 **注意** 如果使用 Active Directory 或外部身份提供商作为身份源,则在指定跨域身份管理系统(SCIM)协议时,必须将用户的电子邮件地址映射到 IAM Identity Center 用户名。有关更多信息,请参阅 [SCIM 上有关启用 IAM Identity Center 的《IAM Identity Center 指南》](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html)。 设置 IAM Identity Center 身份源后,您可以在创建或编辑索引时在控制台中将其激活。转到索引设置中的**用户访问控制**并编辑您的设置,以允许从 IAM Identity Center 获取用户组信息。 您也可以使用[UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)对象激活 IAM 身份中心。您提供 `UserGroupResolutionMode` as `AWS_SSO` 并创建一个 IAM 角色来授予调用`sso:ListDirectoryAssociations`、、`sso-directory:SearchUsers``sso-directory:ListGroupsForUser`、的权限`sso-directory:DescribeGroups`。 **警告** Amazon Kendra 目前不支持使用`UserGroupResolutionConfiguration` AWS 组织成员账户作为您的 IAM Identity Center 身份源。您必须在组织的管理账户中创建索引才能使用 `UserGroupResolutionConfiguration`。 下面概述了如何设置数据来源 `UserGroupResolutionConfiguration` 和用户访问控制来根据用户上下文筛选搜索结果。这假设您已经为索引创建了索引和 IAM 角色。您可以使用 [CreateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateIndex.html)API 创建索引并提供 IAM 角色。 **使用 `UserGroupResolutionConfiguration` 和用户上下文筛选设置数据来源** 1. 创建授予访问 IAM Identity Center 身份源的权限的 [IAM 角色](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso)。 1. [https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)通过将模式设置为进行配置,`AWS_SSO`然后调用更新您的索引[UpdateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html)以使用 IAM Identity Center。 1. 如果要使用基于令牌的用户访问控制根据用户上下文筛选搜索结果,请[UserContextPolicy](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html#Kendra-UpdateIndex-request-UserContextPolicy)将其设置为呼叫`USER_TOKEN`时。`UpdateIndex`否则, Amazon Kendra 会搜索大多数数据源连接器的每个文档的访问控制列表。您还可以通过在 `UserContext` 中提供用户和组信息,在[查询](https://docs.aws.amazon.com/kendra/latest/APIReference/API_Query.html) API 中根据用户上下文筛选搜索结果。您也可以使用将用户映射到他们的群组,[PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html)这样您只需在发出查询时提供用户 ID。 1. 创建一个 [IAM 角色](https://docs.aws.amazon.com//kendra/latest/dg/iam-roles.html#iam-roles-ds),以授予访问数据来源的权限。 1. [配置](https://docs.aws.amazon.com/kendra/latest/APIReference/API_DataSourceConfiguration.html)数据来源。您必须提供所需的连接信息以连接到您的数据来源。 1. 使用 [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API 创建数据源。提供 `DataSourceConfiguration` 对象,包括索引的 ID `TemplateConfiguration`、数据来源的 IAM 角色、数据来源类型,并为您的数据来源命名。您也可以更新您的数据来源。