Amazon Kendra 的 AWS 托管式策略 - Amazon Kendra
AmazonKendraReadOnlyAmazonKendraFullAccess策略更新

Amazon Kendra 的 AWS 托管式策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

AWS 服务负责维护和更新 AWS 托管式策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 托管式策略

AWS 托管式策略:AmazonKendraReadOnly

授予 Amazon Kendra 资源只读访问权限。该策略包含以下权限。

  • kendra - 允许用户执行返回项目列表或项目详细信息的操作。这包括以 DescribeListQueryBatchGetDocumentStatusGetQuerySuggestionsGetSnapshots 开头的 API 操作。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "kendra:Describe*",
                "kendra:List*",
                "kendra:Query",
                "kendra:BatchGetDocumentStatus",
                "kendra:GetQuerySuggestions",
                "kendra:GetSnapshots"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 托管式策略:AmazonKendraFullAccess

授予创建、读取、更新、删除、标记和运行全部 Amazon Kendra 资源的完全访问权限。该策略包含以下权限。

  • kendra - 允许主体读写访问 Amazon Kendra 中的所有操作。

  • s3 - 允许主体获取 Amazon S3 存储桶的位置并列出存储桶。

  • iam - 允许主体传递和列出角色。

  • kms - 允许主体描述和列出 AWS KMS 键和别名。

  • secretsmanager - 允许主体创建、描述和列出密钥。

  • ec2 - 允许主体描述安全组、VCP(虚拟私有云)和子网。

  • cloudwatch - 允许主体查看 Cloud Watch 指标。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kendra.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListKeys",
                "kms:ListAliases",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonKendra-*"
        },
        {
            "Effect": "Allow",
            "Action": "kendra:*",
            "Resource": "*"
        }
    ]
}

AWS 托管策略的 Amazon Kendra 更新

查看有关 Amazon Kendra 的 AWS 托管策略的更新的详细信息(此服务开始跟踪这些更改)。有关此页面更改的自动提示,请订阅 Amazon Kendra 文档历史记录页面上的 RSS 源。

更改 描述 日期

AmazonKendraReadOnly - 添加支持 GetSnapshots、BatchGetDocumentStatus API 的权限

Amazon Kendra 添加了新的 API GetSnapshotsBatchGetDocumentStatusGetSnapshots 提供的数据显示您的用户如何与您的搜索应用程序进行交互。BatchGetDocumentStatus 监控为文档编制索引的进度。

 2022 年 1 月 3 日

AmazonKendraReadOnly - 添加支持 GetQuerySuggestions 操作的权限

Amazon Kendra 添加了一个新的 API GetQuerySuggestions,允许访问获取热门搜索查询的查询建议,从而帮助指导用户的搜索。当用户键入搜索查询时,建议的查询有助于自动完成搜索。

 2021 年 5 月 27 日

Amazon Kendra 已开始跟踪更改

Amazon Kendra 为其 AWS 托管策略开启了跟踪更改。

 2021 年 5 月 27 日