Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# IAM Rôles d’accès pour Amazon Kendra
Lorsque vous créez un index, une source de données ou une FAQ, Amazon Kendra vous devez accéder aux AWS ressources requises pour créer la Amazon Kendra ressource. Vous devez créer une politique Gestion des identités et des accès AWS (IAM) avant de créer la Amazon Kendra ressource. Lorsque vous appelez l'opération, vous fournissez le nom de ressource Amazon (ARN) du rôle avec la politique jointe. Par exemple, si vous appelez l'[BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)API pour ajouter des documents à partir d'un Amazon S3 compartiment, vous Amazon Kendra attribuez un rôle doté d'une politique d'accès au compartiment.
Vous pouvez créer un nouveau IAM rôle dans la Amazon Kendra console ou choisir un rôle IAM existant à utiliser. La console affiche les rôles dont le nom contient la chaîne « kendra » ou « Kendra ».
Les rubriques suivantes fournissent des informations détaillées sur les politiques requises. Si vous créez des IAM rôles à l'aide de la Amazon Kendra console, ces politiques sont créées pour vous.
**Topics**
+ [IAM rôles pour les index](#iam-roles-index)
+ [IAM rôles pour l' BatchPutDocument API](#iam-roles-batch)
+ [IAM rôles pour les sources de données](#iam-roles-ds)
+ [Rôle de cloud privé virtuel (VPC) IAM](#iam-roles-vpc)
+ [IAM rôles pour les questions fréquemment posées (FAQs)](#iam-roles-ds-faq)
+ [IAM rôles pour les suggestions de requêtes](#iam-roles-query-suggestions)
+ [IAM rôles pour le mappage principal des utilisateurs et des groupes](#iam-roles-principal-mapping)
+ [IAM rôles pour AWS IAM Identity Center](#iam-roles-aws-sso)
+ [IAM rôles liés aux Amazon Kendra expériences](#iam-roles-amazon-kendra-experiences)
+ [IAM rôles pour l'enrichissement de documents personnalisés](#iam-roles-custom-document-enrichment)
## IAM rôles pour les index
Lorsque vous créez un index, vous devez fournir un IAM rôle autorisé à écrire dans un Amazon CloudWatch. Vous devez également fournir une politique de confiance qui permet Amazon Kendra d'assumer le rôle. Les politiques qui doivent être fournies sont les suivantes.
### IAM rôles pour les index
Une politique de rôle permettant Amazon Kendra d'accéder à un CloudWatch journal.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
}
]
}
```
------
Une politique de rôle pour Amazon Kendra autoriser l'accès AWS Secrets Manager. Si vous utilisez le contexte utilisateur Secrets Manager comme emplacement clé, vous pouvez appliquer la politique suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM rôles pour l' BatchPutDocument API
**Avertissement**
Amazon Kendra n'utilise pas de politique de compartiment qui autorise un Amazon Kendra mandant à interagir avec un compartiment S3. Il utilise plutôt des IAM rôles. Assurez-vous qu'il Amazon Kendra n'est pas inclus en tant que membre de confiance dans votre politique de compartiment afin d'éviter tout problème de sécurité des données lié à l'octroi accidentel d'autorisations à des principaux arbitraires. Cependant, vous pouvez ajouter une politique de compartiment pour utiliser un Amazon S3 compartiment sur différents comptes. Pour plus d'informations, consultez la section [Politiques applicables à Amazon S3 tous les comptes](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3-cross-accounts). Pour plus d'informations sur IAM les rôles pour les sources de données S3, consultez la section [IAM rôles](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3).
Lorsque vous utilisez l'[BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)API pour indexer des documents dans un Amazon S3 compartiment, vous devez Amazon Kendra fournir un IAM rôle permettant d'accéder au compartiment. Vous devez également fournir une politique de confiance qui permet Amazon Kendra d'assumer le rôle. Si les documents du compartiment sont chiffrés, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour les déchiffrer.
### IAM rôles pour l' BatchPutDocument API
Une politique de rôle obligatoire pour autoriser Amazon Kendra l'accès à un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Il est recommandé d'inclure `aws:sourceAccount` et `aws:sourceArn` dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si `aws:sourceAccount` et si `aws:sourceArn` elles sont identiques à celles prévues dans la politique de IAM rôle pour l'`sts:AssumeRole`action. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le Gestion des identités et des accès AWS guide sur le [problème de la confusion chez les députés](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## IAM rôles pour les sources de données
Lorsque vous utilisez l'[CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API, vous devez attribuer Amazon Kendra un IAM rôle autorisé à accéder aux ressources. Les autorisations spécifiques requises dépendent de la source de données.
### IAM rôles pour les sources de données Adobe Experience Manager
Lorsque vous utilisez Adobe Experience Manager, vous attribuez un rôle soumis aux politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager code secret pour authentifier votre Adobe Experience Manager.
+ Autorisation d'appeler le public requis APIs pour le connecteur Adobe Experience Manager.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Adobe Experience Manager à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Alfresco
Lorsque vous utilisez Alfresco, vous attribuez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Alfresco.
+ Autorisation d'appeler le public requis APIs pour le connecteur Alfresco.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Alfresco à Amazon Kendra via. Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Aurora (MySQL)
Lorsque vous utilisez Aurora (MySQL), vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour vous authentifier Aurora (MySQL).
+ Autorisation d'appeler le public requis APIs pour le connecteur Aurora (MySQL).
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Aurora (MySQL) à Amazon Kendra through Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les Aurora sources de données (PostgreSQL)
Lorsque vous utilisez Aurora (PostgreSQL), vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager code secret pour vous authentifier Aurora (PostgreSQL).
+ Autorisation d'appeler le public requis APIs pour le connecteur Aurora (PostgreSQL).
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Aurora (PostgreSQL) à via. Amazon Kendra Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources Amazon FSx de données
Lorsque vous utilisez Amazon FSx, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre système de Amazon FSx fichiers.
+ Autorisation d'accès Amazon Virtual Private Cloud (VPC) à l'endroit où réside votre système de Amazon FSx fichiers.
+ Autorisation d'obtenir le nom de domaine de votre Active Directory pour votre système de Amazon FSx fichiers.
+ Autorisation d'appeler le public requis APIs pour le Amazon FSx connecteur.
+ Autorisation d'appeler `BatchPutDocument` et `BatchDeleteDocument` APIs de mettre à jour l'index.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données de base de données
Lorsque vous utilisez une base de données comme source de données, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour se connecter au. Il s’agit des licences suivantes :
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du site. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données](https://docs.aws.amazon.com/kendra/latest/dg/datasource-.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
+ Autorisation d'accéder au Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le site.
**Note**
Vous pouvez connecter des sources de données de base de données Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Il existe deux politiques facultatives que vous pouvez utiliser avec une source de données.
Si vous avez chiffré le Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le, fournissez une politique pour donner Amazon Kendra accès à la clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
Si vous utilisez un VPC, définissez une politique qui donne Amazon Kendra accès aux ressources requises. Voir [IAM les rôles pour les sources de données, VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds) pour la politique requise.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Amazon RDS (Microsoft SQL Server)
Lorsque vous utilisez un connecteur de source de données Amazon RDS (Microsoft SQL Server), vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (Microsoft SQL Server).
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de données Amazon RDS (Microsoft SQL Server).
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Amazon RDS (Microsoft SQL Server) à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Amazon RDS (MySQL)
Lorsque vous utilisez un connecteur de source de données Amazon RDS (MySQL), vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (MySQL).
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de données Amazon RDS (MySQL).
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Amazon RDS (MySQL) à Amazon Kendra through Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Amazon RDS (Oracle)
Lorsque vous utilisez un connecteur de source de données Amazon RDS Oracle, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (Oracle).
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de données Amazon RDS (Oracle).
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Amazon RDS Oracle à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les Amazon RDS sources de données (PostgreSQL)
Lorsque vous utilisez un connecteur de source de données Amazon RDS (PostgreSQL), vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre instance de source de données Amazon RDS (PostgreSQL).
+ Autorisation d'appeler le public requis APIs pour le connecteur de Amazon RDS source de données (PostgreSQL).
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Amazon RDS (PostgreSQL) à via. Amazon Kendra Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources Amazon S3 de données
**Avertissement**
Amazon Kendra n'utilise pas de politique de compartiment qui autorise un Amazon Kendra mandant à interagir avec un compartiment S3. Il utilise plutôt des IAM rôles. Assurez-vous qu'il Amazon Kendra n'est pas inclus en tant que membre de confiance dans votre politique de compartiment afin d'éviter tout problème de sécurité des données lié à l'octroi accidentel d'autorisations à des principaux arbitraires. Cependant, vous pouvez ajouter une politique de compartiment pour utiliser un Amazon S3 compartiment sur différents comptes. Pour plus d'informations, voir [Politiques à utiliser Amazon S3 sur tous les comptes](#iam-roles-ds-s3-cross-accounts) (faites défiler l'écran vers le bas).
Lorsque vous utilisez un Amazon S3 bucket comme source de données, vous fournissez un rôle autorisé à accéder au bucket et à utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et. Si les documents du Amazon S3 compartiment sont chiffrés, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour les déchiffrer.
Les politiques de rôle suivantes doivent Amazon Kendra permettre d'assumer un rôle. Faites défiler la page vers le bas pour voir une politique de confiance permettant d'assumer un rôle.
Une politique de rôle obligatoire pour Amazon Kendra autoriser l'utilisation d'un Amazon S3 bucket comme source de données.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
}
]
}
```
------
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
Une politique de rôle facultative permettant d'accéder Amazon Kendra à un Amazon S3 compartiment, tout en utilisant un Amazon VPC, et sans activer AWS KMS ni partager AWS KMS d'autorisations.
Une politique de rôle facultative permettant d'accéder Amazon Kendra à un Amazon S3 compartiment en utilisant un Amazon VPC et avec AWS KMS les autorisations activées.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### Politiques à utiliser Amazon S3 sur tous les comptes
Si votre Amazon S3 bucket se trouve dans un compte différent de celui que vous utilisez pour votre Amazon Kendra index, vous pouvez créer des règles pour l'utiliser sur tous les comptes.
Une politique de rôle permettant d'utiliser votre Amazon S3 bucket comme source de données lorsque le bucket se trouve dans un compte différent de celui de votre Amazon Kendra index. Notez que `s3:PutObject` et `s3:PutObjectAcl` sont facultatifs, et vous pouvez les utiliser si vous souhaitez inclure un [fichier de configuration pour votre liste de contrôle d'accès](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html).
Une politique de compartiment permettant au rôle de source de Amazon S3 données d'accéder au Amazon S3 compartiment entre les comptes. Notez que `s3:PutObject` et `s3:PutObjectAcl` sont facultatifs, et vous pouvez les utiliser si vous souhaitez inclure un [fichier de configuration pour votre liste de contrôle d'accès](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Amazon Kendra Web Crawler
Lorsque vous utilisez Amazon Kendra Web Crawler, vous attribuez un rôle avec les politiques suivantes :
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'identification pour se connecter à des sites Web ou à un serveur proxy Web soutenu par une authentification de base. Pour plus d'informations sur le contenu du secret, consultez la section [Utilisation d'une source de données de robot d'exploration Web](https://docs.aws.amazon.com/kendra/latest/dg/data-source-web-crawler.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
+ Si vous utilisez un Amazon S3 bucket pour stocker votre liste de graines URLs ou vos plans de site, incluez l'autorisation d'accéder au Amazon S3 bucket.
**Note**
Vous pouvez connecter une source de données Amazon Kendra Web Crawler à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Si vous stockez vos graines URLs ou vos plans de site dans un Amazon S3 bucket, vous devez ajouter cette autorisation au rôle.
```
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
```
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Box
Lorsque vous utilisez Box, vous attribuez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Slack.
+ Autorisation d'appeler le public requis APIs pour le connecteur Box.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Box à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Confluence
#### IAM rôles pour Confluence Connector v1.0
Lorsque vous utilisez un serveur Confluence comme source de données, vous fournissez un rôle avec les politiques suivantes :
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'identification nécessaires pour se connecter à Confluence. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Confluence](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
**Note**
Vous pouvez connecter une source de données Confluence à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Si vous utilisez un VPC, définissez une politique qui donne Amazon Kendra accès aux ressources requises. Voir [IAM les rôles pour les sources de données, VPC](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds) pour la politique requise.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM rôles pour Confluence Connector v2.0
Pour une source de données Confluence Connector v2.0, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'authentification pour Confluence. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Confluence](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. AWS Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
Vous devez également joindre une politique de confiance qui permet Amazon Kendra d'assumer le rôle.
**Note**
Vous pouvez connecter une source de données Confluence à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de rôle permettant de Amazon Kendra se connecter à Confluence.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Dropbox
Lorsque vous utilisez Dropbox, vous attribuez un rôle conformément aux règles suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager code secret pour authentifier votre Dropbox.
+ Autorisation d'appeler le public requis APIs pour le connecteur Dropbox.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez y connecter une source de données Dropbox Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Drupal
Lorsque vous utilisez Drupal, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Drupal.
+ Autorisation d'appeler le public requis APIs pour le connecteur Drupal.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Drupal à Amazon Kendra via. Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret_id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key_id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index_id",
"arn:aws:kendra:us-east-1:111122223333:index/index_id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index_id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources GitHub de données
Lorsque vous utilisez GitHub, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre GitHub.
+ Autorisation d'appeler le public requis APIs pour le GitHub connecteur.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de GitHub données Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Gmail
Lorsque vous utilisez Gmail, vous attribuez un rôle soumis aux règles suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre compte Gmail.
+ Autorisation d'appeler le public requis APIs pour le Gmailconnector.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Gmail à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Google Drive
Lorsque vous utilisez une source de données Google Workspace Drive, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour se connecter au site. Il s’agit des licences suivantes :
+ Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret qui contient l'adresse e-mail du compte client, l'adresse e-mail du compte administrateur et la clé privée nécessaires pour se connecter au site Google Drive. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Google Drive](https://docs.aws.amazon.com/kendra/latest/dg/data-source-google-drive.html).
+ Autorisation d'utiliser le [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)et [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Note**
Vous pouvez connecter une source de données Google Drive à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources DB2 de données IBM
Lorsque vous utilisez un connecteur de source de DB2 données IBM, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre instance de source de DB2 données IBM.
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de DB2 données IBM.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de DB2 données IBM à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Jira
Lorsque vous utilisez Jira, vous attribuez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Jira.
+ Autorisation d'appeler le public requis APIs pour le connecteur Jira.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Jira Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Microsoft Exchange
Lorsque vous utilisez une source de données Microsoft Exchange, vous fournissez Amazon Kendra un rôle doté des autorisations nécessaires pour se connecter au site. Il s’agit des licences suivantes :
+ Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID de l'application et la clé secrète nécessaires pour se connecter au site Microsoft Exchange. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Microsoft Exchange](https://docs.aws.amazon.com/kendra/latest/dg/data-source-exchange.html).
+ Autorisation d'utiliser le [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)et [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Note**
Vous pouvez connecter une source de données Microsoft Exchange à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Si vous stockez la liste des utilisateurs à indexer dans un Amazon S3 compartiment, vous devez également autoriser l'utilisation de l'`GetObject`opération S3. La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources OneDrive de données Microsoft
Lorsque vous utilisez une source de OneDrive données Microsoft, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
+ Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID de l'application et la clé secrète nécessaires pour se connecter au OneDrive site. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de OneDrive données Microsoft](https://docs.aws.amazon.com/kendra/latest/dg/data-source-onedrive.html).
+ Autorisation d'utiliser le [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)et [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Note**
Vous pouvez connecter une source de OneDrive données Microsoft à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Si vous stockez la liste des utilisateurs à indexer dans un Amazon S3 compartiment, vous devez également autoriser l'utilisation de l'`GetObject`opération S3. La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources SharePoint de données Microsoft
#### IAM rôles pour SharePoint Connector v1.0
Pour une source de données Microsoft SharePoint Connector v1.0, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du SharePoint site. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de SharePoint données Microsoft](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. AWS Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
+ Autorisation d'accéder au Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site.
Vous devez également joindre une politique de confiance qui permet Amazon Kendra d'assumer le rôle.
**Note**
Vous pouvez connecter une source de SharePoint données Microsoft à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Si vous avez chiffré le Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site, définissez une politique pour donner Amazon Kendra accès à la clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM rôles pour SharePoint Connector v2.0
Pour une source de données Microsoft SharePoint Connector v2.0, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient les informations d'authentification du SharePoint site. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de SharePoint données Microsoft](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. AWS Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
+ Autorisation d'accéder au Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site.
Vous devez également joindre une politique de confiance qui permet Amazon Kendra d'assumer le rôle.
**Note**
Vous pouvez connecter une source de SharePoint données Microsoft à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Si vous avez chiffré le Amazon S3 compartiment contenant le certificat SSL utilisé pour communiquer avec le SharePoint site, définissez une politique pour donner Amazon Kendra accès à la clé.
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Microsoft SQL Server
Lorsque vous utilisez Microsoft SQL Server, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance Microsoft SQL Server.
+ Autorisation d'appeler le public requis APIs pour le connecteur Microsoft SQL Server.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Microsoft SQL Server Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Microsoft Teams
Lorsque vous utilisez une source de données Microsoft Teams, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
+ Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID client et le secret client nécessaires pour se connecter à Microsoft Teams. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Microsoft Teams](https://docs.aws.amazon.com/kendra/latest/dg/data-source-teams.html).
**Note**
Vous pouvez connecter une source de données Microsoft Teams à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La IAM politique suivante fournit les autorisations nécessaires :
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Microsoft Yammer
Lorsque vous utilisez une source de données Microsoft Yammer, vous Amazon Kendra attribuez un rôle doté des autorisations nécessaires pour vous connecter au site. Il s’agit des licences suivantes :
+ Autorisation d'obtenir et de déchiffrer le AWS Secrets Manager secret contenant l'ID de l'application et la clé secrète nécessaires pour se connecter au site Microsoft Yammer. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Microsoft Yammer](https://docs.aws.amazon.com/kendra/latest/dg/data-source-yammer.html).
+ Autorisation d'utiliser le [BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html)et [BatchDeleteDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) APIs.
**Note**
Vous pouvez connecter une source de données Microsoft Yammer à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Si vous stockez la liste des utilisateurs à indexer dans un Amazon S3 compartiment, vous devez également autoriser l'utilisation de l'`GetObject`opération S3. La IAM politique suivante fournit les autorisations nécessaires :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données MySQL
Lorsque vous utilisez un connecteur de source de données My SQL, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données My SQL.
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de données My SQL.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données MySQL à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Oracle
Lorsque vous utilisez un connecteur de source de données Oracle, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données Oracle.
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de données Oracle.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Oracle à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données PostgreSQL
Lorsque vous utilisez un connecteur de source de données PostgreSQL, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre code AWS Secrets Manager secret pour authentifier votre instance de source de données PostgreSQL.
+ Autorisation d'appeler le public requis APIs pour le connecteur de source de données PostgreSQL.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données PostgreSQL à via. Amazon Kendra Amazon VPC Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Quip
Lorsque vous utilisez Quip, vous attribuez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Quip.
+ Autorisation d'appeler le public requis APIs pour le connecteur Quip.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Quip à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id",
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Salesforce
Lorsque vous utilisez Salesforce comme source de données, vous fournissez un rôle avec les politiques suivantes :
+ Autorisation d'accéder au AWS Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du site Salesforce. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de données Salesforce](https://docs.aws.amazon.com/kendra/latest/dg/data-source-salesforce.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
**Note**
Vous pouvez connecter une source de données Salesforce à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources ServiceNow de données
Lorsque vous utilisez un ServiceNow comme source de données, vous fournissez un rôle avec les politiques suivantes :
+ Autorisation d'accéder au Secrets Manager secret qui contient le nom d'utilisateur et le mot de passe du ServiceNow site. Pour plus d'informations sur le contenu du secret, consultez la section [Sources de ServiceNow données](https://docs.aws.amazon.com/kendra/latest/dg/data-source-servicenow.html).
+ Autorisation d'utiliser la clé principale du AWS KMS client (CMK) pour déchiffrer le nom d'utilisateur et le secret du mot de passe stockés par. Secrets Manager
+ Autorisation d'utiliser les `BatchDeleteDocument` opérations `BatchPutDocument` et pour mettre à jour l'index.
**Note**
Vous pouvez connecter une source de ServiceNow données Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Slack
Lorsque vous utilisez Slack, vous attribuez un rôle soumis aux règles suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager secret pour authentifier votre Slack.
+ Autorisation d'appeler le public requis APIs pour le connecteur Slack.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Slack à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM rôles pour les sources de données Zendesk
Lorsque vous utilisez Zendesk, vous fournissez un rôle avec les politiques suivantes.
+ Autorisation d'accéder à votre AWS Secrets Manager code secret pour authentifier votre suite Zendesk.
+ Autorisation d'appeler le public requis APIs pour le connecteur Zendesk.
+ Autorisation d'appeler le `BatchPutDocument``BatchDeleteDocument`,`PutPrincipalMapping`,`DeletePrincipalMapping`,`DescribePrincipalMapping`, et `ListGroupsOlderThanOrderingId` APIs.
**Note**
Vous pouvez connecter une source de données Zendesk à Amazon Kendra via Amazon VPC. Si vous utilisez un Amazon VPC, vous devez ajouter [des autorisations supplémentaires](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## Rôle de cloud privé virtuel (VPC) IAM
Si vous utilisez un cloud privé virtuel (VPC) pour vous connecter à votre source de données, vous devez fournir les autorisations supplémentaires suivantes.
### Rôle VPC IAM
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}
```
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM rôles pour les questions fréquemment posées (FAQs)
Lorsque vous utilisez l'[CreateFaq](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateFaq.html)API pour charger des questions et réponses dans un index, vous devez fournir Amazon Kendra un IAM rôle ayant accès au Amazon S3 compartiment contenant les fichiers source. Si les fichiers source sont chiffrés, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour déchiffrer les fichiers.
### IAM rôles pour FAQs
Une politique de rôle obligatoire pour autoriser Amazon Kendra l'accès à un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS client (CMK) pour déchiffrer les fichiers d'un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM rôles pour les suggestions de requêtes
Lorsque vous utilisez un Amazon S3 fichier comme liste de blocage de suggestions de requêtes, vous fournissez un rôle autorisé à accéder au Amazon S3 fichier et au Amazon S3 bucket. Si le fichier texte de la liste de blocage (le Amazon S3 fichier) du Amazon S3 compartiment est chiffré, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour déchiffrer les documents.
### IAM rôles pour les suggestions de requêtes
Une politique de rôle obligatoire Amazon Kendra pour autoriser l'utilisation du Amazon S3 fichier comme liste de blocage de suggestions de requêtes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM rôles pour le mappage principal des utilisateurs et des groupes
Lorsque vous utilisez l'[PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html)API pour associer des utilisateurs à leurs groupes afin de filtrer les résultats de recherche par contexte utilisateur, vous devez fournir une liste des utilisateurs ou des sous-groupes appartenant à un groupe. Si votre liste compte plus de 1 000 utilisateurs ou sous-groupes pour un groupe, vous devez fournir un rôle autorisé à accéder au Amazon S3 fichier de votre liste et au Amazon S3 bucket. Si le fichier texte (le Amazon S3 fichier) de la liste du Amazon S3 compartiment est chiffré, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour déchiffrer les documents.
### IAM rôles pour le mappage principal
Une politique de rôle obligatoire Amazon Kendra pour autoriser l'utilisation du Amazon S3 fichier comme liste d'utilisateurs et de sous-groupes appartenant à un groupe.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Politique de rôle facultative autorisant l'utilisation Amazon Kendra d'une clé principale AWS KMS du client (CMK) pour déchiffrer les documents d'un Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Il est recommandé d'inclure `aws:sourceAccount` et `aws:sourceArn` dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si `aws:sourceAccount` et si `aws:sourceArn` elles sont identiques à celles prévues dans la politique de IAM rôle pour l'`sts:AssumeRole`action. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le Gestion des identités et des accès AWS guide sur le [problème de la confusion chez les députés](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
## IAM rôles pour AWS IAM Identity Center
Lorsque vous utilisez l'[UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)objet pour récupérer les niveaux d'accès des groupes et des utilisateurs à partir d'une source d' AWS IAM Identity Center identité, vous devez fournir un rôle autorisé à y accéder IAM Identity Center.
### IAM rôles pour AWS IAM Identity Center
Une politique de rôle obligatoire pour Amazon Kendra autoriser l'accès IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM rôles liés aux Amazon Kendra expériences
Lorsque vous utilisez le [CreateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateExperience.html)ou [UpdateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateExperience.html) APIs pour créer ou mettre à jour une application de recherche, vous devez fournir un rôle autorisé à accéder aux opérations nécessaires et à IAM Identity Center.
### IAM rôles liés à l'expérience Amazon Kendra de recherche
Une politique de rôle obligatoire pour autoriser l'accès Amazon Kendra aux `Query` opérations, aux `QuerySuggestions` opérations, aux `SubmitFeedback` opérations et au centre d'identité IAM qui stocke les informations de vos utilisateurs et de vos groupes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/data-source-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Il est recommandé d'inclure `aws:sourceAccount` et `aws:sourceArn` dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si `aws:sourceAccount` et si `aws:sourceArn` elles sont identiques à celles prévues dans la politique de IAM rôle pour l'`sts:AssumeRole`action. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le Gestion des identités et des accès AWS guide sur le [problème de la confusion chez les députés](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
## IAM rôles pour l'enrichissement de documents personnalisés
Lorsque vous utilisez l'[CustomDocumentEnrichmentConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CustomDocumentEnrichmentConfiguration.html)objet pour appliquer des modifications avancées aux métadonnées et au contenu de votre document, vous devez fournir un rôle doté des autorisations requises pour s'exécuter `PreExtractionHookConfiguration` et/ou`PostExtractionHookConfiguration`. Vous configurez une fonction Lambda pour `PreExtractionHookConfiguration` et/ou pour appliquer `PostExtractionHookConfiguration` des modifications avancées aux métadonnées et au contenu de votre document pendant le processus d'ingestion. Si vous choisissez d'activer le chiffrement côté serveur pour votre Amazon S3 compartiment, vous devez autoriser l'utilisation de la clé principale du AWS KMS client (CMK) pour chiffrer et déchiffrer les objets stockés dans votre compartiment. Amazon S3
### IAM rôles pour l'enrichissement de documents personnalisés
Une politique de rôle obligatoire pour Amazon Kendra autoriser l'exécution `PreExtractionHookConfiguration` et `PostExtractionHookConfiguration` avec chiffrement pour votre Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
```
------
Une politique de rôle facultative autorisant Amazon Kendra l'exécution `PreExtractionHookConfiguration` `PostExtractionHookConfiguration` sans chiffrement de votre Amazon S3 compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
```
------
Une politique de confiance pour Amazon Kendra permettre d'assumer un rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Il est recommandé d'inclure `aws:sourceAccount` et `aws:sourceArn` dans la politique de confiance. Cela limite les autorisations et vérifie en toute sécurité si `aws:sourceAccount` et si `aws:sourceArn` elles sont identiques à celles prévues dans la politique de IAM rôle pour l'`sts:AssumeRole`action. Cela empêche les entités non autorisées d'accéder à vos IAM rôles et à leurs autorisations. Pour plus d'informations, consultez le Gestion des identités et des accès AWS guide sur le [problème de la confusion chez les députés](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).