翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM Amazon Kendraの アクセスロール
インデックス、データソース、または FAQ を作成する場合、 は AWS リソースの作成に必要な Amazon Kendra リソースにアクセス Amazon Kendra する必要があります。 Amazon Kendra リソースを作成する前に AWS Identity and Access Management 、(IAM) ポリシーを作成する必要があります。オペレーションを呼び出すときに、ポリシーをアタッチしたロールの Amazon リソースネーム (ARN) を指定します。たとえば、[BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) API を呼び出して Amazon S3 バケットからドキュメントを追加する場合は、バケットにアクセスできるポリシーを持つロールを Amazon Kendra に提供します。
Amazon Kendra コンソールで新しい IAM ロールを作成するか、使用する IAM 既存のロールを選択できます。コンソールには、ロール名に「kendra」か、「Kendra」という文字列を含むロールが表示されます。
次のトピックでは、必要なポリシーの詳細について説明します。 Amazon Kendra コンソールを使用して IAM ロールを作成すると、これらのポリシーが自動的に作成されます。
**Topics**
+ [IAM インデックスの ロール](#iam-roles-index)
+ [IAM BatchPutDocument API の ロール](#iam-roles-batch)
+ [IAM データソースの ロール](#iam-roles-ds)
+ [Virtual Private Cloud (VPC) IAM ロール](#iam-roles-vpc)
+ [IAM よくある質問 (FAQsの ロール](#iam-roles-ds-faq)
+ [IAM クエリ提案の ロール](#iam-roles-query-suggestions)
+ [IAM ユーザーとグループのプリンシパルマッピング用の ロール](#iam-roles-principal-mapping)
+ [IAM の ロール AWS IAM アイデンティティセンター](#iam-roles-aws-sso)
+ [IAM Amazon Kendra エクスペリエンスの ロール](#iam-roles-amazon-kendra-experiences)
+ [IAM カスタムドキュメントエンリッチメントの ロール](#iam-roles-custom-document-enrichment)
## IAM インデックスの ロール
インデックスを作成するときは、 に書き込むアクセス許可を IAM ロールに提供する必要があります Amazon CloudWatch。また、 がロールを引き受けること Amazon Kendra を許可する信頼ポリシーを指定する必要があります。次のポリシーを提供する必要があります。
### IAM インデックスの ロール
が CloudWatch ログにアクセス Amazon Kendra できるようにするロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
}
]
}
```
------
アクセスを許可するロールポリシー Amazon Kendra AWS Secrets Manager。をキーの場所 Secrets Manager としてユーザーコンテキストを使用している場合は、次のポリシーを使用できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Kendra"
}
}
},
{
"Effect": "Allow",
"Action": "logs:DescribeLogGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/kendra/*:log-stream:*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM BatchPutDocument API の ロール
**警告**
Amazon Kendra は、S3 バケットを操作するアクセス許可を Amazon Kendra プリンシパルに付与するバケットポリシーを使用しません。代わりに IAM ロールを使用します。 Amazon Kendra が信頼されたメンバーとしてバケットポリシーに含まれていないことを確認します。これにより、任意のプリンシパルに誤ってアクセス許可を付与する際のデータセキュリティの問題を回避できます。ただし、バケットポリシーを追加して、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「[複数のアカウント間で Amazon S3 を使用するポリシー](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3-cross-accounts)」を参照してください。S3 データソースの IAM ロールについては、「[IAM ロール](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds-s3)」を参照してください。
[BatchPutDocument](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) API を使用して Amazon S3 バケット内のドキュメントのインデックスを作成する場合は、バケットへのアクセス権を持つ IAM ロールを Amazon Kendra に提供する必要があります。また、 がロールを引き受けること Amazon Kendra を許可する信頼ポリシーを指定する必要があります。バケット内のドキュメントが暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号化するアクセス許可を付与する必要があります。
### IAM BatchPutDocument API の ロール
Amazon Kendra が バケットにアクセス Amazon S3 するために必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
信頼ポリシーには`aws:sourceAccount` と `aws:sourceArn` を含めることをお勧めします。これにより、アクセス許可が制限され、 `aws:sourceAccount` および `aws:sourceArn`が `sts:AssumeRole`アクションの IAM ロールポリシーで指定されているものと同じかどうかが安全にチェックされます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、[混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)に関する AWS Identity and Access Management ガイドを参照してください。
Amazon Kendra がカスタマーマスターキー (CMK) を使用して AWS KMS Amazon S3 バケット内のドキュメントを復号できるようにするオプションのロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## IAM データソースの ロール
[CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html) API を使用する場合は、リソースへのアクセス許可を持つ Amazon Kendra IAM ロールを付与する必要があります。必要な固有のアクセス許可は、データソースによって異なります。
### IAM Adobe Experience Manager データソースの ロール
Adobe Experience Manager を使用する場合、以下のようなポリシーでロールを提供します。
+ Adobe Experience Manager を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Adobe Experience Manager コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
を介して Adobe Experience Manager データソースを Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Alfresco データソースの ロール
Alfresco を使用する場合、以下のようなポリシーでロールを提供します。
+ Alfresco を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Alfresco コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Alfresco データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Aurora (MySQL) データソースの ロール
Aurora (MySQL) を使用する場合は、次のポリシーでロールを指定します。
+ AWS Secrets Manager シークレットにアクセスして Aurora (MySQL) を認証するアクセス許可。
+ Aurora (MySQL) コネクタに必要なパブリック APIs を呼び出すアクセス許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Aurora (MySQL) データソースは、 を介して Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Aurora (PostgreSQL) データソースの ロール
Aurora (PostgreSQL) を使用する場合は、次のポリシーでロールを指定します。
+ ( Aurora PostgreSQL) を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Aurora (PostgreSQL) コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Aurora (PostgreSQL) データソースは、 を介して Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon FSx データソースの ロール
を使用する場合は Amazon FSx、次のポリシーでロールを指定します。
+ AWS Secrets Manager シークレットにアクセスして Amazon FSx ファイルシステムを認証するアクセス許可。
+ ファイルシステムが存在する Amazon Virtual Private Cloud (VPC) Amazon FSx へのアクセス許可。
+ Amazon FSx ファイルシステムの Active Directory のドメイン名を取得するアクセス許可。
+ Amazon FSx コネクタに必要なパブリック API アクションの呼び出し許可。
+ インデックスを更新する `BatchPutDocument` および `BatchDeleteDocument` API の呼び出し許可。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM データベースデータソースの ロール
データベースをデータソースとして使用する場合は、 への接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
+ サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「[データソース](https://docs.aws.amazon.com/kendra/latest/dg/datasource-.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
+ サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
**注記**
データベースデータソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
データソースで使用できるポリシーには 2 つのオプションがあります。
との通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、キー Amazon Kendra へのアクセスを許可するポリシーを指定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
VPC を使用している場合は、必要なリソース Amazon Kendra へのアクセスを許可するポリシーを指定します。必要なポリシーについては「[データソースおよび VPC のIAM ロール](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds)」を参照してください。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon RDS (Microsoft SQL Server) データソースの ロール
Amazon RDS (Microsoft SQL Server) データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
+ Amazon RDS (Microsoft SQL Server) データソースインスタンスを認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Amazon RDS (Microsoft SQL Server) データソースコネクタに必要なパブリック APIs を呼び出すアクセス許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
( Amazon RDS Microsoft SQL Server) データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon RDS (MySQL) データソースの ロール
Amazon RDS (MySQL) データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
+ Amazon RDS (MySQL) データソースインスタンスを認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Amazon RDS (MySQL) データソースコネクタに必要なパブリック APIs を呼び出すアクセス許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Amazon RDS (MySQL) データソースは、 を介して Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon RDS (Oracle) データソースの ロール
Amazon RDS Oracle データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
+ Amazon RDS (Oracle) データソースインスタンスを認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Amazon RDS (Oracle) データソースコネクタに必要なパブリック APIsを呼び出すアクセス許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Amazon RDS Oracle データソースは、 を介して Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon RDS (PostgreSQL) データソースの ロール
Amazon RDS (PostgreSQL) データソースコネクタを使用する場合は、次のポリシーでロールを指定します。
+ Amazon RDS (PostgreSQL) データソースインスタンスを認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Amazon RDS (PostgreSQL) データソースコネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Amazon RDS (PostgreSQL) データソースは、 を介して Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon S3 データソースの ロール
**警告**
Amazon Kendra は、S3 バケットを操作するアクセス許可を Amazon Kendra プリンシパルに付与するバケットポリシーを使用しません。代わりに、 IAM ロールを使用します。 Amazon Kendra が信頼されたメンバーとしてバケットポリシーに含まれていないことを確認します。これにより、任意のプリンシパルに誤ってアクセス許可を付与する際のデータセキュリティの問題を回避できます。ただしバケットポリシーを追加すれば、異なるアカウント間で Amazon S3 バケットを使用できます。詳細については、「[アカウント Amazon S3 間で使用するポリシー](#iam-roles-ds-s3-cross-accounts) (下にスクロール)」を参照してください。
Amazon S3 バケットをデータソースとして使用するときは、バケットにアクセスし、 および `BatchPutDocument``BatchDeleteDocument`オペレーションを使用するアクセス許可を持つロールを指定します。バケット内のドキュメントが Amazon S3 暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号化するアクセス許可を付与する必要があります。
次のロールポリシーでは、 Amazon Kendra がロールを引き受けることを許可する必要があります。下にスクロールすると、ロールを引き受けるための信頼ポリシーが表示されます。
が Amazon S3 バケット Amazon Kendra をデータソースとして使用するのに必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
}
]
}
```
------
Amazon Kendra がカスタマーマスターキー (CMK) を使用して AWS KMS Amazon S3 バケット内のドキュメントを復号できるようにするオプションのロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
アクセス AWS KMS 許可を Amazon S3 アクティブ化 AWS KMS または共有 Amazon VPCすることなく、 の使用中に Amazon Kendra が バケットにアクセスできるようにするオプションのロールポリシー。
の使用中に Amazon Kendra が Amazon S3 バケットにアクセスできるようにするオプションのロールポリシーで Amazon VPC、アクセス AWS KMS 許可が有効になっています。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### アカウント Amazon S3 間で使用するポリシー
Amazon S3 バケットが Amazon Kendra インデックスに使用するアカウントとは異なるアカウントにある場合は、アカウント間でバケットを使用するポリシーを作成できます。
Amazon S3 バケットが Amazon Kendra インデックスとは異なるアカウントにある場合に、バケットをデータソースとして使用するロールポリシー。なお `s3:PutObject` および `s3:PutObjectAcl` はオプションであり、[アクセス制御リストに設定ファイルを含めたい場合](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html)に使用してください。
Amazon S3 データソースロールがアカウント間でバケットにアクセスできるようにする Amazon S3 バケットポリシー。なお `s3:PutObject` および `s3:PutObjectAcl` はオプションであり、[アクセス制御リストに設定ファイルを含めたい場合](https://docs.aws.amazon.com/kendra/latest/dg/s3-acl.html)に使用してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::$bucket-in-other-account/*"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": "$kendra-s3-connector-role-arn"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::$bucket-in-other-account"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Amazon Kendra Web Crawler データソースの ロール
Web Crawler Amazon Kendra を使用する場合は、次のポリシーでロールを指定します。
+ 基本認証でバックアップされたウェブサイトまたはウェブプロキシサーバーに接続するための認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「[Web クローラーデータソースの使用](https://docs.aws.amazon.com/kendra/latest/dg/data-source-web-crawler.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
+ Amazon S3 バケットを使用してシード URLs またはサイトマップのリストを保存する場合は、 Amazon S3 バケットへのアクセス許可を含めます。
**注記**
Web Amazon Kendra Crawler データソースは、 を介して Amazon Kendra に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
シード URLs またはサイトマップを Amazon S3 バケットに保存する場合は、このアクセス許可をロールに追加する必要があります。
```
,
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
```
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Box データソースの ロール
Box を使用する場合、以下のようなポリシーでロールを提供します。
+ シー AWS Secrets Manager クレットにアクセスして Slack を認証するアクセス許可。
+ Box コネクタに必要なパブリック API アクションの呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Box データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Confluence データソースの ロール
#### IAM Confluence Connector v1.0 の ロール
Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ Confluence への接続に必要な認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「[Confluence データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
**注記**
Confluence データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
VPC を使用している場合は、必要なリソース Amazon Kendra へのアクセスを許可するポリシーを指定します。必要なポリシーについては「[データソースおよび VPC のIAM ロール](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-ds)」を参照してください。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM Confluence Connector v2.0 の ロール
Confluence コネクタ v2.0 データソース用には、以下のようなポリシーを提供します。
+ Confluence の認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「[Confluence データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-confluence.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 AWS Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
また、 がロールを引き受けることを許可する信頼ポリシー Amazon Kendra をアタッチする必要があります。
**注記**
Confluence データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
が Confluence に接続 Amazon Kendra できるようにするロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Dropbox データソースの ロール
Dropbox を使用する場合、以下のようなポリシーでロールを提供します。
+ Dropbox を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Dropbox コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Dropbox データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index-id",
"arn:aws:kendra:us-east-1:111122223333:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Drupal データソースの ロール
Drupal を使用する場合、以下のようなポリシーでロールを提供します。
+ Drupal を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Drupal コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Drupal データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret_id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key_id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:111122223333:index/index_id",
"arn:aws:kendra:us-east-1:111122223333:index/index_id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:111122223333:index/index_id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM GitHub データソースの ロール
GitHub を使用する場合、以下のようなポリシーでロールを提供します。
+ AWS Secrets Manager シークレットにアクセスして GitHub を認証するアクセス許可。
+ GitHub コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
GitHub データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Gmail データソースの ロール
Gmail を使用する場合、以下のようなポリシーでロールを提供します。
+ AWS Secrets Manager シークレットにアクセスして Gmail を認証するアクセス許可。
+ Gmail コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Gmail データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Google Drive データソースの ロール
Google Workspace Drive データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に付与します。具体的には次のとおりです。
+ Google Drive サイトへの接続に必要なクライアントアカウントの E メール、管理者アカウントの E メール、プライベートキーを含むシーク AWS Secrets Manager レットを取得および復号するアクセス許可。シークレットの内容の詳細については、「[Google Drive データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-google-drive.html)」を参照してください。
+ [BatchPutDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) と [BatchDeleteDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) を使用する許可。
**注記**
Google Drive データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM IBM DB2 データソースの ロール
Confluence サーバーをデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ シー AWS Secrets Manager クレットにアクセスして IBM DB2 データソースインスタンスを認証するアクセス許可。
+ IBM DB2 データソースコネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
IBM DB2 データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Jira データソースの ロール
Jira を使用する場合、以下のようなポリシーでロールを提供します。
+ AWS Secrets Manager シークレットにアクセスして Jira を認証するアクセス許可。
+ Jira コネクタに必要なパブリック API アクションの呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Jira データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Microsoft Exchange データソースの ロール
Microsoft Exchange データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
+ Microsoft Exchange サイトへの接続に必要なアプリケーション ID と AWS Secrets Manager シークレットキーを含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「[Microsoft Exchange データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-exchange.html)」を参照してください。
+ [BatchPutDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) と [BatchDeleteDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) を使用する許可。
**注記**
Microsoft Exchange データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
インデックスを作成するユーザーのリストを Amazon S3 バケットに保存する場合は、S3 `GetObject`オペレーションを使用するアクセス許可も指定する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Microsoft OneDrive データソースの ロール
Microsoft OneDrive データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
+ OneDrive サイトへの接続に必要なアプリケーション ID とシークレットキー AWS Secrets Manager を含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「[Microsoft OneDrive データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-onedrive.html)」を参照してください。
+ [BatchPutDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) と [BatchDeleteDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) を使用する許可。
**注記**
Microsoft OneDrive データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
インデックスを作成するユーザーのリストを Amazon S3 バケットに保存する場合は、S3 `GetObject`オペレーションを使用するアクセス許可も指定する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Microsoft SharePoint データソースの ロール
#### IAM SharePoint Connector v1.0 の ロール
Microsoft SharePoint v1.0 をデータソースとして使用する場合は、以下のようなポリシーを持つロールを提供します。
+ SharePoint サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「[Microsoft SharePoint データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 AWS Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
+ SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
また、 がロールを引き受けることを許可する信頼ポリシー Amazon Kendra をアタッチする必要があります。
**注記**
Microsoft SharePoint データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、キー Amazon Kendra へのアクセスを許可するポリシーを指定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
#### IAM SharePoint Connector v2.0 の ロール
Microsoft SharePoint Connector v2.0 をデータソースとして使用する場合は、以下のようなポリシーを持つロールを提供します。
+ SharePoint サイトの認証情報を含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容に関する詳細は、「[Microsoft SharePoint データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-sharepoint.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 AWS Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
+ SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットへのアクセス許可。
また、 がロールを引き受けることを許可する信頼ポリシー Amazon Kendra をアタッチする必要があります。
**注記**
Microsoft SharePoint データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
SharePoint サイトとの通信に使用される SSL 証明書を含む Amazon S3 バケットを暗号化している場合は、キー Amazon Kendra へのアクセスを許可するポリシーを指定します。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Microsoft SQL Server データソースの ロール
Microsoft SQL Server をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ AWS Secrets Manager シークレットにアクセスして Microsoft SQL Server インスタンスを認証するアクセス許可。
+ Microsoft SQL Server コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Microsoft SQL Server データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Microsoft Teams データソースの ロール
Microsoft Teams データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
+ Microsoft Teams への接続に必要なクライアント ID とクライアント AWS Secrets Manager シークレットを含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「[Microsoft Teams データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-teams.html)」を参照してください。
**注記**
Microsoft Teams データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Microsoft Yammer データソースの ロール
Microsoft Yammer データソースを使用する場合は、サイトへの接続に必要なアクセス許可を持つロールを Amazon Kendra に提供します。具体的には次のとおりです。
+ Microsoft Yammer サイトへの接続に必要なアプリケーション ID とシークレットキー AWS Secrets Manager を含むシークレットを取得および復号するアクセス許可。シークレットの内容に関する詳細は、「[Microsoft Yammer データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-yammer.html)」を参照してください。
+ [BatchPutDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchPutDocument.html) と [BatchDeleteDocument API](https://docs.aws.amazon.com/kendra/latest/APIReference/API_BatchDeleteDocument.html) を使用する許可。
**注記**
Microsoft Yammer データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
次の IAM ポリシーは、必要なアクセス許可を提供します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
インデックスを作成するユーザーのリストを Amazon S3 バケットに保存する場合は、S3 `GetObject`オペレーションを使用するアクセス許可も指定する必要があります。次の IAM ポリシーで、必要な許可が提供されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-ids"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com",
"s3.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM MySQL データソースの ロール
My SQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ AWS Secrets Manager シークレットにアクセスして My SQL データソースインスタンスを認証するアクセス許可。
+ My SQL データソースコネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
MySQL データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Oracle データソースの ロール
Oracle をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ AWS Secrets Manager シークレットにアクセスして Oracle データソースインスタンスを認証するアクセス許可。
+ Oracle データソースコネクタに必要なパブリック API アクションの呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Oracle データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM PostgreSQL データソースの ロール
PostgreSQL をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ AWS Secrets Manager シークレットにアクセスして PostgreSQL データソースインスタンスを認証するアクセス許可。
+ PostgreSQL データソースコネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
PostgreSQL データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Quip データソースの ロール
Quip を使用する場合、以下のようなポリシーでロールを提供します。
+ Quip を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Quip コネクタに必要なパブリック API アクションの呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Quip データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id",
"arn:aws:kendra:us-east-1:123456789012:index/your-index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Salesforce データソースの ロール
Slaesforce をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ Salesforce サイトのユーザー名とパスワードを含む AWS Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「[Salesforce データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-salesforce.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
**注記**
Salesforce データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM ServiceNow データソースの ロール
ServiceNow をデータソースとして使用する場合は、以下のようなポリシーでロールを指定します。
+ ServiceNow サイトのユーザー名とパスワードを含む Secrets Manager シークレットへのアクセス許可。シークレットの内容の詳細については、「[ServiceNow データソース](https://docs.aws.amazon.com/kendra/latest/dg/data-source-servicenow.html)」を参照してください。
+ AWS KMS カスタマーマスターキー (CMK) を使用して、 に保存されているユーザー名とパスワードシークレットを復号するアクセス許可 Secrets Manager。
+ インデックスを更新するために `BatchPutDocument` および `BatchDeleteDocument` オペレーションを使用する許可。
**注記**
Amazon Kendra を介して ServiceNow データソースを に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Slack データソースの ロール
Slack を使用する場合、次のポリシーでロールを提供します。
+ シー AWS Secrets Manager クレットにアクセスして Slack を認証するアクセス許可。
+ Slack コネクタに必要なパブリック API アクションの呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Amazon Kendra 経由で Slack データソースを に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
### IAM Zendesk データソースの ロール
Zendesk を使用する場合、以下のようなポリシーでロールを提供します。
+ Zendesk Suite を認証するためにシー AWS Secrets Manager クレットにアクセスするアクセス許可。
+ Zendesk コネクタに必要なパブリック API の呼び出し許可。
+ `BatchPutDocument`、`BatchDeleteDocument`、`PutPrincipalMapping`、`DeletePrincipalMapping`、`DescribePrincipalMapping`、および `ListGroupsOlderThanOrderingId` API を呼び出す許可。
**注記**
Zendesk データソースは、 Amazon Kendra を介して に接続できます Amazon VPC。を使用している場合は Amazon VPC、[追加のアクセス許可](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-vpc)を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:secret-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kendra:PutPrincipalMapping",
"kendra:DeletePrincipalMapping",
"kendra:ListGroupsOlderThanOrderingId",
"kendra:DescribePrincipalMapping"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/*"
]
},
{
"Effect": "Allow",
"Action": [
"kendra:BatchPutDocument",
"kendra:BatchDeleteDocument"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/index-id"
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## Virtual Private Cloud (VPC) IAM ロール
仮想プライベートクラウド (VPC) を使用してデータソースに接続する場合は、次の追加の許可を提供する必要があります。
### VPC IAM ロール
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"arn:aws:ec2:{{region}}:{{account_id}}:subnet/[[subnet_ids]]",
"arn:aws:ec2:{{region}}:{{account_id}}:security-group/[[security_group]]"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission"
],
"Resource": "arn:aws:ec2:{{region}}:{{account_id}}:network-interface/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWS_KENDRA": "kendra_{{account_id}}_{{index_id}}_*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeSubnets"
],
"Resource": "*"
}
}
```
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM よくある質問 (FAQsの ロール
[CreateFaq](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateFaq.html) API を使用して質問と回答をインデックスにロードする場合は、ソースファイルを含む Amazon S3 バケットへのアクセス権を IAM ロール Amazon Kendra に付与する必要があります。ソースファイルが暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してファイルを復号するためのアクセス許可を提供する必要があります。
### IAM FAQsの ロール
Amazon Kendra が バケットにアクセス Amazon S3 するために必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Amazon Kendra がカスタマーマスターキー (CMK) を使用して AWS KMS Amazon S3 バケット内のファイルを復号できるようにするオプションのロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM クエリ提案の ロール
Amazon S3 ファイルをクエリ提案ブロックリストとして使用する場合は、 Amazon S3 ファイルと Amazon S3 バケットへのアクセス許可を持つロールを指定します。バケット内のブロックリストテキストファイル ( Amazon S3 ファイル) Amazon S3 が暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号化するアクセス許可を付与する必要があります。
### IAM クエリ提案の ロール
Amazon Kendra が Amazon S3 ファイルをクエリ提案ブロックリストとして使用するために必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Amazon Kendra がカスタマーマスターキー (CMK) を使用して AWS KMS Amazon S3 バケット内のドキュメントを復号できるようにするオプションのロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
がロールを引き受け Amazon Kendra ることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM ユーザーとグループのプリンシパルマッピング用の ロール
[PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html) API を使用してユーザーをグループにマッピングし、検索結果をユーザーコンテキストでフィルタリングするには、グループに属するユーザーまたはサブグループのリストを提供する必要があります。リストが 1 つのグループの 1000 ユーザーまたはサブグループを超える場合は、リストの Amazon S3 ファイルと Amazon S3 バケットにアクセスする権限を持つロールを指定する必要があります。 Amazon S3 バケット内のリストのテキストファイル ( Amazon S3 ファイル) が暗号化されている場合は、 AWS KMS カスタマーマスターキー (CMK) を使用してドキュメントを復号化するアクセス許可を付与する必要があります。
### IAM プリンシパルマッピングの ロール
Amazon Kendra が Amazon S3 ファイルをグループに属するユーザーとサブグループのリストとして使用するのに必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
Amazon Kendra がカスタマーマスターキー (CMK) を使用して AWS KMS Amazon S3 バケット内のドキュメントを復号できるようにするオプションのロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
信頼ポリシーには`aws:sourceAccount` と `aws:sourceArn` を含めることをお勧めします。これにより、アクセス許可が制限され、 `aws:sourceAccount` および `aws:sourceArn`が `sts:AssumeRole`アクションの IAM ロールポリシーで指定されているものと同じかどうかが安全にチェックされます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、[混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)に関する AWS Identity and Access Management ガイドを参照してください。
## IAM の ロール AWS IAM アイデンティティセンター
[UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html) オブジェクトを使用して AWS IAM アイデンティティセンター ID ソースからグループとユーザーのアクセスレベルを取得する場合は、 アクセス許可を持つロールを指定する必要があります IAM アイデンティティセンター。
### IAM の ロール AWS IAM アイデンティティセンター
にアクセスを許可するために必要なロールポリシー Amazon Kendra IAM アイデンティティセンター。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:SearchUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:DescribeGroups",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
]
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"kendra.amazonaws.com"
]
}
}
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## IAM Amazon Kendra エクスペリエンスの ロール
[CreateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateExperience.html) API または [UpdateExperience](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateExperience.html) API を使用して、検索アプリケーションを作成または更新する場合、必要なオペレーションおよび IAM Identity Center へのアクセス許可を持つロールを提供する必要があります。
### IAM Amazon Kendra 検索エクスペリエンスの ロール
Amazon Kendra がユーザーおよびグループ情報を保存する`Query`オペレーション、`QuerySuggestions`オペレーション、`SubmitFeedback`オペレーション、および IAM Identity Center にアクセスするために必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsKendraSearchAppToCallKendraApi",
"Effect": "Allow",
"Action": [
"kendra:GetQuerySuggestions",
"kendra:Query",
"kendra:DescribeIndex",
"kendra:ListFaqs",
"kendra:DescribeDataSource",
"kendra:ListDataSources",
"kendra:DescribeFaq",
"kendra:SubmitFeedback"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id"
]
},
{
"Sid": "AllowKendraSearchAppToDescribeDataSourcesAndFaq",
"Effect": "Allow",
"Action": [
"kendra:DescribeDataSource",
"kendra:DescribeFaq"
],
"Resource": [
"arn:aws:kendra:us-east-1:123456789012:index/index-id/data-source/data-source-id",
"arn:aws:kendra:us-east-1:123456789012:index/index-id/faq/faq-id"
]
},
{
"Sid": "AllowKendraSearchAppToCallSSODescribeUsersAndGroups",
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso:ListDirectoryAssociations"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"kendra.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
信頼ポリシーには`aws:sourceAccount` と `aws:sourceArn` を含めることをお勧めします。これにより、アクセス許可が制限され、 `aws:sourceAccount` および `aws:sourceArn`が `sts:AssumeRole`アクションの IAM ロールポリシーで指定されているものと同じかどうかが安全にチェックされます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、[「混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)」の AWS Identity and Access Management ガイドを参照してください。
## IAM カスタムドキュメントエンリッチメントの ロール
[CustomDocumentEnrichmentConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CustomDocumentEnrichmentConfiguration.html) オブジェクトを使用してドキュメントのメタデータとコンテンツの高度な変更を適用する場合、`PreExtractionHookConfiguration` および/または `PostExtractionHookConfiguration` の実行に必要な許可を持つロールを提供する必要があります。`PreExtractionHookConfiguration` および/または `PostExtractionHookConfiguration` の Lambda 関数を設定して、取り込みプロセス中にドキュメントのメタデータとコンテンツの高度な変更を適用します。 Amazon S3 バケットのサーバー側の暗号化を有効にする場合は、 AWS KMS カスタマーマスターキー (CMK) を使用して Amazon S3 バケットに保存されているオブジェクトを暗号化および復号するアクセス許可を提供する必要があります。
### IAM カスタムドキュメントエンリッチメントの ロール
がバケット Amazon Kendra の暗号化`PostExtractionHookConfiguration` Amazon S3 を使用して `PreExtractionHookConfiguration`および を実行するために必要なロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
```
------
Amazon S3 バケット Amazon Kendra の暗号化`PostExtractionHookConfiguration`なしで `PreExtractionHookConfiguration`と の実行を許可するオプションのロールポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:lambda-function"
}
]
}
```
------
がロールを Amazon Kendra 引き受けることを許可する信頼ポリシー。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kendra.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
信頼ポリシーには`aws:sourceAccount` と `aws:sourceArn` を含めることをお勧めします。これにより、アクセス許可が制限され、 `aws:sourceAccount` および `aws:sourceArn`が `sts:AssumeRole`アクションの IAM ロールポリシーで指定されているものと同じかどうかが安全にチェックされます。これにより、権限のないエンティティが IAM ロールとそのアクセス許可にアクセスできなくなります。詳細については、[「混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)」の AWS Identity and Access Management ガイドを参照してください。