翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Kendra で IAM が機能する仕組み
IAM を使用して Amazon Kendra へのアクセスを管理する前に、Amazon Kendra で使用できる IAM 機能について理解しておく必要があります。Amazon Kendra およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon Kendra アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Kendra リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [アクセスコントロールリスト (ACL)](#security_iam_service-with-iam-acls)
+ [Amazon Kendra タグに基づいた認可](#security_iam_service-with-iam-tags)
+ [Amazon Kendra IAM ロール](#security_iam_service-with-iam-roles)
## Amazon Kendra アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Kendra は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon Kendra のポリシーアクションは、アクションの前にプレフィックス `kendra:` を使用します。例えば、[ListIndices](https://docs.aws.amazon.com/kendra/latest/dg/API_ListIndices.html) API 演算を使用して Amazon Kendra インデックスを一覧表示する権限を付与するには、ポリシーに `kendra:ListIndices` アクションを含めます。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon Kendra は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"kendra:action1",
"kendra:action2"
```
ワイルドカード (\*) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "kendra:Describe*"
```
Amazon Kendra アクションのリストを確認するには、*IAM ユーザーガイド*の [Amazon MQ で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_kendra.html#kendra-actions-as-permissions)を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\*) を使用します。
```
"Resource": "*"
```
Amazon Kendra インデックスリソースには次のネーム ARN があること。
```
arn:${Partition}:kendra:${Region}:${Account}:index/${IndexId}
```
ARNs、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントでインデックスを指定するには、次の ARN のインデックスの GUID を使用します。
```
"Resource": "arn:aws:kendra:${Region}:${Account}:index/${GUID}"
```
特定のアカウントに属するすべてのインデックスを指定するには、ワイルドカード (\*) を使用します。
```
"Resource": "arn:aws:${Region}:${Account}:index/*"
```
リソースを作成するためのアクションなど、Amazon Kendra アクションには特定のリソースで実行できないものがあります。このような場合はワイルドカード \*を使用する必要があります。
```
"Resource": "*"
```
Amazon Kendra のリソースタイプとそれらの ARN のリストを確認するには、*IAM ユーザーガイド*の [Amazon Kendra で定義されるリソースタイプ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_kendra.html#kendra-resources-for-iam-policies)を参照してください。どのアクションで各リソースの ARN を指定できるかについては、[Amazon Kendra で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_kendra.html#kendra-actions-as-permissions)を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon Kendra にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
Amazon Kendra のアイデンティティベースポリシーの例を確認するには、[Amazon Kendra のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md) を参照してください。
## Amazon Kendra リソースベースのポリシー
Amazon Kendra では、リソースベースのポリシーはサポートされていません。
## アクセスコントロールリスト (ACL)
Amazon Kendra では、 AWS のサービスとリソースへのアクセスのためのアクセスコントロールリスト (ACL) をサポートしていません。
## Amazon Kendra タグに基づいた認可
特定のタイプの Amazon Kendra リソースにタグを関連付けると、これらのリソースへのアクセスを認可できます。タグに基づいてアクセスをコントロールするには、`aws:RequestTag/{{key-name}}`、または `aws:TagKeys` 条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。
次の表に、タグベースのアクセスコントロールのアクション、対応するリソースタイプおよび条件キーを示します。各アクションは、対応するリソースタイプに関連付けられたタグに基づいて許可されます。
| アクション | リソースタイプ | 条件キー |
| --- | --- | --- |
| [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/dg/API_CreateDataSource.html) | | aws:RequestTag, aws:TagKeys |
| [CreateFaq](https://docs.aws.amazon.com/kendra/latest/dg/API_CreateFaq.html) | | aws:RequestTag, aws:TagKeys |
| [CreateIndex](https://docs.aws.amazon.com/kendra/latest/dg/API_CreateIndex.html) | | aws:RequestTag, aws:TagKeys |
| [API\_ListTagsForResource](https://docs.aws.amazon.com/kendra/latest/dg/API_ListTagsForResource.html) | データソース、よくある質問、インデックス | |
| [TagResource](https://docs.aws.amazon.com/kendra/latest/dg/API_TagResource.html) | データソース、よくある質問、インデックス | aws:RequestTag, aws:TagKeys |
| [UntagResource](https://docs.aws.amazon.com/kendra/latest/dg/API_UntagResource.html) | データソース、よくある質問、インデックス | aws:TagKeys |
Amazon Kendra リソースのタグ付けの詳細については、[タグ](tagging.md) を参照してください。リソースタグに基づいてリソースへのアクセスを制限するアイデンティティベースのポリシーの例については、[タグベースのポリシーの例](security_iam_id-based-policy-examples.md#examples-tagging) を参照してください。リソースへのアクセスを制限するためのタグの使用の詳細については、*IAM ユーザーガイド*の[タグを使用したアクセス制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)を参照してください。
## Amazon Kendra IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Amazon Kendra での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Amazon Kendra は、一時的な認証情報の使用をサポートします。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Amazon Kendra ではサービスロールがサポートされています。
### Amazon Kendra での IAM ロールの選択
インデックスの作成、`BatchPutDocument` 演算の呼び出し、データソースの作成、またはよくある質問の作成を行う場合は、Amazon Kendra がユーザーに代わって必要なリソースにアクセスするために使用するアクセスロールの Amazon リソースネーム (ARN) を指定する必要があります。以前に作成したロールがある場合、Amazon Kendra コンソールにより、選択できるロールのリストが提示されます。必要なリソースへのアクセスを許可するロールを選択することが重要です。詳細については、「[IAM Amazon Kendraの アクセスロール](iam-roles.md)」を参照してください。