本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Kendra 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:AmazonKendraReadOnly
授予 Amazon Kendra 資源的唯讀存取權。此政策包含以下許可。
+ `kendra` – 允許使用者執行傳回項目清單或項目詳細資訊的動作。這包括以 `Describe`、`List`、、`GetQuerySuggestions`、 `Query` `BatchGetDocumentStatus`或 開頭的 API 操作`GetSnapshots`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kendra:Describe*",
"kendra:List*",
"kendra:Query",
"kendra:BatchGetDocumentStatus",
"kendra:GetQuerySuggestions",
"kendra:GetSnapshots"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AmazonKendraFullAccess
授予建立、讀取、更新、刪除、標記和執行所有 Amazon Kendra 資源的完整存取權。此政策包含以下許可。
+ `kendra`- 允許主體讀取和寫入 Amazon Kendra 中的所有動作。
+ `s3`- 允許主體取得 Amazon S3 儲存貯體位置和列出儲存貯體。
+ `iam`- 允許主體傳遞和列出角色。
+ `kms`- 允許主體描述和列出 AWS KMS 金鑰和別名。
+ `secretsmanager`- 允許主體建立、描述和列出秘密。
+ `ec2`- 允許主體描述安全群組、VCPs(虛擬私有雲端) 和子網路。
+ `cloudwatch`- 允許主體檢視 Cloud Watch 指標。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "kendra.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonKendra-*"
},
{
"Effect": "Allow",
"Action": "kendra:*",
"Resource": "*"
}
]
}
```
------
## 受 AWS 管政策的 Amazon Kendra 更新
檢視自此服務開始追蹤 Amazon Kendra AWS 受管政策更新以來的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon Kendra 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonKendraReadOnly - 新增支援 GetSnapshots、BatchGetDocumentStatus APIs許可](https://docs.aws.amazon.com/kendra/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonKendraReadOnly) | Amazon Kendra 新增APIs `GetSnapshots`和 `BatchGetDocumentStatus`。 `GetSnapshots`提供的資料顯示您的使用者如何與您的搜尋應用程式互動。 會`BatchGetDocumentStatus`監控編製文件索引的進度。 | 2022 年 1 月 3 日 |
| [AmazonKendraReadOnly - 新增支援 GetQuerySuggestions 操作的許可](https://docs.aws.amazon.com/kendra/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonKendraReadOnly) | Amazon Kendra 新增了新的 API`GetQuerySuggestions`,允許存取以取得熱門搜尋查詢的查詢建議,協助引導使用者的搜尋。當使用者輸入搜尋查詢時,建議的查詢有助於自動完成搜尋。 | 2021 年 5 月 27 日 |
| Amazon Kendra 開始追蹤變更 | Amazon Kendra 開始追蹤其 AWS 受管政策的變更。 | 2021 年 5 月 27 日 |