Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Personalize
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Amazon Personalize verwendet Datenverschlüsselung, um Ihre Daten zu schützen. Weitere Informationen finden Sie unter [Datenverschlüsselung in Amazon Personalize](data-encryption.md). Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS Compliance-Programme AWSAWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Personalize gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Personalize anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Personalize konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Amazon Personalize-Ressourcen überwachen und sichern können.
**Topics**
+ [Datenschutz in Amazon Personalize](data-protection.md)
+ [Identity and Access Management für Amazon Personalize](security-iam.md)
+ [Überwachung von Amazon Personalize mit Amazon CloudWatch](personalize-monitoring.md)
+ [Protokollieren Amazon Personalize Personalize-API-Aufrufen mit AWS CloudTrail](logging-using-cloudtrail.md)
+ [Konformitätsprüfung für Amazon Personalize](personalize-compliance.md)
+ [Resilienz in Amazon Personalize](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Personalize](infrastructure-security.md)
+ [Amazon VPC-Endpunkte personalisieren und verbinden ()AWS PrivateLink](vpc-interface-endpoints.md)
# Datenschutz in Amazon Personalize
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon Personalize. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Personalize oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Datenverschlüsselung in Amazon Personalize
In den folgenden Informationen wird erklärt, wo Amazon Personalize Datenverschlüsselung zum Schutz Ihrer Daten verwendet.
## Verschlüsselung im Ruhezustand
Alle in Amazon Personalize gespeicherten Daten werden im Ruhezustand immer mit verwalteten AWS Key Management Service (AWS KMS) -Schlüsseln von Amazon Personalize verschlüsselt. Wenn Sie bei der Erstellung der Ressource Ihren eigenen AWS KMS Schlüssel angeben, verwendet Amazon Personalize den Schlüssel, um Ihre Daten zu verschlüsseln und zu speichern. Wenn Sie beispielsweise während des [CreateDatasetGroup](API_CreateDatasetGroup.md) Vorgangs einen AWS KMS ARN angeben, verwendet Amazon Personalize den Schlüssel, um Daten zu verschlüsseln und zu speichern, die Sie in alle Datensätze importieren, die Sie in dieser Datensatzgruppe erstellen.
Sie müssen Amazon Personalize und Ihrer Amazon Personalize IAM-Servicerolle die Erlaubnis zur Verwendung Ihres Schlüssels erteilen. Weitere Informationen finden Sie unter [Amazon Personalize die Erlaubnis zur Verwendung Ihres AWS KMS Schlüssels erteilen](granting-personalize-key-access.md).
Informationen zur Datenverschlüsselung in Amazon S3 finden Sie unter [Schützen von Daten mithilfe von Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Informationen zur Verwaltung Ihres eigenen AWS KMS Schlüssels finden Sie unter [Schlüssel verwalten](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) im *AWS Key Management Service Entwicklerhandbuch*.
## Verschlüsselung während der Übertragung
Amazon Personalize verwendet TLS mit AWS Zertifikaten, um alle an andere AWS Dienste gesendeten Daten zu verschlüsseln. Jegliche Kommunikation mit anderen AWS Diensten erfolgt über HTTPS, und Amazon Personalize Personalize-Endgeräte unterstützen nur sichere Verbindungen über HTTPS.
Amazon Personalize kopiert Daten aus Ihrem Konto und verarbeitet sie in einem internen AWS System. Bei der Verarbeitung von Daten verschlüsselt Amazon Personalize Daten entweder mit einem Amazon Personalize AWS KMS Personalize-Schlüssel oder einem beliebigen AWS KMS Schlüssel, den Sie angeben.
## Schlüsselverwaltung
AWS verwaltet alle Standardschlüssel. AWS KMS Es liegt in Ihrer Verantwortung, alle AWS KMS Schlüssel, die Sie besitzen, zu verwalten. Sie müssen Amazon Personalize und Ihrer Amazon Personalize IAM-Servicerolle die Erlaubnis zur Verwendung Ihres Schlüssels erteilen. Weitere Informationen finden Sie unter [Amazon Personalize die Erlaubnis zur Verwendung Ihres AWS KMS Schlüssels erteilen](granting-personalize-key-access.md).
*Informationen zur Verwaltung Ihres eigenen AWS KMS Schlüssels finden Sie unter [Schlüssel verwalten im AWS Key Management Service Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).*
# Identity and Access Management für Amazon Personalize
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Personalize-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon Personalize mit IAM](security_iam_service-with-iam.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon Personalize](security_iam_id-based-policy-examples.md)
+ [Fehlerbehebung bei Amazon Personalize: Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon Personalize: Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Personalize mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon Personalize](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Personalize mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Personalize zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Amazon Personalize verwendet werden können.
**IAM-Funktionen, die Sie mit Amazon Personalize verwenden können**
| IAM-Feature | Amazon Personalize Personalize-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
*Einen allgemeinen Überblick darüber, wie Amazon Personalize und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für Amazon Personalize
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon Personalize
Beispiele für identitätsbasierte Richtlinien von Amazon Personalize finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Personalize](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien in Amazon Personalize
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienmaßnahmen für Amazon Personalize
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Amazon Personalize-Aktionen finden Sie unter [Von Amazon Personalize definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-actions-as-permissions) in der *Service Authorization* Reference.
Richtlinienaktionen in Amazon Personalize verwenden das folgende Präfix vor der Aktion:
```
personalize
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"personalize:action1",
"personalize:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "personalize:Describe*"
```
Beispiele für identitätsbasierte Richtlinien von Amazon Personalize finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Personalize](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Amazon Personalize
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon Personalize-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Personalize definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-resources-for-iam-policies) in der *Service Authorization* Reference. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Personalize definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Amazon Personalize finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Personalize](security_iam_id-based-policy-examples.md)
## Schlüssel für Richtlinienbedingungen für Amazon Personalize
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon Personalize-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-policy-keys) in der *Service Authorization* Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Personalize definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html#amazonpersonalize-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Amazon Personalize finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Personalize](security_iam_id-based-policy-examples.md)
## ACLs bei Amazon Personalize
**Unterstützt ACLs: Nein**
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Amazon Personalize
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Taggen von Amazon Personalize Personalize-Ressourcen finden Sie unter. [Taggen von Amazon Personalize Personalize-Ressourcen](tagging-resources.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Verwenden von Tags in IAM-Richtlinien](tags-iam.md).
## Temporäre Anmeldeinformationen mit Amazon Personalize verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Hauptberechtigungen für Amazon Personalize
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon Personalize
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Amazon Personalize beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon Personalize eine Anleitung dazu bereitstellt.
## Servicebezogene Rollen für Amazon Personalize
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Personalize einem anderen Service für die Ressource erteilt.
Um das Problem der verwirrten Stellvertreter in Rollen zu vermeiden, die von Amazon Personalize übernommen wurden, setzen Sie in der Vertrauensrichtlinie der Rolle den Wert `aws:SourceArn` auf`arn:aws:personalize:region:accountNumber:*`. Der Platzhalter (`*`) wendet die Bedingung für alle Amazon Personalize an.
Die folgende Vertrauensstellungsrichtlinie gewährt Amazon Personalize Zugriff auf Ihre Ressourcen und verwendet die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel, um das Problem des verwirrten Stellvertreters zu verhindern. Verwenden Sie diese Richtlinie, wenn Sie eine Rolle für Amazon Personalize ([Eine IAM-Rolle für Amazon Personalize erstellen](set-up-required-permissions.md#set-up-create-role-with-permissions)) erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"personalize.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:personalize:us-east-1:444455556666:*"
}
}
}
]
}
```
------
# Beispiele für identitätsbasierte Richtlinien für Amazon Personalize
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon Personalize-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon Personalize definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Personalize](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html) in der *Service Authorization* Reference.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [AWS verwaltete Richtlinien](#using-managed-policies)
+ [Verwenden der Amazon Personalize Personalize-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Vollzugriff auf Amazon Personalize gewähren](#security_iam_id-based-policy-examples-full-access)
+ [Nur-Lese-Zugriff auf Amazon Personalize zulassen](#security_iam_id-based-policy-examples-read-only)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Personalize Personalize-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinien
AWS verwaltete Richtlinien sind Richtlinien, die von erstellt und verwaltet AWS werden. Im Folgenden finden Sie Beispiele für AWS verwaltete Richtlinien, die Sie bei der Arbeit mit Amazon Personalize verwenden könnten.
**AmazonPersonalizeFullAccess Richtlinie**
Sie können die AWS verwaltete `AmazonPersonalizeFullAccess` Richtlinie verwenden, um Benutzern die folgenden Berechtigungen zu erteilen:
+ Greifen Sie auf alle Amazon Personalize-Ressourcen zu
+ Metriken auf Amazon veröffentlichen und auflisten CloudWatch
+ Auflisten, Lesen, Schreiben und Löschen aller Objekte in einem Amazon S3 S3-Bucket, die `Personalize` oder `personalize` im Bucket-Namen enthalten
+ Übergeben Sie eine Rolle an Amazon Personalize
`AmazonPersonalizeFullAccess`bietet mehr Berechtigungen als nötig. Wir empfehlen, eine neue IAM-Richtlinie zu erstellen, die nur die erforderlichen Berechtigungen gewährt (siehe[Amazon Personalize die Erlaubnis erteilen, auf Ihre Ressourcen zuzugreifen](set-up-required-permissions.md)).
**CloudWatchFullAccess**
Um Ihren Benutzern die Erlaubnis zu geben, Amazon Personalize mit zu überwachen CloudWatch, fügen Sie die `CloudWatchFullAccess` Richtlinie Ihrer Rolle bei. Weitere Informationen finden Sie unter [Überwachung von Amazon Personalize mit Amazon CloudWatch](personalize-monitoring.md).
Die `CloudWatchFullAccess` Richtlinie ist optional und gewährt die Genehmigung für die folgenden Aktionen:
+ Veröffentlichen und listen Sie Amazon Personalize Personalize-Metriken in CloudWatch
+ Metriken und Metrikstatistiken anzeigen.
+ Stellen Sie metrikbasierte Alarme ein.
## Verwenden der Amazon Personalize Personalize-Konsole
Um auf die Amazon Personalize Personalize-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Personalize Personalize-Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Vollzugriff auf Amazon Personalize gewähren
Das folgende Beispiel gewährt einem IAM-Benutzer in Ihrem AWS Konto vollen Zugriff auf alle Amazon Personalize und -Aktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
}
]
}
```
------
## Nur-Lese-Zugriff auf Amazon Personalize zulassen
In diesem Beispiel gewähren Sie einem IAM-Benutzer in Ihrem AWS Konto schreibgeschützten Zugriff auf Ihre Amazon Personalize Personalize-Ressourcen, einschließlich Amazon Personalize Personalize-Datensätze, Datensatzgruppen, Lösungen und Kampagnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:DescribeAlgorithm",
"personalize:DescribeBatchInferenceJob",
"personalize:DescribeBatchSegmentJob",
"personalize:DescribeCampaign",
"personalize:DescribeDataset",
"personalize:DescribeDatasetExportJob",
"personalize:DescribeDatasetGroup",
"personalize:DescribeDatasetImportJob",
"personalize:DescribeEventTracker",
"personalize:DescribeFeatureTransformation",
"personalize:DescribeFilter",
"personalize:DescribeRecipe",
"personalize:DescribeRecommender",
"personalize:DescribeSchema",
"personalize:DescribeSolution",
"personalize:DescribeSolutionVersion",
"personalize:GetSolutionMetrics",
"personalize:ListBatchInferenceJobs",
"personalize:ListBatchSegmentJobs",
"personalize:ListCampaigns",
"personalize:ListDatasetExportJobs",
"personalize:ListDatasetGroups",
"personalize:ListDatasetImportJobs",
"personalize:ListDatasets",
"personalize:ListEventTrackers",
"personalize:ListFilters",
"personalize:ListRecipes",
"personalize:ListRecommenders",
"personalize:ListSchemas",
"personalize:ListSolutions",
"personalize:ListSolutionVersions"
],
"Resource": "*"
}
]
}
```
------
# Fehlerbehebung bei Amazon Personalize: Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Personalize und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Personalize durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Personalize ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Personalize durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `personalize:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: personalize:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `personalize:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Personalize übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Personalize auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Personalize ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Personalize diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Personalize mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Überwachung von Amazon Personalize mit Amazon CloudWatch
Mit Amazon können Sie Kennzahlen abrufen CloudWatch, die mit Amazon Personalize verknüpft sind. Sie können Alarme einrichten, die Sie benachrichtigen, wenn eine oder mehrere dieser Metriken einen definierten Schwellenwert überschreiten. Um Metriken zu sehen, können Sie [Amazon CloudWatch](https://console.aws.amazon.com/cloudwatch/) AWS Command Line Interface, [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/cli/) oder die [CloudWatch API](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/) verwenden.
**Topics**
+ [Verwenden von CloudWatch Metriken für Amazon Personalize](#using-metrics)
+ [Zugreifen auf Amazon Personalize Personalize-Kennzahlen](#how-to-access)
+ [Erstellen eines -Alarms](#alarms)
+ [Beispiel für eine serverlose Überwachungs-App von Amazon Personalize](#creating-monitor-app)
+ [CloudWatch Metriken für Amazon Personalize](cloudwatch-metrics.md)
## Verwenden von CloudWatch Metriken für Amazon Personalize
Um Metriken zu verwenden, müssen Sie die folgenden Informationen angeben:
+ Der -Metrikname
+ Die Metrikdimension. Eine *Dimension* ist ein Name-Wert-Paar, mit dem Sie eine Metrik eindeutig identifizieren.
Sie können Überwachungsdaten für Amazon Personalize mithilfe der AWS-Managementkonsole AWS CLI, der oder der CloudWatch API abrufen. Sie können die CloudWatch API auch über eines der AWS SDKs oder die CloudWatch API-Tools verwenden. Die Konsole zeigt eine Reihe von Diagrammen an, die auf den Rohdaten der CloudWatch API basieren. Je nach Anforderungen können Sie entweder die in der Konsole angezeigten oder die mit der API aufgerufenen Graphen verwenden.
In der folgenden Liste finden Sie einige häufige Verwendungszwecke für die Metriken. Es handelt sich dabei um Vorschläge für den Einstieg und nicht um eine umfassende Liste.
| Wie gehe ich vor? | Relevante Metrik |
| --- | --- |
| Wie verfolge ich die Anzahl der Ereignisse, die aufgezeichnet wurden? | Überwachen Sie die `PutEventsRequests`-Metrik. |
| Wie kann ich die DatasetImportJob Fehler überwachen? | Verwenden Sie die `DatasetImportJobError`-Metrik. |
| Wie überwache ich die Latenz der `GetRecommendations`-Aufrufe? | Verwenden Sie die `GetRecommendationsLatency`-Metrik. |
Sie müssen über die entsprechenden CloudWatch Berechtigungen verfügen, um Amazon Personalize überwachen zu CloudWatch können. Weitere Informationen finden Sie unter [Authentifizierung und Zugriffskontrolle für Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html).
## Zugreifen auf Amazon Personalize Personalize-Kennzahlen
Die folgenden Beispiele zeigen, wie Sie mithilfe der CloudWatch Konsole, der und der CloudWatch API auf Amazon Personalize-Metriken zugreifen können. AWS CLI
**So zeigen Sie Metriken an (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie **Metriken**, klicken Sie auf die Registerkarte **Alle Metriken** und wählen Sie dann`AWS/Personalize`.
1. Wählen Sie die Metrikdimension.
1. Wählen Sie die gewünschte Metrik aus der Liste und einen Zeitraum für das Diagramm aus.
**So zeigen Sie Metriken für Ereignisse an, die über einen bestimmten Zeitraum empfangen wurden (CLI)**
+ Öffnen Sie den AWS CLI und geben Sie den folgenden Befehl ein:
```
aws cloudwatch get-metric-statistics \
--metric-name PutEventsRequests \
--start-time 2019-03-15T00:00:20Z \
--period 3600 \
--end-time 2019-03-16T00:00:00Z \
--namespace AWS/Personalize \
--dimensions Name=EventTrackerArn,Value=EventTrackerArn \
--statistics Sum
```
Dieses Beispiel zeigt die für den angegebenen Ereignis-Tracker ARN empfangenen Ereignisse über einen bestimmten Zeitraum an. Weitere Informationen finden Sie unter [get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html).
**Um auf Metriken (CloudWatch API) zuzugreifen**
+ Rufen Sie die Seite `[GetMetricStatistics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html)` auf. Weitere Informationen finden Sie in der [Amazon CloudWatch API-Referenz](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/).
## Erstellen eines -Alarms
Sie können einen CloudWatch Alarm erstellen, der eine Amazon Simple Notification Service (Amazon SNS) -Meldung sendet, wenn sich der Status des Alarms ändert. Ein Alarm überwacht eine Metrik über einen bestimmten, von Ihnen festgelegten Zeitraum. Der Alarm führt eine oder mehrere Aktionen durch, die vom Wert der Metrik im Vergleich zu einem gegebenen Schwellenwert in einer Reihe von Zeiträumen abhängt. Die Aktion ist eine Benachrichtigung, die an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Richtlinie gesendet wird.
Alarme lösen nur Aktionen für anhaltende Statusänderungen aus. CloudWatch Alarme lösen keine Aktionen aus, nur weil sie sich in einem bestimmten Zustand befinden. Der Status muss sich geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein.
**So richten Sie einen Alarm ein (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Alarms (Alarme)** und dann **Create Alarm** aus. Dadurch wird der **Assistent zum Erstellen von Alarmen** gestartet.
1. Wählen Sie **Select metric** (Metrik auswählen) aus.
1. Wählen Sie auf der Registerkarte **Alle Metriken** die Option`AWS/Personalize`.
1. Wählen Sie **EventTrackerArn**und wählen Sie dann **PutEventsRequests**Metriken aus.
1. Wählen Sie die Registerkarte **Graphed metrics** (Grafisch dargestellte Metriken) aus.
1. Wählen Sie für **Statistic (Statistik)** die Option **Sum (Summe)** aus.
1. Wählen Sie **Select metric** (Metrik auswählen) aus.
1. Geben Sie **Name** und **Description** an. Für **Whenever (Jederzeit)** wählen Sie **>** aus und geben einen maximalen Wert Ihrer Wahl an.
1. Wenn Sie Ihnen eine E-Mail senden CloudWatch möchten, wenn der Alarmstatus erreicht ist, wählen Sie für **Wann immer dieser Alarm:** die Option **Status ist ALARM**. Um Alarme für ein bestehendes Amazon-SNS-Thema zu senden, wählen Sie für **Benachrichtigung senden an:** ein bestehendes SNS-Thema aus. Um den Namen und die E-Mail-Adressen für eine neue E-Mail-Abonnementliste festzulegen, wählen Sie **Neue Liste**. CloudWatch speichert die Liste und zeigt sie im Feld an, sodass Sie sie verwenden können, um future Alarme einzustellen.
**Anmerkung**
Wenn Sie **Neue Liste** verwenden, um ein neues Amazon SNS SNS-Thema zu erstellen, müssen die E-Mail-Adressen verifiziert werden, bevor die vorgesehenen Empfänger Benachrichtigungen erhalten. Amazon SNS sendet nur dann eine E-Mail, wenn der Alarm einen Alarmzustand auslöst. Wenn es zu dieser Änderung des Alarmzustands kommt, bevor die E-Mail-Adressen überprüft wurden, erhalten die vorgesehenen Empfänger keine Benachrichtigung.
1. Wählen Sie **Alarm erstellen** aus.
**So richten Sie einen Alarm ein (AWS CLI)**
+ Öffnen Sie den AWS CLI und geben Sie dann den folgenden Befehl ein. Ändern Sie den Wert des `alarm-actions` Parameters so, dass er auf ein Amazon SNS SNS-Thema verweist, das Sie zuvor erstellt haben.
```
aws cloudwatch put-metric-alarm \
--alarm-name PersonalizeCLI \
--alarm-description "Alarm when more than 10 events occur" \
--metric-name PutEventsRequests \
--namespace AWS/Personalize \
--statistic Sum \
--period 300 \
--threshold 10 \
--comparison-operator GreaterThanThreshold \
--evaluation-periods 1 \
--unit Count \
--dimensions Name=EventTrackerArn,Value=EventTrackerArn \
--alarm-actions SNSTopicArn
```
Dieses Beispiel zeigt, wie man einen Alarm erstellt, wenn mehr als 10 Ereignisse für den gegebenen Ereignis-Tracker ARN innerhalb von 5 Minuten auftreten. Weitere Informationen finden Sie unter [put-metric-alarm](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/put-metric-alarm.html).
**Um einen Alarm einzustellen (CloudWatch API)**
+ Rufen Sie die Seite `[PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)` auf. Weitere Informationen finden Sie unter *[Amazon CloudWatch API-Referenz](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/)*.
## Beispiel für eine serverlose Überwachungs-App von Amazon Personalize
Eine Beispiel-App, die Überwachungs-, Warnungs- und Optimierungsfunktionen für Amazon Personalize hinzufügt, finden Sie unter Amazon Personalize [Monitor im Amazon Personalize [Personalize-Beispiel-Repository](https://github.com/aws-samples/amazon-personalize-samples)](https://github.com/aws-samples/amazon-personalize-monitor).
# CloudWatch Metriken für Amazon Personalize
Dieser Abschnitt enthält Informationen zu den für Amazon Personalize verfügbaren CloudWatch Amazon-Metriken. Weitere Informationen finden Sie unter [Überwachung von Amazon Personalize mit Amazon CloudWatch](personalize-monitoring.md).
In der folgenden Tabelle sind die Amazon Personalize-Metriken aufgeführt. Alle Metriken außer diesen Statistiken GetRecommendations und GetPersonalizedRanking unterstützen diese:`Average, Minimum, Maximum, Sum`. GetRecommendations und `Sum` nur GetPersonalizedRanking Support.
| Metrik | Description |
| --- | --- |
| DatasetImportJobRequests | Die Anzahl der erfolgreichen [CreateDatasetImportJob](API_CreateDatasetImportJob.md) API-Aufrufe. Maße: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` |
| DatasetImportJobError | Die Anzahl der `CreateDatasetImportJob` API-Aufrufe, die zu einem Fehler führten. Maße: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` |
| DatasetImportJobExecutionTime | Die Zeit zwischen dem Aufruf der API `CreateDatasetImportJob` und dem Abschluss (oder Misserfolg) der Operation. Maße: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` Einheit: Sekunden |
| DatasetSize | Die Größe der Daten, die vom Importauftrag für Datensätze importiert werden. Maße: `DatasetGroupArn, DatasetArn, DatasetImportJobArn` Einheit: Byte |
| SolutionTrainingJobRequests | Die Anzahl der erfolgreichen [CreateSolutionVersion](API_CreateSolutionVersion.md) API-Aufrufe. Maße: `SolutionArn, SolutionVersionArn` |
| SolutionTrainingJobError | Die Anzahl der `CreateSolutionVersion` API-Aufrufe, die zu einem Fehler führten. Maße: `SolutionArn, SolutionVersionArn` |
| SolutionTrainingJobExecutionTime | Die Zeit zwischen dem Aufruf der API `CreateSolutionVersion` und dem Abschluss (oder Misserfolg) der Operation. Maße: `SolutionArn, SolutionVersionArn` Einheit: Sekunden |
| GetPersonalizedRanking | Ob ein [GetPersonalizedRanking](API_RS_GetPersonalizedRanking.md) API-Aufruf erfolgreich ist. Verwenden Sie die `sum` Statistik, um die Gesamtzahl der erfolgreichen GetPersonalizedRanking API-Aufrufe anzuzeigen. Diese Metrik unterstützt keine anderen Statistiken. Dimension: `CampaignArn` |
| GetPersonalizedRanking4xxErrors | Die Anzahl der `GetPersonalizedRanking` API-Aufrufe, die einen 4xx-HTTP-Antwortcode zurückgegeben. Dimension: `CampaignArn` |
| GetPersonalizedRanking5xxErrors | Die Anzahl der `GetPersonalizedRanking` API-Aufrufe, die einen 5xx-HTTP-Antwortcode zurückgegeben. Dimension: `CampaignArn` |
| GetPersonalizedRankingLatency | Der Zeitraum zwischen dem Eingang des `GetPersonalizedRanking` API-Aufrufs und dem Versenden von Empfehlungen (ohne 4xx und 5xx-Fehler). Dimension: `CampaignArn` Einheit: Millisekunden |
| GetRecommendations | Ob ein [GetRecommendations](API_RS_GetRecommendations.md) API-Aufruf erfolgreich ist. Verwenden Sie die `sum` Statistik, um die Gesamtzahl der erfolgreichen GetRecommendations API-Aufrufe anzuzeigen. Diese Metrik unterstützt keine anderen Statistiken. Dimension: `CampaignArn` |
| GetRecommendations4xxErrors | Die Anzahl der `GetRecommendations` API-Aufrufe, die einen 4xx-HTTP-Antwortcode zurückgegeben. Dimension: `CampaignArn` |
| GetRecommendations5XX-Fehler | Die Anzahl der `GetRecommendations` API-Aufrufe, die einen 5xx-HTTP-Antwortcode zurückgegeben. Dimension: CampaignArn |
| GetRecommendationsLatency | Der Zeitraum zwischen dem Eingang des `GetRecommendations` API-Aufrufs und dem Versenden von Empfehlungen (ohne 4xx und 5xx-Fehler). Dimension: `CampaignArn` Einheit: Millisekunden |
| PutEventsRequests | Die Anzahl der erfolgreichen [PutEvents](API_UBS_PutEvents.md) API-Aufrufe. Dimension:` DatasetGroupArn, DatasetArn, EventTrackerArn` |
| PutEvents4xxErrors | Die Anzahl der `PutEvents` API-Aufrufe, die einen 4xx-HTTP-Antwortcode zurückgegeben. Dimension: ` DatasetGroupArn, DatasetArn, EventTrackerArn` |
| PutEvents5xxErrors | Die Anzahl der `PutEvents` API-Aufrufe, die einen 5xx-HTTP-Antwortcode zurückgegeben. Dimension: ` DatasetGroupArn, DatasetArn, EventTrackerArn` |
| PutEventLatency | Die erforderliche Zeit für den Abschluss des `PutEvents` API-Aufrufs (ohne 4xx und 5xx-Fehler). Dimension: ` DatasetGroupArn, DatasetArn, EventTrackerArn` Einheit: Millisekunden |
| PutItemsRequests | Die Anzahl der erfolgreichen [PutItems](API_UBS_PutItems.md) API-Aufrufe. Dimension:` DatasetGroupArn, DatasetArn` |
| PutItems4xxErrors | Die Anzahl der `PutItems` API-Aufrufe, die einen 4xx-HTTP-Antwortcode zurückgegeben. Dimension: ` DatasetGroupArn, DatasetArn` |
| PutItems5xxErrors | Die Anzahl der `PutItems` API-Aufrufe, die einen 5xx-HTTP-Antwortcode zurückgegeben. Dimension: ` DatasetGroupArn, DatasetArn` |
| PutItemsLatency | Die erforderliche Zeit für den Abschluss des `PutItems` API-Aufrufs (ohne 4xx und 5xx-Fehler). Dimension: ` DatasetGroupArn, DatasetArn` Einheit: Millisekunden |
| PutUsersRequests | Die Anzahl der erfolgreichen [PutUsers](API_UBS_PutUsers.md) API-Aufrufe. Dimension:` DatasetGroupArn, DatasetArn` |
| PutUsers4xxErrors | Die Anzahl der `PutUsers` API-Aufrufe, die einen 4xx-HTTP-Antwortcode zurückgegeben. Dimension: ` DatasetGroupArn, DatasetArn` |
| PutUsers5xxErrors | Die Anzahl der `PutUsers` API-Aufrufe, die einen 5xx-HTTP-Antwortcode zurückgegeben. Dimension: ` DatasetGroupArn, DatasetArn` |
| PutUsersLatency | Die erforderliche Zeit für den Abschluss des `PutUsers` API-Aufrufs (ohne 4xx und 5xx-Fehler). Dimension: ` DatasetGroupArn, DatasetArn` Einheit: Millisekunden |
# Protokollieren Amazon Personalize Personalize-API-Aufrufen mit AWS CloudTrail
Amazon Personalize ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Personalize ausgeführt wurden. CloudTrail erfasst eine Teilmenge von API-Aufrufen für Amazon Personalize als Ereignisse, einschließlich Aufrufe von der Amazon Personalize-Konsole und von Codeaufrufen an Amazon Personalize. APIs Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Amazon Personalize. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Personalize gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Amazon Personalize Sie Informationen in CloudTrail
CloudTrail ist für Ihr AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Amazon Personalize auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon Personalize, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfigurieren von Amazon SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Amazon Personalize unterstützt die Protokollierung jeder Aktion (API-Operation) als Ereignis in CloudTrail Protokolldateien. Weitere Informationen finden Sie unter [Aktionen](API_Operations.md).
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anforderung mit Root- oder -Benutzeranmeldeinformationen ausgeführt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Service gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Beispiel: Amazon Personalize Personalize-Protokolldateieinträge
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag mit Aktionen für den ListDatasetGroups API-Vorgang. Beachten Sie, dass die `responseElements` Antwort Null ist, da es sich bei der ListDatasetGroups API-Operation um eine Aktion handelt, die den Status nicht ändert. Weitere Informationen zum Hauptteil von CloudTrail Datensätzen finden Sie unter [CloudTrail Datensatzinhalt](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "principal-id",
"arn": "arn:aws:iam::user-arn",
"accountId": "account-id",
"accessKeyId": "access-key",
"userName": "user-name"
},
"eventTime": "2018-11-22T02:18:03Z",
"eventSource": "personalize.amazonaws.com",
"eventName": "ListDatasetGroups",
"awsRegion": "us-west-2",
"sourceIPAddress": "source-ip-address",
"userAgent": "aws-cli/1.11.16 Python/2.7.11 Darwin/15.6.0 botocore/1.4.73",
"requestParameters": null,
"responseElements": null,
"requestID": "request-id",
"eventID": "event-id",
"eventType": "AwsApiCall",
"recipientAccountId": "recipient-account-id"
}
```
# Konformitätsprüfung für Amazon Personalize
Externe Prüfer bewerten die Sicherheit und Konformität von Amazon Personalize im Rahmen mehrerer AWS Compliance-Programme. Zu diesen Programmen gehören SOC, PCI, HIPAA und andere.
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung von Vorschriften bei der Verwendung von Amazon Personalize hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS bietet die folgenden Ressourcen zur Unterstützung bei der Einhaltung von Vorschriften:
+ Schnellstartanleitungen zu [Sicherheit und Compliance Schnellstartanleitungen](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) zu — In diesen Bereitstellungshandbüchern werden architektonische Überlegungen erörtert und Schritte für die Implementierung von sicherheits- und Compliance-orientierten Basisumgebungen beschrieben. AWS
+ [Whitepaper „Architecting for HIPAA Security and Compliance](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)“ — Erfahren Sie, wie Sie damit sensible Workloads ausführen können AWS , die unter den US-amerikanischen Health Insurance Portability and Accountability Act (HIPAA) fallen.
+ [AWS Ressourcen zur Einhaltung](https://aws.amazon.com/compliance/resources/) von — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Developer Guide* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Resilienz in Amazon Personalize
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Amazon Personalize nutzt die AWS globale Infrastruktur für Datenstabilität. Wenn Sie eine Amazon Personalize-Ressource in einer AWS Region erstellen, verwaltet Amazon Personalize die Widerstandsfähigkeit und Datenredundanz der Ressource in mehreren Availability Zones. Eine Liste der AWS Regionen, in denen Sie Amazon Personalize-Ressourcen erstellen können, finden Sie unter [AWS Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/personalize.html) in der *Allgemeinen Referenz zu Amazon Web Services*. Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Infrastruktursicherheit in Amazon Personalize
Als verwalteter Service ist Amazon Personalize durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Personalize zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Amazon VPC-Endpunkte personalisieren und verbinden ()AWS PrivateLink
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und Amazon Personalize herstellen. Diese Verbindung ermöglicht Amazon Personalize, mit Ihren Ressourcen auf Ihrer VPC zu kommunizieren, ohne das öffentliche Internet nutzen zu müssen.
Amazon VPC ist eine AWS-Service , die Sie verwenden, um AWS Ressourcen in einer von Ihnen definierten Virtual Private Cloud (VPC) oder einem virtuellen Netzwerk zu starten. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Bei VPC-Endpunkten übernimmt das AWS Netzwerk das Routing zwischen Ihrer VPC und. AWS-Services
Um Ihre VPC mit Amazon Personalize zu verbinden, definieren Sie einen VPC-Schnittstellen-Endpunkt für Amazon Personalize. Ein Schnittstellenendpunkt ist eine elastic network interface mit einer privaten IP-Adresse, die als Einstiegspunkt für Datenverkehr dient, der an einen unterstützten AWS-Service Empfänger gerichtet ist. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu Amazon Personalize. Es erfordert kein Internet-Gateway, keine Network Address Translation (NAT) -Instance oder eine VPN-Verbindung. Weitere Informationen finden Sie unter [Was ist Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) im *Benutzerhandbuch zu Amazon VPC*.
Schnittstellen-VPC-Endpunkte werden aktiviert durch. AWS PrivateLink Diese AWS Technologie ermöglicht die private Kommunikation zwischen Personen AWS-Services mithilfe einer elastic network interface mit privaten IP-Adressen.
**Anmerkung**
Alle Amazon Personalize Federal Information Processing Standard (FIPS) -Endgeräte werden unterstützt von. AWS PrivateLink
**Topics**
+ [Erstellen eines VPC-Schnittstellen-Endpunkts für Amazon Personalize](#vpc-endpoint-create)
+ [Erstellen einer VPC-Endpunktrichtlinie für Amazon Personalize](#vpc-endpoint-policy)
## Erstellen eines VPC-Schnittstellen-Endpunkts für Amazon Personalize
Sie können einen VPC-Endpunkt für den Amazon Personalize Personalize-Service entweder mit der Amazon VPC-Konsole oder mit () erstellen. AWS Command Line Interface AWS CLI Weitere Informationen finden Sie unter [Zugreifen auf einen AWS Service über einen Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) im *Amazon VPC-Benutzerhandbuch*.
Um einen VPC-Endpunkt für Amazon Personalize zu erstellen, wählen Sie eine der folgenden Optionen für den Service. Sie können wählen, ob Sie einen IPv4-, IPv6- oder DualStack-Endpunkt erstellen möchten.
+ com.amazonaws. *region*.personalisieren
+ com.amazonaws. *region*.personalisieren Sie Ereignisse
+ com.amazonaws. *region*.personalisieren-Laufzeit
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Amazon Personalize stellen, indem Sie den Standard-DNS-Namen für die Region verwenden, `personalize.us-east-1.api.aws` z. B.
## Erstellen einer VPC-Endpunktrichtlinie für Amazon Personalize
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon Personalize steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
**Beispiel: VPC-Endpunktrichtlinie, die alle Amazon Personalize Personalize-Aktionen und PassRole-Aktionen zulässt**
Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie Zugriff auf alle Amazon Personalize Personalize-Aktionen und PassRole-Aktionen.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"personalize:*",
"iam:PassRole"
],
"Resource": "*"
}
]
}
```
**Beispiel: VPC-Endpunktrichtlinie, die Amazon Personalize Personalize-Aktionen ListDatasets ermöglicht**
Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie Zugriff auf die aufgelisteten Amazon Personalize ListDatasets Personalize-Aktionen.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"personalize:ListDatasets"
],
"Resource": "*"
}
]
}
```