Autoriser Amazon Personalize à utiliser votre AWS KMS clé - Amazon Personalize

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser Amazon Personalize à utiliser votre AWS KMS clé

Si vous spécifiez une clé AWS Key Management Service (AWS KMS) lorsque vous utilisez la console Amazon Personalize ou les API, ou si vous utilisez votre AWS KMS clé pour chiffrer un compartiment Amazon S3, vous devez autoriser Amazon Personalize à utiliser votre clé. Pour accorder des autorisations, votre politique de AWS KMS clé et la politique IAM associées à votre rôle de service doivent accorder à Amazon Personalize l'autorisation d'utiliser votre clé. Cela s'applique à la création des éléments suivants dans Amazon Personalize.

  • Groupes de jeux de données

  • Tâche d'importation de jeux de données (seule la politique AWS KMS clé doit accorder des autorisations)

  • Travaux d'exportation de jeux de données

  • Tâches d'inférence par lots

  • Tâches de segmentation par lots

  • Attributions métriques

Votre politique AWS KMS clé et vos politiques IAM doivent accorder des autorisations pour les actions suivantes :

  • Decrypt

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(obligatoire uniquement dans la politique principale)

  • ListGrants

AWS KMSLa révocation des autorisations clés après la création d'une ressource peut entraîner des problèmes lors de la création d'un filtre ou de l'obtention de recommandations. Pour plus d'informations sur AWS KMS les politiques, consultez la section Utilisation de politiques clés dans AWS KMS dans le Guide du AWS Key Management Service développeur. Pour plus d'informations sur la création d'une politique IAM, consultez la section Création de politiques IAM dans le Guide de l'utilisateur IAM. Pour plus d'informations sur l'association d'une politique IAM à un rôle, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le Guide de l'utilisateur IAM.

Exemple de politique clé

L'exemple de politique clé suivant accorde à Amazon Personalize et à votre rôle les autorisations minimales pour les opérations Amazon Personalize précédentes. Si vous spécifiez une clé lorsque vous créez un groupe de jeux de données et que vous souhaitez exporter des données à partir d'un ensemble de données, votre politique de clé doit inclure l'GenerateDataKeyWithoutPlaintextaction.

{ "Version": "2012-10-17", "Id": "key-policy-123", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>", "Service": "personalize.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant", "kms:ListGrants" ], "Resource": "*" } ] }

Exemple de politique IAM

L'exemple de politique IAM suivant accorde à un rôle les AWS KMS autorisations minimales requises pour les opérations Amazon Personalize précédentes. Pour les tâches d'importation de jeux de données, seule la politique AWS KMS clé doit accorder des autorisations.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:ListGrants" ], "Resource": "*" } ] }