Memberikan izin Amazon Personalisasi untuk menggunakan kunci Anda AWS KMS - Amazon Personalize
Contoh kebijakan utamaContoh kebijakan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan izin Amazon Personalisasi untuk menggunakan kunci Anda AWS KMS

Jika Anda menetapkan AWS Key Management Service (AWS KMS) kunci saat menggunakan konsol atau API Amazon Personalize, atau jika Anda menggunakan AWS KMS kunci untuk mengenkripsi bucket Amazon S3, Anda harus memberikan izin Amazon Personalize untuk menggunakan kunci Anda. Untuk memberikan izin, kebijakan AWS KMS utama dan kebijakan IAM yang dilampirkan pada peran layanan Anda harus memberikan izin Amazon Personalize untuk menggunakan kunci Anda. Ini berlaku untuk membuat yang berikut di Amazon Personalize.

  • Grup set data

  • Pekerjaan impor set data (hanya kebijakan AWS KMS kunci yang harus memberikan izin)

  • Lowongan kerja Dataset Export

  • Lowongan kerja batch inference

  • Lowongan kerja batch segment

  • Atribusi metrik

Kebijakan AWS KMS utama dan kebijakan IAM Anda harus memberikan izin untuk tindakan berikut:

  • Dekripsi

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(hanya diperlukan dalam kebijakan kunci)

  • ListGrants

Mencabut izin AWS KMS kunci setelah membuat sumber daya dapat menyebabkan masalah saat membuat filter atau mendapatkan rekomendasi. Untuk informasi selengkapnya tentang AWS KMS kebijakan, lihat Menggunakan kebijakan utama di AWS KMS di Panduan AWS Key Management Service Pengembang. Untuk informasi tentang membuat kebijakan IAM, lihat Membuat kebijakan IAM di Panduan Pengguna IAM. Untuk informasi tentang melampirkan kebijakan IAM ke peran, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna IAM.

Contoh kebijakan utama

Contoh kebijakan utama berikut memberi Amazon Personalize dan peran Anda izin minimum untuk operasi Amazon Personalize sebelumnya. Jika Anda menentukan kunci saat membuat grup kumpulan data dan ingin mengekspor data dari kumpulan data, kebijakan kunci Anda harus menyertakan tindakan tersebutGenerateDataKeyWithoutPlaintext. 

{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

Contoh kebijakan IAM

Contoh kebijakan IAM berikut memberikan peran AWS KMS izin minimum yang diperlukan untuk operasi Amazon Personalize sebelumnya. Untuk pekerjaan impor set data, hanya kebijakan AWS KMS utama yang perlu memberikan izin. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}