Policy IAM per i log delle conversazioni - Amazon Lex
Creazione di un IAM ruolo e di politiche per i log delle conversazioniConcessione del permesso di assegnare un ruolo IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy IAM per i log delle conversazioni

A seconda del tipo di registrazione selezionato, Amazon Lex V2 richiede l'autorizzazione per utilizzare i bucket Amazon CloudWatch Logs e Amazon Simple Storage Service (S3) per archiviare i log. È necessario creare AWS Identity and Access Management ruoli e autorizzazioni per consentire ad Amazon Lex V2 di accedere a queste risorse.

Creazione di un IAM ruolo e di politiche per i log delle conversazioni

Per abilitare i log delle conversazioni, devi concedere l'autorizzazione di scrittura per CloudWatch Logs e Amazon S3. Se abiliti la crittografia degli oggetti per i tuoi oggetti S3, devi concedere l'autorizzazione di accesso alle AWS KMS chiavi utilizzate per crittografare gli oggetti.

È possibile utilizzare la IAM console IAMAPI, il o il AWS Command Line Interface per creare il ruolo e le politiche. Queste istruzioni utilizzano il AWS CLI per creare il ruolo e le politiche.

Nota

Il codice seguente è formattato per Linux e MacOS. Per Windows, sostituire il carattere di continuazione della riga di Linux (\) con un accento circonflesso (^).

Per creare un IAM ruolo per i registri delle conversazioni

  1. Creare un documento nella directory corrente chiamato LexConversationLogsAssumeRolePolicyDocument.json, aggiungervi il seguente codice e salvarlo. Questo documento di policy aggiunge Amazon Lex V2 come entità attendibile al ruolo. Ciò consente ad Amazon Lex di assumere il ruolo di fornire log alle risorse configurate per i log delle conversazioni.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lexv2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. In AWS CLI, esegui il seguente comando per creare il IAM ruolo per i registri delle conversazioni.

    aws iam create-role \
    --role-name role-name \
    --assume-role-policy-document file://LexConversationLogsAssumeRolePolicyDocument.json

Successivamente, crea e allega una policy al ruolo che consenta ad Amazon Lex V2 di scrivere nei CloudWatch log.

Per creare una IAM politica per la registrazione del testo della conversazione in Logs CloudWatch

  1. Crea un documento nella directory corrente denominataLexConversationLogsCloudWatchLogsPolicy.json, aggiungi la seguente IAM politica e salvalo.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "logs:CreateLogStream",
              "logs:PutLogEvents"
          ],
          "Resource": "arn:aws:logs:region:account-id:log-group:log-group-name:*"
      }
  ]
}

  2. In AWS CLI, crea la IAM politica che concede l'autorizzazione di scrittura al gruppo di log CloudWatch Logs.

    aws iam create-policy \
    --policy-name cloudwatch-policy-name \
    --policy-document file://LexConversationLogsCloudWatchLogsPolicy.json

  3. Allega la policy al IAM ruolo che hai creato per i registri delle conversazioni.

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/cloudwatch-policy-name \
    --role-name role-name

Se stai registrando l'audio in un bucket S3, crea una policy che consenta ad Amazon Lex V2 di scrivere nel bucket.

Per creare una IAM policy per la registrazione audio in un bucket S3

  1. Creare un documento nella directory corrente chiamato LexConversationLogsS3Policy.json, aggiungervi la seguente policy e salvarlo.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:PutObject"
          ],
          "Resource": "arn:aws:s3:::bucket-name/*"
      }
  ]
}

  2. Nella AWS CLI, crea la IAM politica che concede l'autorizzazione di scrittura al tuo bucket S3.

    aws iam create-policy \
    --policy-name s3-policy-name \
    --policy-document file://LexConversationLogsS3Policy.json

  3. Collegare la policy al ruolo creato per i log delle conversazioni.

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/s3-policy-name \
    --role-name role-name

Concessione del permesso di assegnare un ruolo IAM

Quando usi la console AWS Command Line Interface, o un per specificare un IAM ruolo AWS SDK da utilizzare per i log delle conversazioni, l'utente che specifica il ruolo dei log delle conversazioni deve avere l'autorizzazione a passare il IAM ruolo ad Amazon Lex V2. Per consentire all'utente di passare il ruolo ad Amazon Lex V2, devi concedere l'PassRoleautorizzazione all'IAMutente, al ruolo o al gruppo dell'utente.

La policy seguente definisce l'autorizzazione da concedere all'utente, al ruolo o al gruppo. È possibile utilizzare le chiavi di condizione iam:AssociatedResourceArn e iam:PassedToService per limitare l'ambito dell'autorizzazione. Per ulteriori informazioni, consulta Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio IAM e AWS STS Condition Context Keys nella Guida per l'AWS Identity and Access Management utente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "lexv2.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": "arn:aws:lex:region:account-id:bot:bot-name:bot-alias"
                }
            }
        }
    ]
}