会話ログの IAM ポリシー - Amazon Lex
会話ログのIAMロールとポリシーの作成IAM ロールを渡すアクセス許可の付与

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

会話ログの IAM ポリシー

選択したログの種類に応じて、Amazon Lex V2 には、Amazon CloudWatch Logs と Amazon Simple Storage Service (S3) バケットを使用してログを保存するアクセス許可が必要です。Amazon Lex V2 がこれらのリソースにアクセスできるようにするには、 AWS Identity and Access Management ロールとアクセス許可を作成する必要があります。

会話ログのIAMロールとポリシーの作成

会話ログを有効にするには、 CloudWatch ログと Amazon S3 の書き込みアクセス許可を付与する必要があります。S3 オブジェクトのオブジェクト暗号化を有効にする場合は、オブジェクトの暗号化に使用される AWS KMS キーへのアクセス許可を付与する必要があります。

IAM コンソール、API、または IAM を使用して AWS Command Line Interface 、ロールとポリシーを作成できます。これらの手順では AWS CLI 、 を使用してロールとポリシーを作成します。

注記

次のコードは、Linux と MacOS 用にフォーマットされています。Windows の場合、Linux 行連結記号 (\) をキャレット (^) に置き換えます。

会話ログのIAMロールを作成するには

  1. LexConversationLogsAssumeRolePolicyDocument.json という現在のディレクトリにドキュメントを作成し、次のコードを追加して保存します。このポリシードキュメントは、信頼されたエンティティとしてロールに Amazon Lex V2 を追加します。これにより、Amazon Lex は、会話ログ用に設定されたリソースにログを配信するロールを引き受けることができます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lexv2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. で AWS CLI、次のコマンドを実行して、会話ログのIAMロールを作成します。

    aws iam create-role \
    --role-name role-name \
    --assume-role-policy-document file://LexConversationLogsAssumeRolePolicyDocument.json

次に、Amazon Lex V2 が CloudWatch Logs に書き込むことを可能にするポリシーを作成してロールにアタッチします。

会話テキストを CloudWatch ログに記録するIAMポリシーを作成するには

  1. という現在のディレクトリにドキュメントを作成しLexConversationLogsCloudWatchLogsPolicy.json、次のIAMポリシーを追加して保存します。

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "logs:CreateLogStream",
              "logs:PutLogEvents"
          ],
          "Resource": "arn:aws:logs:region:account-id:log-group:log-group-name:*"
      }
  ]
}

  2. で AWS CLI、 CloudWatch ログロググループに書き込みアクセス許可を付与するIAMポリシーを作成します。

    aws iam create-policy \
    --policy-name cloudwatch-policy-name \
    --policy-document file://LexConversationLogsCloudWatchLogsPolicy.json

  3. 会話ログ用に作成したIAMロールにポリシーをアタッチします。

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/cloudwatch-policy-name \
    --role-name role-name

オーディオを S3 バケットにログ記録する場合は、Amazon Lex V2 がバケットに書き込むことを可能にするポリシーを作成します。

S3 バケットへの音声ログ記録のIAMポリシーを作成するには

  1. LexConversationLogsS3Policy.json という現在のディレクトリにドキュメントを作成し、次のポリシーを追加して保存します。

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:PutObject"
          ],
          "Resource": "arn:aws:s3:::bucket-name/*"
      }
  ]
}

  2. で AWS CLI、S3 バケットに書き込みアクセス許可を付与するIAMポリシーを作成します。

    aws iam create-policy \
    --policy-name s3-policy-name \
    --policy-document file://LexConversationLogsS3Policy.json

  3. 会話ログ用に作成したロールにポリシーをアタッチします。

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/s3-policy-name \
    --role-name role-name

IAM ロールを渡すアクセス許可の付与

コンソール、 AWS Command Line Interface、または AWS SDK を使用して会話ログに使用するIAMロールを指定する場合、会話ログIAMロールを指定するユーザーには、ロールを Amazon Lex V2 に渡すアクセス許可が必要です。ユーザーにロールを Amazon Lex V2 に渡すには、ユーザーのIAMユーザー、ロール、またはグループにPassRole許可を付与する必要があります。

次のポリシーは、ユーザー、ロール、またはグループに付与するアクセス許可を定義します。iam:AssociatedResourceArn 条件キーと iam:PassedToService 条件キーを使用して、アクセス許可の範囲を制限できます。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の AWS 「 サービスにロールを渡すためのユーザーアクセス許可の付与IAM」および「 AWS STS 条件コンテキストキー」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "lexv2.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": "arn:aws:lex:region:account-id:bot:bot-name:bot-alias"
                }
            }
        }
    ]
}