Amazon Personalize にリソースへのアクセス許可を付与する - Amazon Personalize
新しい Amazon Personalize の IAM ポリシーの作成Amazon Personalize 向けの IAM ロールの作成

Amazon Personalize にリソースへのアクセス許可を付与する

リソースへのアクセス許可を Amazon Personalize に付与する IAM ポリシーを作成します。または、AWS マネージド AmazonPersonalizeFullAccess ポリシーを使用します。AmazonPersonalizeFullAccess は必要以上のアクセス許可を提供します。必要なアクセス許可のみを付与する新しい IAM ポリシーを作成することをお勧めします。管理ポリシーの詳細については、「AWS マネージドポリシー」を参照してください。

ポリシーを作成後、Amazon Personalize 向けの IAM ロールを作成して新しいポリシーをアタッチします。

新しい Amazon Personalize の IAM ポリシーの作成

Amazon Personalize に Amazon Personalize のリソースへのフルアクセスを提供する IAM ポリシーを作成します。

JSON ポリシーエディタでポリシーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで、[ポリシー] を選択します。

    初めて [ポリシー] を選択する場合には、[管理ポリシーにようこそ] ページが表示されます。[今すぐ始める] を選択します。

  3. ページの上部で、[ポリシーを作成] を選択します。

  4. [ポリシーエディタ] セクションで、[JSON] オプションを選択します。

  5. 次の JSON ポリシードキュメントを入力します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. [次へ] をクリックします。

    注記

    いつでも [Visual] と [JSON] エディタオプションを切り替えることができます。ただし、[Visual] エディタで [] に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「IAM ユーザーガイド」の「ポリシーの再構成」を参照してください。

  7. [確認と作成] ページで、作成するポリシーの [ポリシー名][説明] (オプション) を入力します。[このポリシーで定義されているアクセス許可] を確認して、ポリシーによって付与されたアクセス許可を確認します。

  8. [ポリシーの作成] をクリックして、新しいポリシーを保存します。

Amazon Personalize 向けの IAM ロールの作成

Amazon Personalize を使用するには、Amazon Personalize の AWS Identity and Access Management サービスロールを作成する必要があります。サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービス にアクセス許可を委任するロールの作成」を参照してください。Amazon Personalize のサービスロールを作成したら、必要に応じてそのロールに その他のサービスロールのアクセス許可 に記載されている追加のアクセス権限を付与します。

Amazon Personalize 向けのサービスロールを作成するには (IAM コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで、[ロール]、[ロールを作成] を選択します。

  3. 信頼できるエンティティタイプ で、AWS のサービス を選択します。

  4. [サービスまたはユースケース] で、[Amazon Personalize] を選択し、[Personalize] ユースケースを選択します。

  5. [Next] を選択します。

  6. 前の手順で作成したポリシーを使用します。

  7. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

    1. [アクセス許可の境界の設定] セクションを開き、[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する] を選択します。

      IAM には、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーのリストがあります。

    2. アクセス許可の境界として使用するポリシーを選択します。

  8. [Next] を選択します。

  9. このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。

    重要

    ロールに名前を付けるときは、次のことに注意してください。

    • ロール名は AWS アカウント内で一意である必要があります。ただし、大文字と小文字は区別されません。

      例えば、PRODROLEprodrole の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。

    • 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

  10. (オプション) [説明] にロールの説明を入力します。

  11. (オプション) ロールのユースケースとアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。

  12. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。

  13. ロールを確認したら、[Create role] (ロールを作成) を選択します。

Amazon Personalize のロールを作成したら、そのロールに Amazon S3 バケット任意の AWS KMS キーへのアクセスを許可する準備が整います。

その他のサービスロールのアクセス許可

ロールを作成し、このロールに Amazon Personalize のリソースへのアクセス権を与えたら、以下を行います。

  1. Amazon Personalize サービスロールの信頼ポリシーを変更して、混乱した代理問題を防ぎましょう。信頼関係ポリシーの例については、「サービス間の混乱した代理の防止」を参照してください。ロールの信頼ポリシーを変更する方法については、「ロールの変更」を参照してください。

  2. 暗号化に AWS Key Management Service (AWS KMS) を使用している場合は、キーを使用するためのアクセス許可を、Amazon Personalize と Amazon Personalize の IAM サービスロールに付与する必要があります。詳細については、「AWS KMS キーを使用するアクセス許可を Amazon Personalize に付与する」を参照してください。