Amazon Personalize에 AWS KMS 키 사용 권한 부여 - Personalize

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Personalize에 AWS KMS 키 사용 권한 부여

Amazon Personalize 콘솔 또는 API를 사용할 때 AWS Key Management Service(AWS KMS) 키를 지정하거나 AWS KMS 키를 사용하여 Amazon S3 버킷을 암호화하는 경우 Amazon Personalize에 키 사용 권한을 부여해야 합니다. 권한을 부여하려면 서비스 역할에 연결된 AWS KMS 키 정책 IAM 정책이 Amazon Personalize에 키 사용 권한을 부여해야 합니다. 이는 Amazon Personalize에서 다음을 생성하는 경우에 적용됩니다.

  • 데이터 세트 그룹

  • 데이터 세트 가져오기 작업 (AWS KMS 키 정책만 권한을 부여해야 함)

  • 데이터 세트 내보내기 작업

  • 배치 추론 작업

  • 배치 세그먼트 작업

  • 지표 어트리뷰션

AWS KMS 키 정책 및 IAM 정책이 다음 작업을 수행할 권한을 부여해야 합니다.

  • Decrypt

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(키 정책에만 필요)

  • ListGrants

리소스를 생성한 후 AWS KMS 키 권한을 취소하면 필터를 만들거나 추천을 받을 때 문제가 발생할 수 있습니다. AWS KMS 키 정책에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서AWS KMS에서 키 정책 사용 단원을 참조하세요. IAM 정책 생성에 대한 자세한 내용은 IAM 사용 설명서IAM 정책 생성 단원을 참조하세요. 역할에 IAM 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서IAM 자격 증명 권한 추가 및 제거 단원을 참조하세요.

예제 키 정책

다음 예제 키 정책에서는 Amazon Personalize와 사용자 역할에 이전 Amazon Personalize 작업에 대한 최소한의 권한을 부여합니다. 데이터 세트 그룹을 생성할 때 키를 지정하고 데이터 세트에서 데이터를 내보내려는 경우 키 정책에 GenerateDataKeyWithoutPlaintext 작업이 포함되어야 합니다.

{ "Version": "2012-10-17", "Id": "key-policy-123", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>", "Service": "personalize.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant", "kms:ListGrants" ], "Resource": "*" } ] }

예제 IAM 정책

다음 예제 IAM 정책은 이전 Amazon Personalize 작업에 필요한 최소한의 AWS KMS 권한을 역할에 부여합니다. 데이터 세트 가져오기 작업의 경우 AWS KMS 키 정책만 권한을 부여하면 됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:ListGrants" ], "Resource": "*" } ] }