Como conceder permissão ao Amazon Personalize para usar sua chave AWS KMS - Amazon Personalize
Exemplo de política de chaveExemplo de política do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como conceder permissão ao Amazon Personalize para usar sua chave AWS KMS

Se você especificar uma chave AWS Key Management Service (AWS KMS) ao usar o console ou as APIs do Amazon Personalize ou se utilizar sua chave AWS KMS para criptografar um bucket do Amazon S3, deverá conceder permissão de uso da sua chave ao Amazon Personalize. Para conceder permissões, sua política de chave AWS KMS e a política do IAM anexadas ao seu perfil de serviço devem conceder permissão de uso da sua chave ao Amazon Personalize. Isso se aplica à criação do seguinte no Amazon Personalize.

  • Grupos de conjuntos de dados

  • Trabalho de importação do conjunto de dados (somente a política de chave AWS KMS deve conceder permissões)

  • Trabalhos de exportação do conjunto de dados

  • Trabalhos de inferência em lote

  • Trabalhos de segmento em lote

  • Atribuições de métrica

Sua política de chave AWS KMS e as políticas do IAM devem conceder permissões para as seguintes ações:

  • Decrypt

  • GenerateDataKey

  • DescribeKey

  • CreateGrant (obrigatório apenas na política de chave)

  • ListGrants

Revogar as permissões de chave AWS KMS após criar um recurso pode causar problemas ao gerar um filtro ou obter recomendações. Para obter mais informações sobre as políticas do AWS KMS, consulte Como usar políticas de chave no KMS da AWS no Guia do desenvolvedor do AWS Key Management Service. Para obter mais informações sobre como criar uma política do IAM, consulte Como criar políticas do IAM no Guia do usuário do IAM. Para saber sobre como anexar uma política do IAM à função, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.

Exemplo de política de chave

O exemplo de política de chave a seguir concede ao Amazon Personalize e ao seu perfil as permissões mínimas para as operações anteriores do Amazon Personalize. Se você especificar uma chave ao criar um grupo de conjuntos de dados e quiser exportar dados de um conjunto de dados, sua política de chave deverá incluir a ação GenerateDataKeyWithoutPlaintext. 

{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

Exemplo de política do IAM

O exemplo de política do IAM a seguir concede ao perfil as permissões mínimas do AWS KMS para as operações anteriores do Amazon Personalize. Para trabalhos de importação de conjuntos de dados, somente a política de chave do AWS KMS precisa conceder permissões. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}