本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务 AWS Entity Resolution 数据匹配服务 使用*工作流程作业角色*来运行工作流程。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您没有`CreateRole`权限,请让您的管理员创建该角色。 **为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务** 1. 使用您的管理员账户登录 IAM 控制台。[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. 在 **Access management**(访问管理)下,请选择 **Roles**(角色)。 您可以使用**角色**创建短期证书,建议使用此方法来提高安全性。您也可以选择**用户**来创建长期凭证。 1. 选择**创建角色**。 1. 在**创建角色**向导中,对于**可信实体类型**,选择**自定义信任策略**。 1. 将以下自定义信任策略复制粘贴到 JSON 编辑器中。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "entityresolution.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. 选择**下一步**。 1. 对于**添加权限**,请选择**创建策略**。 此时会出现一个新选项卡。 1. 将以下策略复制并粘贴到 JSON 编辑器中。 **注意** 以下示例策略支持读取相应数据资源(如 Amazon S3 和)所需的权限 AWS Glue。但是,您可能需要修改此策略,具体取决于您设置数据源的方式。 您可以在支持的 AWS 商业分区中使用来自任何区域的 AWS Glue 资源和底层 Amazon S3 资源,它们不必与位于同一区域 AWS Entity Resolution 数据匹配服务。 AWS Glue 如果您的数据源未加密或解密,则无需授予 AWS KMS 权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::{{{{input-buckets}}}}", "arn:aws:s3:::{{{{input-buckets}}}}/*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": [ "{{444455556666}}" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::{{{{output-bucket}}}}", "arn:aws:s3:::{{{{output-bucket}}}}/*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": [ "{{444455556666}}" ] } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetTable", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:{{us-east-1}}:{{444455556666}}:database/{{input-databases}}", "arn:aws:glue:{{us-east-1}}:{{444455556666}}:table/{{input-database}}/{{input-tables}}", "arn:aws:glue:{{us-east-1}}:{{444455556666}}:catalog" ] } ] } ``` ------ 将每个 {{{{user input placeholder}}}} 替换为您自己的信息。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html) 1. (可选)如果输入的 Amazon S3 存储桶是使用客户的 KMS 密钥加密的,请添加以下内容: ``` { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{{{aws-region}}}}:{{{{&ExampleAWSAccountNo1;}}}}:key/{{{{inputKeys}}}}" ] } ``` 将每个 {{{{user input placeholder}}}} 替换为您自己的信息。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html) 1. (可选)如果写入输出 Amazon S3 存储桶的数据需要加密,请添加以下内容: ``` { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": [ "arn:aws:kms:{{{{aws-region}}}}:{{{{&ExampleAWSAccountNo1;}}}}:key/{{{{outputKeys}}}}" ] } ``` 将每个 {{{{user input placeholder}}}} 替换为您自己的信息。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html) 1. (可选)如果您通过订阅了提供者服务 AWS Data Exchange,并且想要将现有角色用于基于提供者服务的工作流程,请添加以下内容: ``` { "Effect": "Allow", "Sid": "DataExchangePermissions", "Action": "dataexchange:SendApiAsset", "Resource": [ "arn:aws:dataexchange:{{{{aws-region}}}}::data-sets/{{{{datasetId}}}}/revisions/{{{{revisionId}}}}/assets/{{{{assetId}}}}" ] } ``` 将每个 {{{{user input placeholder}}}} 替换为您自己的信息。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html) 1. 返回原始选项卡,在 “**添加权限**” 下,输入您刚刚创建的策略的名称。(您可能需要重新加载页面。) 1. 选中您创建的策略名称旁边的复选框,然后选择**下一步**。 1. 对于**命名、查看和创建**,输入**角色名称**和**描述**。 **注意** **角色名称**必须与授予成员的`passRole`权限模式相匹配,该成员可以传递权限`workflow job role`以创建匹配的工作流程。 例如,如果您使用的是`AWSEntityResolutionConsoleFullAccess`托管策略,请记得在角色名称中加`entityresolution`入。 1. 查看**选择受信任的实体**,并在必要时进行编辑。 1. 在**添加权限**中查看权限,并在必要时进行编辑。 1. 查看**标签**,并在必要时添加标签。 1. 选择**创建角色**。 的工作流程工作角色 AWS Entity Resolution 数据匹配服务 已创建。