本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Lex V2 基于身份的策略示例
默认情况下,用户和角色没有创建或修改 Amazon Lex V2 资源的权限。他们也无法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或来执行任务 AWS API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。
要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略。
有关 Amazon Lex V2 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》中的 Amazon Lex V2 的操作、资源和条件密钥。ARNs
主题
- 策略最佳实践
- 使用 Amazon Lex V2 控制台
- 允许用户为机器人添加功能
- 允许用户为机器人添加频道
- 允许用户创建和更新机器人
- 允许用户使用自动聊天机器人设计器
- 允许用户使用密 AWS KMS 钥加密和解密文件
- 允许用户删除机器人
- 允许用户与机器人进行对话
- 允许特定用户管理基于资源的策略
- 允许用户导出机器人和机器人区域设置
- 允许用户导出自定义词汇表
- 允许用户导入机器人和机器人区域设置
- 允许用户导入自定义词汇表
- 允许用户将机器人从 Amazon Lex 迁移到 Amazon Lex V2
- 允许用户查看他们自己的权限
- 允许用户在 Amazon Lex V2 中使用可视化对话生成器绘制对话流程
- 允许用户创建和查看机器人副本,但不允许将其删除
策略最佳实践
基于身份的策略可确定相关用户能否创建、访问或删除您账户中的 Amazon Lex V2 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
-
开始使用 AWS 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的AWS 托管策略。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM用户指南》中的工作职能AWS 托AWS 管策略或托管策略。
-
应用最低权限权限-使用IAM策略设置权限时,仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用应用权限IAM的更多信息,请参阅《IAM用户指南》IAM中的策略和权限。
-
使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如,您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 AWS CloudFormation。有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件。
-
使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略,以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议,可帮助您制定安全和实用的策略。有关更多信息,请参阅《IAM用户指南》中的 IAMAccess Analyzer 策略验证。
-
需要多重身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 AWS 账户,请打开MFA以提高安全性。要要求MFA何时调用API操作,请在策略中添加MFA条件。有关更多信息,请参阅《IAM用户指南》中的配置MFA受保护的API访问权限。
有关中最佳做法的更多信息IAM,请参阅《IAM用户指南》IAM中的安全最佳实践。
使用 Amazon Lex V2 控制台
要访问 Amazon Lex V2 控制台,您必须具有一组最低的权限。这些权限必须允许您在中列出和查看有关 Amazon Lex V2 资源的详细信息。 AWS 账户如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
您无需为仅拨打 AWS CLI 或的用户设置最低控制台权限 AWS API。相反,只允许访问与他们尝试执行的API操作相匹配的操作。
为确保用户和角色仍可使用 Amazon Lex V2 控制台,用户需要拥有控制台的访问权限。有关创建具有控制台访问权限的用户的更多信息,请参阅《IAM用户指南》中的在您的 AWS 账户中创建IAM用户。
允许用户为机器人添加功能
此示例显示了一项策略,该策略允许IAM用户向 Amazon Lex V2 机器人添加 Amazon Comprehend、情绪分析和 Amazon Kendra 查询权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Id1", "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lexv2.amazonaws.com/AWSServiceRoleForLexV2Bots*" }, { "Sid": "Id2", "Effect": "Allow", "Action": "iam:GetRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lexv2.amazonaws.com/AWSServiceRoleForLexV2Bots*" } ] }
允许用户为机器人添加频道
此示例是一个允许IAM用户向机器人添加消息渠道的策略。用户必须先制定此策略,然后才能在消息收发平台上部署机器人。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Id1", "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/channels.lexv2.amazonaws.com/AWSServiceRoleForLexV2Channels*" }, { "Sid": "Id2", "Effect": "Allow", "Action": "iam:GetRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/channels.lexv2.amazonaws.com/AWSServiceRoleForLexV2Channels*" } ] }
允许用户创建和更新机器人
此示例显示了一个允许IAM用户创建和更新任何机器人的示例策略。该策略包含在控制台上或使用或完成此操作的 AWS CLI 权限 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lex:CreateBot", "lex:UpdateBot". "iam:PassRole" ], "Effect": "Allow", "Resource": ["arn:aws:lex:
Region
:123412341234
:bot/*] } ] }
允许用户使用自动聊天机器人设计器
此示例显示了一个允许IAM用户运行自动聊天机器人设计器的策略示例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
<customer-bucket>
/<bucketName>
", # Resource should point to the bucket or an explicit folder. # Provide this to read the entire bucket "arn:aws:s3:::<customer-bucket>
/<bucketName>
/*", # Provide this to read a specifc folder "arn:aws:s3:::<customer-bucket>
/<bucketName>
/<pathFormat>
/*" ] }, { # Use this if your S3 bucket is encrypted with a KMS key. "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:<Region>
:<customerAccountId>
:key/<kmsKeyId>
" ] ] }
允许用户使用密 AWS KMS 钥加密和解密文件
此示例显示了一个策略示例,该策略允许IAM用户使用 AWS KMS 客户管理的密钥来加密和解密数据。
{ "Version": "2012-10-17", "Id": "sample-policy", "Statement": [ { "Sid": "Allow Lex access", "Effect": "Allow", "Principal": { "Service": "lexv2.amazonaws.com" }, "Action": [ # If the key is for encryption "kms:Encrypt", "kms:GenerateDataKey" # If the key is for decryption "kms:Decrypt" ], "Resource": "*" } ] }
允许用户删除机器人
此示例显示了一个允许IAM用户删除任何机器人的示例策略。该策略包含在控制台上或使用或完成此操作的 AWS CLI 权限 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lex:DeleteBot", "lex:DeleteBotLocale", "lex:DeleteBotAlias", "lex:DeleteIntent", "lex:DeleteSlot", "lex:DeleteSlottype" ], "Effect": "Allow", "Resource": ["arn:aws:lex:
Region
:123412341234
:bot/*", "arn:aws:lex:Region
:123412341234
:bot-alias/*"] } ] }
允许用户与机器人进行对话
此示例显示了一个允许IAM用户与任何机器人进行对话的策略示例。该策略包含在控制台上或使用或完成此操作的 AWS CLI 权限 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lex:StartConversation", "lex:RecognizeText", "lex:RecognizeUtterance", "lex:GetSession", "lex:PutSession", "lex:DeleteSession" ], "Effect": "Allow", "Resource": "arn:aws:lex:
Region
:123412341234
:bot-alias/*" } ] }
允许特定用户管理基于资源的策略
以下示例授予特定用户管理基于资源的策略的权限。它允许控制台和API访问与机器人和机器人别名相关的策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ResourcePolicyEditor", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789012
:role/ResourcePolicyEditor
" }, "Action": [ "lex:CreateResourcePolicy", "lex:UpdateResourcePolicy", "lex:DeleteResourcePolicy", "lex:DescribeResourcePolicy" ] } ] }
允许用户导出机器人和机器人区域设置
以下IAM权限策略使用户能够创建、更新和获取机器人或机器人区域的导出。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lex:CreateExport", "lex:UpdateExport", "lex:DescribeExport", "lex:DescribeBot", "lex:DescribeBotLocale", "lex:ListBotLocales", "lex:DescribeIntent", "lex:ListIntents", "lex:DescribeSlotType", "lex:ListSlotTypes", "lex:DescribeSlot", "lex:ListSlots", "lex:DescribeCustomVocabulary" ], "Effect": "Allow", "Resource": ["arn:aws:lex:
Region
:123456789012
:bot/*"] } ] }
允许用户导出自定义词汇表
以下IAM权限策略允许用户从机器人区域导出自定义词汇。
{"Version": "2012-10-17", "Statement": [ {"Action": [ "lex:CreateExport", "lex:UpdateExport", "lex:DescribeExport", "lex:DescribeCustomVocabulary" ], "Effect": "Allow", "Resource": ["arn:aws:lex:
Region
:123456789012
:bot/*"] } ] }
允许用户导入机器人和机器人区域设置
以下IAM权限策略允许用户导入机器人或机器人区域以及检查导入状态。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lex:CreateUploadUrl", "lex:StartImport", "lex:DescribeImport", "lex:CreateBot", "lex:UpdateBot", "lex:DeleteBot", "lex:CreateBotLocale", "lex:UpdateBotLocale", "lex:DeleteBotLocale", "lex:CreateIntent", "lex:UpdateIntent", "lex:DeleteIntent", "lex:CreateSlotType", "lex:UpdateSlotType", "lex:DeleteSlotType", "lex:CreateSlot", "lex:UpdateSlot", "lex:DeleteSlot", "lex:CreateCustomVocabulary", "lex:UpdateCustomVocabulary", "lex:DeleteCustomVocabulary", "iam:PassRole", ], "Effect": "Allow", "Resource": [ "arn:aws:lex:
Region
:123456789012
:bot/*", "arn:aws:lex:Region
:123456789012
:bot-alias/*" ] } ] }
允许用户导入自定义词汇表
以下IAM权限策略允许用户将自定义词汇导入机器人区域设置。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lex:CreateUploadUrl", "lex:StartImport", "lex:DescribeImport", "lex:CreateCustomVocabulary", "lex:UpdateCustomVocabulary", "lex:DeleteCustomVocabulary" ], "Effect": "Allow", "Resource": [ "arn:aws:lex:
Region
:123456789012
:bot/*" ] } ] }
允许用户将机器人从 Amazon Lex 迁移到 Amazon Lex V2
以下IAM权限策略允许用户开始将机器人从 Amazon Lex 迁移到 Amazon Lex V2。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "startMigration", "Effect": "Allow", "Action": "lex:StartMigration", "Resource": "arn:aws:lex:
>Region<
:>123456789012<
:bot:*" }, { "Sid": "passRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::>123456789012<
:role/>v2 bot role<
" }, { "Sid": "allowOperations", "Effect": "Allow", "Action": [ "lex:CreateBot", "lex:CreateIntent", "lex:UpdateSlot", "lex:DescribeBotLocale", "lex:UpdateBotAlias", "lex:CreateSlotType", "lex:DeleteBotLocale", "lex:DescribeBot", "lex:UpdateBotLocale", "lex:CreateSlot", "lex:DeleteSlot", "lex:UpdateBot", "lex:DeleteSlotType", "lex:DescribeBotAlias", "lex:CreateBotLocale", "lex:DeleteIntent", "lex:StartImport", "lex:UpdateSlotType", "lex:UpdateIntent", "lex:DescribeImport", "lex:CreateCustomVocabulary", "lex:UpdateCustomVocabulary", "lex:DeleteCustomvocabulary", "lex:DescribeCustomVocabulary", "lex:DescribeCustomVocabularyMetadata" ], "Resource": [ "arn:aws:lex:>Region<
:>123456789012<
:bot/*", "arn:aws:lex:>Region<
:>123456789012<
:bot-alias/*/*" ] }, { "Sid": "showBots", "Effect": "Allow", "Action": [ "lex:CreateUploadUrl", "lex:ListBots" ], "Resource": "*" } ] }
允许用户查看他们自己的权限
此示例说明如何创建允许IAM用户查看附加到其用户身份的内联和托管策略的策略。此策略包括在控制台上或使用或以编程方式完成此操作的 AWS CLI 权限。 AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
允许用户在 Amazon Lex V2 中使用可视化对话生成器绘制对话流程
以下IAM权限策略允许用户在 Amazon Lex V2 中使用可视化对话生成器绘制对话流程。
{ "Version": "2012-10-17", "Statement": [ {"Action": [ "lex:UpdateIntent ", "lex:DescribeIntent " ], "Effect": "Allow", "Resource": ["arn:aws:lex:Region:123456789012:bot/*"] } ] }
允许用户创建和查看机器人副本,但不允许将其删除
您可以为IAM角色附加以下权限,使其只能创建和查看机器人副本。通过省略lex:DeleteBotReplica
,可以防止该角色删除机器人副本。有关更多信息,请参阅 在 Lex V2 中复制机器人和管理机器人副本的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lex:CreateBotReplica", "lex:DescribeBotReplica", "lex:ListBotReplica", "lex:ListBotVersionReplicas", "lex:ListBotAliasReplicas", ], "Resource": [ "arn:aws:lex:*:*:bot/*", "arn:aws:lex:*:*:bot-alias/*" ] }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/replication.lexv2.amazonaws.com/AWSServiceRoleForLexV2Replication*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/replication.lexv2.amazonaws.com/AWSServiceRoleForLexV2Replication*" ], "Condition": { "StringEquals": { "iam:AWSServiceName": "lexv2.amazonaws.com" } } } ] }