向 Amazon Personalize 授予访问资源的权限 - Amazon Personalize
为 Amazon Personalize 创建新 IAM 策略为 Amazon Personalize 创建 IAM 角色

向 Amazon Personalize 授予访问资源的权限

要向 Amazon Personalize 授予访问您资源的权限,您需要创建一个 IAM 策略,以便为 Amazon Personalize 提供对您的 Amazon Personalize 资源的完全访问权限。或者,您可以使用 AWS 托管 AmazonPersonalizeFullAccess 策略。AmazonPersonalizeFullAccess 提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新 IAM 策略。有关托管策略的更多信息,请参阅AWS 托管策略

创建策略之后,为 Amazon Personalize 创建一个 IAM 角色并向其附加新策略。

为 Amazon Personalize 创建新 IAM 策略

创建一个 IAM 策略,以便为 Amazon Personalize 提供对 Amazon Personalize 资源的完全访问权限。

使用 JSON 策略编辑器创建策略

  1. 登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用

  3. 在页面的顶部,选择创建策略

  4. 策略编辑器部分,选择 JSON 选项。

  5. 输入以下 JSON 策略文档:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 选择下一步

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

为 Amazon Personalize 创建 IAM 角色

要使用 Amazon Personalize,您必须为 Amazon Personalize 创建 AWS Identity and Access Management 服务角色。服务角色是由一项服务担任、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》中的创建向 AWS 服务委派权限的角色。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。

为 Amazon Personalize 创建服务角色(IAM 控制台)

  1. 登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色

  3. 对于 Trusted entity type(可信实体类型),选择 AWS 服务

  4. 对于服务或应用场景,选择 Amazon Personalize,然后选择个性化应用场景。

  5. 选择下一步

  6. 选择您在前一个过程中创建的策略。

  7. (可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。

    1. 打开设置权限边界部分,然后选择使用权限边界控制最大角色权限

      IAM 包括您的账户中的 AWS 托管式策略和客户管理型策略的列表。

    2. 选择要用于权限边界的策略。

  8. 选择下一步

  9. 输入有助于识别角色的作用的角色名称或者角色名称后缀。

    重要

    命名角色时,请注意以下事项:

    • 角色名称在您的 AWS 账户 中必须是唯一的,且不能因大小写而变得唯一。

      例如,不要同时创建名为 PRODROLEprodrole 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时,角色名称区分大小写,但是当角色名称在控制台中向客户显示时(例如,在登录期间),角色名称不区分大小写。

    • 创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。

  10. (可选)对于描述,输入角色的描述。

  11. (可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体步骤 2:添加权限部分中选择编辑

  12. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息,请参阅《IAM 用户指南》中的标记 IAM 资源

  13. 检查该角色,然后选择创建角色

为 Amazon Personalize 创建角色后,您可以向其授予访问您的 Amazon S3 存储桶任何 AWS KMS 密钥的权限。

其他服务角色权限

在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:

  1. 修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色

  2. 如果您使用 AWS Key Management Service (AWS KMS) 进行加密,则必须向 Amazon Personalize 和 Amazon Personalize IAM 服务角色授予使用您密钥的权限。有关更多信息,请参阅 向 Amazon Personalize 授予使用您 AWS KMS 密钥的权限