向 Amazon Personalize 授予访问资源的权限 - Amazon Personalize
为 Amazon Personalize 创建新IAM政策为 Amazon Personalize 创建IAM角色

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 Amazon Personalize 授予访问资源的权限

要授予 Amazon Personalize 访问您的资源的权限,您需要制定一项IAM政策,让 Amazon Personalize 可以完全访问您的亚马逊个性化资源。或者你可以使用 AWS 托管AmazonPersonalizeFullAccess策略。 AmazonPersonalizeFullAccess提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新IAM策略。有关托管策略的更多信息,请参阅AWS 托管策略

创建政策后,您可以为 Amazon Personalize 创建一个IAM角色并将新政策附加到该角色中。

为 Amazon Personalize 创建新IAM政策

制定一项IAM政策,让 Amazon Personalize 能够完全访问您的亚马逊个性化资源。

使用JSON策略编辑器创建策略

  1. 登录 AWS Management Console 然后打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用

  3. 在页面的顶部,选择 Create Policy(创建策略)

  4. 策略编辑器部分中,选择JSON选项。

  5. 输入以下JSON策略文档:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 选择下一步

    注意

    您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

为 Amazon Personalize 创建IAM角色

要使用 Amazon Personalize,您必须创建一个 AWS Identity and Access Management Amazon Personalize 的服务角色。服务IAM角色是服务代替您执行操作的角色。IAM管理员可以在内部创建、修改和删除服务角色IAM。有关更多信息,请参阅创建角色以向某人委派权限 AWS 服务(在 IAM 用户指南中)。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。

为 Amazon Personalize(控制IAM台)创建服务角色

  1. 登录 AWS Management Console 然后打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在IAM控制台的导航窗格中,选择角色,然后选择创建角色

  3. 对于可信实体类型,选择 AWS 服务.

  4. 对于服务或用例,选择 Amazon P ersonalize,然后选择个性化用例。

  5. 选择下一步

  6. 选择您在前一个过程中创建的策略。

  7. (可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。

    1. 打开设置权限边界部分,然后选择使用权限边界控制最大角色权限

      IAM包括清单 AWS 您账户中的托管和客户托管政策。

    2. 选择要用于权限边界的策略。

  8. 选择下一步

  9. 输入有助于识别角色的作用的角色名称或者角色名称后缀。

    重要

    命名角色时,请注意以下事项:

    • 角色名称在您的角色中必须是唯一的 AWS 账户,而且不能因大小写而独一无二。

      例如,不要同时创建名为 PRODROLEprodrole 的角色。在策略中使用角色名或作为策略的一部分使用角色名称时ARN,角色名称区分大小写,但是,当角色名称出现在控制台中向客户显示时,例如在登录过程中,角色名称不区分大小写。

    • 创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。

  10. (可选)对于描述,输入角色的描述。

  11. (可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体步骤 2:添加权限部分中选择编辑

  12. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的为IAM资源添加标签

  13. 检查该角色,然后选择创建角色

在您为 Amazon Personalize 创建角色后,您就可以向其授予访问您的 Amazon S3 存储桶和任何存储桶的权限了 AWS KMS 钥匙

其他服务角色权限

在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:

  1. 修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色

  2. 如果你使用 AWS Key Management Service (AWS KMS) 要进行加密,您必须向亚马逊个性化和您的亚马逊个性化IAM服务角色授予使用您的密钥的权限。有关更多信息,请参阅 向 Amazon Personalize 授予使用您 AWS KMS 密钥的权限