本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
向 Amazon Personalize 授予访问资源的权限
要授予 Amazon Personalize 访问您的资源的权限,您需要制定一项IAM政策,让 Amazon Personalize 可以完全访问您的亚马逊个性化资源。或者你可以使用 AWS 托管AmazonPersonalizeFullAccess
策略。 AmazonPersonalizeFullAccess
提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新IAM策略。有关托管策略的更多信息,请参阅AWS 托管策略。
创建政策后,您可以为 Amazon Personalize 创建一个IAM角色并将新政策附加到该角色中。
为 Amazon Personalize 创建新IAM政策
制定一项IAM政策,让 Amazon Personalize 能够完全访问您的亚马逊个性化资源。
使用JSON策略编辑器创建策略
登录 AWS Management Console 然后打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在策略编辑器部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:*" ], "Resource": "*" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
为 Amazon Personalize 创建IAM角色
要使用 Amazon Personalize,您必须创建一个 AWS Identity and Access Management Amazon Personalize 的服务角色。服务IAM角色是服务代替您执行操作的角色。IAM管理员可以在内部创建、修改和删除服务角色IAM。有关更多信息,请参阅创建角色以向某人委派权限 AWS 服务(在 IAM 用户指南中)。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。
为 Amazon Personalize(控制IAM台)创建服务角色
登录 AWS Management Console 然后打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在IAM控制台的导航窗格中,选择角色,然后选择创建角色。
-
对于可信实体类型,选择 AWS 服务.
-
对于服务或用例,选择 Amazon P ersonalize,然后选择个性化用例。
-
选择下一步。
-
选择您在前一个过程中创建的策略。
-
(可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。
-
打开设置权限边界部分,然后选择使用权限边界控制最大角色权限。
IAM包括清单 AWS 您账户中的托管和客户托管政策。
选择要用于权限边界的策略。
-
-
选择下一步。
-
输入有助于识别角色的作用的角色名称或者角色名称后缀。
重要
命名角色时,请注意以下事项:
-
角色名称在您的角色中必须是唯一的 AWS 账户,而且不能因大小写而独一无二。
例如,不要同时创建名为
PRODROLE
和prodrole
的角色。在策略中使用角色名或作为策略的一部分使用角色名称时ARN,角色名称区分大小写,但是,当角色名称出现在控制台中向客户显示时,例如在登录过程中,角色名称不区分大小写。 -
创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。
-
-
(可选)对于描述,输入角色的描述。
-
(可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体或步骤 2:添加权限部分中选择编辑。
-
(可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的为IAM资源添加标签。
-
检查该角色,然后选择创建角色。
在您为 Amazon Personalize 创建角色后,您就可以向其授予访问您的 Amazon S3 存储桶和任何存储桶的权限了 AWS KMS 钥匙。
其他服务角色权限
在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:
-
修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色。
-
如果你使用 AWS Key Management Service (AWS KMS) 要进行加密,您必须向亚马逊个性化和您的亚马逊个性化IAM服务角色授予使用您的密钥的权限。有关更多信息,请参阅 向 Amazon Personalize 授予使用您 AWS KMS 密钥的权限。