為 建立工作流程任務角色 AWS Entity Resolution - AWS Entity Resolution

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 建立工作流程任務角色 AWS Entity Resolution

AWS Entity Resolution 使用工作流程任務角色來執行工作流程。如果您有必要的IAM許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請您的管理員建立角色。

為 建立工作流程任務角色 AWS Entity Resolution

  1. https://console.aws.amazon.com/iam/ 使用您的管理員帳戶登入IAM主控台 。

  2. Access management (存取管理) 下,請選擇 Roles (角色)。

    您可以使用角色來建立短期憑證,這是為了提高安全性而建議使用。您也可以選擇使用者來建立長期憑證。

  3. 選擇建立角色

  4. 建立角色精靈中,針對受信任實體類型 ,選擇自訂信任政策

  5. 將下列自訂信任政策複製並貼到JSON編輯器中。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "entityresolution.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  6. 選擇 Next (下一步)

  7. 對於新增許可 ,選擇建立政策

    新索引標籤隨即出現。

    1. 將下列政策複製並貼到JSON編輯器中。

      注意

      下列範例政策支援讀取 Amazon S3 和 等對應資料資源所需的許可 AWS Glue。不過,您可能需要根據設定資料來源的方式修改此政策。

      您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS 區域 位於相同位置 AWS Entity Resolution。

      如果您的資料來源未加密或解密,則不需要授予 AWS KMS 許可。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{input-buckets}}",
                "arn:aws:s3:::{{input-buckets}}/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "{{accountId}}"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{output-bucket}}",
                "arn:aws:s3:::{{output-bucket}}/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "{{accountId}}"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:{{aws-region}}:{{accountId}}:database/{{input-databases}}",
                "arn:aws:glue:{{aws-region}}:{{accountId}}:table/{{input-database}}/{{input-tables}}",
                "arn:aws:glue:{{aws-region}}:{{accountId}}:catalog"
            ]
        }
    ]
}

      取代每個 {{user input placeholder}} 使用您自己的資訊。

      aws-region AWS 區域 資源的 。您的 AWS Glue 資源、基礎 Amazon S3 資源和資源 AWS KMS 必須與 AWS 區域 相同AWS Entity Resolution
      accountId 您的 AWS 帳戶 ID。
      input-buckets Amazon S3 儲存貯體,其中包含AWS Entity Resolution將從 AWS Glue 中讀取的 基礎資料物件。
      output-buckets AWS Entity Resolution 將產生輸出資料的 Amazon S3 儲存貯體。
      input-databases AWS Glue AWS Entity Resolution將從中讀取的資料庫。

    2. (選用) 如果輸入 Amazon S3 儲存貯體使用客戶KMS金鑰加密,請新增下列項目:

              {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{accountId}}:key/{{inputKeys}}"
            ]
        }

      取代每個 {{user input placeholder}} 使用您自己的資訊。

      aws-region AWS 區域 資源的 。您的 AWS Glue 資源、基礎 Amazon S3 資源和資源 AWS KMS 必須與 AWS 區域 相同AWS Entity Resolution
      accountId 您的 AWS 帳戶 ID。
      inputKeys 中的受管金鑰 AWS Key Management Service。如果您的輸入來源已加密,AWS Entity Resolution則必須使用金鑰解密資料。

    3. (選用) 如果寫入輸出 Amazon S3 儲存貯體的資料需要加密,請新增下列項目:

              {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{accountId}}:key/{{outputKeys}}"
            ]
        }

      取代每個 {{user input placeholder}} 使用您自己的資訊。

      aws-region AWS 區域 資源的 。您的 AWS Glue 資源、基礎 Amazon S3 資源和資源 AWS KMS 必須與 AWS 區域 相同AWS Entity Resolution
      accountId 您的 AWS 帳戶 ID。
      outputKeys 中的受管金鑰 AWS Key Management Service。如果您需要將輸出來源加密, AWS Entity Resolution必須使用 金鑰加密輸出資料。

    4. (選用) 如果您透過 擁有具有提供者服務的訂閱 AWS Data Exchange,並想要將現有角色用於提供者服務型工作流程,請新增以下內容:

              {
            "Effect": "Allow",
            "Sid": "DataExchangePermissions",
            "Action": "dataexchange:SendApiAsset",
            "Resource": [
                "arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
            ]
        }

      取代每個 {{user input placeholder}} 使用您自己的資訊。

      aws-region 授予提供者資源 AWS 區域 的 。您可以在ARN AWS Data Exchange 主控台的資產中找到此值。例如:arn:aws:dataexchange:us-east-2::data-sets/111122223333/revisions/339ffc64444examplef3bc15cf0b2346b/assets/546468b8dexamplea37bfc73b8f79fefa
      datasetId 資料集的 ID,位於 AWS Data Exchange 主控台上。
      revisionId 資料集的修訂,可在 AWS Data Exchange 主控台上找到。
      assetId 在主控台上 AWS Data Exchange 找到的資產 ID。

  8. 返回原始索引標籤,然後在新增許可 下,輸入您剛建立的政策名稱。(您可能需要重新載入頁面。)

  9. 選取您建立的政策名稱旁邊的核取方塊,然後選擇下一步。

  10. 對於名稱、檢閱和建立 ,輸入角色名稱描述

    注意

    角色名稱必須符合授予passRole成員許可中的模式,該成員可以傳遞 workflow job role來建立相符的工作流程。

    例如,如果您使用的是 AWSEntityResolutionConsoleFullAccess 受管政策,請記得包含在您的角色名稱entityresolution中。

    1. 檢閱選取信任的實體 ,並視需要編輯。

    2. 檢閱新增許可 中的許可,並視需要編輯。

    3. 檢閱標籤 ,並視需要新增標籤。

    4. 選擇建立角色

的工作流程任務角色 AWS Entity Resolution 已建立。