本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為 建立工作流程任務角色 AWS Entity Resolution AWS Entity Resolution 使用*工作流程任務角色*來執行工作流程。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求您的管理員建立角色。 **為 建立工作流程任務角色 AWS Entity Resolution** 1. 使用您的管理員帳戶登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://。 1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。 您可以使用 **角色**來建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。 1. 選擇建**立角色**。 1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。 1. 將下列自訂信任政策複製並貼到 JSON 編輯器。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "entityresolution.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. 選擇**下一步**。 1. 針對**新增許可**,選擇**建立政策**。 新標籤隨即出現。 1. 將下列政策複製並貼到 JSON 編輯器中。 **注意** 下列範例政策支援讀取 Amazon S3 和 等對應資料資源所需的許可 AWS Glue。不過,您可能需要根據設定資料來源的方式修改此政策。 您可以在 AWS Glue 支援 AWS 的商業分割區中使用任何區域 AWS Glue 的資源和基礎 Amazon S3 資源,這些資源不需要位於相同的區域 AWS Entity Resolution。 如果您的資料來源未加密或解密,則不需要授予 AWS KMS 許可。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::{{{{input-buckets}}}}", "arn:aws:s3:::{{{{input-buckets}}}}/*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": [ "{{444455556666}}" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::{{{{output-bucket}}}}", "arn:aws:s3:::{{{{output-bucket}}}}/*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": [ "{{444455556666}}" ] } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetTable", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:{{us-east-1}}:{{444455556666}}:database/{{input-databases}}", "arn:aws:glue:{{us-east-1}}:{{444455556666}}:table/{{input-database}}/{{input-tables}}", "arn:aws:glue:{{us-east-1}}:{{444455556666}}:catalog" ] } ] } ``` ------ 將每個 {{{{user input placeholder}}}} 取代為您自己的資訊。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html) 1. (選用) 如果輸入 Amazon S3 儲存貯體使用客戶的 KMS 金鑰加密,請新增下列項目: ``` { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:{{{{aws-region}}}}:{{{{&ExampleAWSAccountNo1;}}}}:key/{{{{inputKeys}}}}" ] } ``` 將每個 {{{{user input placeholder}}}} 取代為您自己的資訊。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html) 1. (選用) 如果寫入輸出 Amazon S3 儲存貯體的資料需要加密,請新增下列項目: ``` { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": [ "arn:aws:kms:{{{{aws-region}}}}:{{{{&ExampleAWSAccountNo1;}}}}:key/{{{{outputKeys}}}}" ] } ``` 將每個 {{{{user input placeholder}}}} 取代為您自己的資訊。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html) 1. (選用) 如果您透過 訂閱提供者服務 AWS Data Exchange,並想要將現有角色用於提供者服務型工作流程,請新增下列項目: ``` { "Effect": "Allow", "Sid": "DataExchangePermissions", "Action": "dataexchange:SendApiAsset", "Resource": [ "arn:aws:dataexchange:{{{{aws-region}}}}::data-sets/{{{{datasetId}}}}/revisions/{{{{revisionId}}}}/assets/{{{{assetId}}}}" ] } ``` 將每個 {{{{user input placeholder}}}} 取代為您自己的資訊。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html) 1. 返回原始索引標籤並在**新增許可**下,輸入您剛建立的政策名稱。(您可能需要重新載入頁面。) 1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。 1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。 **注意** **角色名稱**必須符合授予`passRole`成員許可中的模式,該成員可以傳遞 `workflow job role`來建立相符的工作流程。 例如,如果您使用的是 `AWSEntityResolutionConsoleFullAccess`受管政策,請記得將 `entityresolution`納入您的角色名稱。 1. 檢閱**選取信任的實體**,並視需要編輯。 1. 檢閱**新增許可中的許可**,並視需要編輯。 1. 檢閱**標籤**,並視需要新增標籤。 1. 選擇建**立角色**。 AWS Entity Resolution 已建立 的工作流程任務角色。