本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
測試工作台 IAM 角色的許可設定
本節顯示幾個以 AWS 身分和存取管理 (IAM) 身分為基礎的政策範例,以實作 Test Workbench 許可的最低權限存取控制。
-
Test Workbench 在 S3 中讀取音訊檔案的政策 – 此政策可讓 Test Workbench 讀取測試集中所使用的音訊檔案。應相應修改下列政策,以更新
S3BucketName和S3Path,將它們指向測試集中音訊檔案的 Amazon S3 位置。{ "Version": "2012-10-17", "Statement": [ { "Sid": "TestWorkbenchS3AudioFilesReadOnly", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::S3BucketName/S3Path/*" ] } ] } -
Test Workbench 讀取和寫入測試集和結果到 Amazon S3 儲存貯體的政策 – 此政策可讓 Test Workbench 儲存測試集輸入和結果。應修改下列政策,將
S3BucketName更新至將存放測試集資料的 Amazon S3 儲存貯體。Test Workbench 會將這些資料僅存放在您的 Amazon S3 儲存貯體中,而不是存放在 Lex Service 基礎設施中。因此,Test Workbench 需要存取您的 Amazon S3 儲存貯體才能正常運作。{ "Version": "2012-10-17", "Statement": [ { "Sid": "TestSetDataUploadWithEncryptionOnly", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*", "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*", "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*" ], "Condition": { "StringEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "TestSetDataGetObject", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*", "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*", "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*" ] }, { "Sid": "TestSetListS3Objects", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::S3BucketName" ] } ] } -
測試工作台讀取 CloudWatch Logs 的政策 – 此政策可讓測試工作台從存放在 Amazon CloudWatch Logs 中的 Lex 對話文字日誌產生測試集。應修改下列政策以更新
區域、AwsAccountId、LogGroupName。{ "Version": "2012-10-17", "Statement": [ { "Sid": "TestWorkbenchLogsReadOnly", "Effect": "Allow", "Action": [ "logs:FilterLogEvents" ], "Resource": [ "arn:aws:logs:Region:AwsAccountId:log-group:LogGroupName:*" ] } ] } -
Test Workbench 呼叫 Lex Runtime 的政策 – 此政策可讓 Test Workbench 針對 Lex 機器人執行測試集。應修改下列政策以更新
區域、AwsAccountId、BotId。由於 Test Workbench 可以測試 Lex 環境中的任何機器人,因此您可以將資源取代為「arn:aws:lex:Region:AwsAccountId:bot-alias/*」,以允許 Test Workbench 存取帳戶中的所有 Amazon Lex V2 機器人。{ "Version": "2012-10-17", "Statement": [ { "Sid": "TestWorkbenchLexRuntime", "Effect": "Allow", "Action": [ "lex:RecognizeText", "lex:RecognizeUtterance", "lex:StartConversation" ], "Resource": [ "arn:aws:lex:Region:AwsAccountId:bot-alias/BotId/*" ] } ] } -
(選用) Test Workbench 用於加密和解密測試集資料的政策 – 如果 Test Workbench 設定為使用客戶受管 KMS 金鑰將測試集輸入和結果存放在 Amazon S3 儲存貯體中,則 Test Workbench 將需要 KMS 金鑰的加密和解密許可。應修改下列政策以更新
區域、AwsAccountId和KmsKeyId,其中KmsKeyId是客戶受管 KMS 金鑰的 ID。{ "Version": "2012-10-17", "Statement": [ { "Sid": "TestWorkbenchKmsEncryption", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:AwsAccountId:key/KmsKeyId" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] } -
(選用) 測試工作台解密音訊檔案的政策 – 如果音訊檔案使用客戶受管 KMS 金鑰存放在 S3 儲存貯體中,則測試工作台將需要 KMS 金鑰的解密許可。應修改下列政策以更新
區域、AwsAccountId和KmsKeyId,其中KmsKeyId是用於加密音訊檔案的客戶受管 KMS 金鑰 ID。{ "Version": "2012-10-17", "Statement": [ { "Sid": "TestWorkbenchKmsDecryption", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:AwsAccountId:key/KmsKeyId" ], "Condition": { "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com" ] } } } ] }
