授予亞馬遜個性化許可以使用您的AWS KMS密鑰 - Amazon Personalize

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予亞馬遜個性化許可以使用您的AWS KMS密鑰

如果您在使用 Amazon 個人化主控台或 API 時指定 AWS Key Management Service (AWS KMS) 金鑰,或使用AWS KMS金鑰加密 Amazon S3 儲存貯體,則必須授予 Amazon 個人化使用金鑰的權限。若要授予許可,連接到服務角色的AWS KMS金鑰政策 IAM 政策必須授予 Amazon Personalize 權限才能使用金鑰。這適用於在亞馬遜個性化中創建以下內容。

  • 資料集群組

  • 資料集匯入工作 (只有AWS KMS金鑰原則必須授與權限)

  • 資料集匯出工作

  • 批次推論工作

  • 批次區段工作

  • 測量結果屬性

您的AWS KMS金鑰政策和 IAM 政策必須授予下列動作的許可:

  • 解密

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(僅在密鑰策略中需要)

  • ListGrants

建立資源後撤銷AWS KMS金鑰權限可能會導致建立篩選器或取得建議時發生問題。如需有關AWS KMS原則的詳細資訊,請參閱AWS Key Management Service開發人員指南中的使用 AWS KMS 中的金鑰原則。如需建立 IAM 政策的相關資訊,請參閱 IAM 使用者指南中的建立 IAM 政策。如需將 IAM 政策附加到角色的相關資訊,請參閱 IAM 使用者指南中的新增和移除 IAM 身分許可。

關鍵政策範例

以下關鍵政策範例授予 Amazon 個人化和您的角色之前 Amazon 個人化作業的最低許可。如果您在建立資料集群組時指定金鑰,而且想要從資料集匯出資料,您的金鑰原則必須包含GenerateDataKeyWithoutPlaintext動作。

{ "Version": "2012-10-17", "Id": "key-policy-123", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>", "Service": "personalize.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant", "kms:ListGrants" ], "Resource": "*" } ] }

IAM 政策範例

下列 IAM 政策範例授予角色先前 Amazon 個人化作業所需的最低AWS KMS許可。對於資料集匯入工作,只有AWS KMS金鑰原則需要授與權限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:ListGrants" ], "Resource": "*" } ] }