授予 Amazon Personalize 存取 資源的許可 - Amazon Personalize
為 Amazon Personalize 建立新的 IAM 政策為 Amazon Personalize 建立 IAM 角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予 Amazon Personalize 存取 資源的許可

若要授予 Amazon Personalize 存取資源的許可,您可以建立 IAM 政策,提供 Amazon Personalize 對 Amazon Personalize 資源的完整存取權。或者,您可以使用 AWS 受管AmazonPersonalizeFullAccess政策。 AmazonPersonalizeFullAccess提供比必要更多的許可。我們建議您建立新的 IAM 政策,只授予必要的許可。如需受管政策的詳細資訊,請參閱 AWS 受管政策

建立政策後,您可以為 Amazon Personalize 建立 IAM 角色,並將新政策連接至該角色。

為 Amazon Personalize 建立新的 IAM 政策

建立 IAM 政策,讓 Amazon Personalize 能夠完整存取您的 Amazon Personalize 資源。

若要使用 JSON 政策編輯器來建立政策

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在左側的導覽窗格中,選擇 Policies (政策)

    如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)

  3. 在頁面頂端,選擇 Create policy (建立政策)

  4. 政策編輯器中,選擇 JSON 選項。

  5. 輸入下列 JSON 政策文件:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 選擇 Next (下一步)

    注意

    您可以隨時切換視覺化JSON 編輯器選項。不過,如果您進行變更或在視覺化編輯器中選擇下一步,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱 IAM 使用者指南中的調整政策結構

  7. 檢視與建立頁面上,為您正在建立的政策輸入政策名稱描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。

  8. 選擇 Create policy (建立政策) 儲存您的新政策。

為 Amazon Personalize 建立 IAM 角色

若要使用 Amazon Personalize,您必須為 Amazon Personalize 建立 AWS Identity and Access Management 服務角色。服務角色是服務擔任的 IAM 角色,可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱「IAM 使用者指南」中的建立角色以委派許可權給 AWS 服務。為 Amazon Personalize 建立服務角色後,其他服務角色許可視需要授予 中列出的角色額外許可。

建立個人化服務角色 (IAM 主控台)

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在 IAM 主控台的導覽窗格中,選擇角色,然後選擇建立角色

  3. 對於 Trusted entity type (信任的實體類型),請選擇 AWS 服務

  4. 針對服務或使用案例,選擇個人化,然後選擇個人化使用案例。

  5. 選擇 Next (下一步)

  6. 選擇您在上一個程序中建立的政策。

  7. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。

    1. 開啟設定許可界限區段,然後選擇使用許可界限來控制角色許可上限

      IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。

    2. 選取用於許可界限的政策。

  8. 選擇 Next (下一步)

  9. 輸入角色名稱或角色名稱尾碼,以協助您識別角色的目的。

    重要

    當您命名角色時,請注意下列事項:

    • 角色名稱在您的 中必須是唯一的 AWS 帳戶,且無法依大小寫設為唯一的。

      例如,不要同時建立名為 PRODROLEprodrole 的角色。當角色名稱用於政策或 ARN 的一部分時,角色名稱會區分大小寫,但是當角色名稱在主控台中顯示給客戶時,例如在登入過程中,角色名稱不會區分大小寫。

    • 因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。

  10. (選用) 在說明中,輸入角色的說明。

  11. (選用) 若要編輯使用案例和角色許可,請在步驟 1:選取受信任的實體或者步驟 2:新增許可區段中選擇編輯

  12. (選用) 若要協助識別、組織或搜尋角色,請將標籤新增為索引鍵值對。如需在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的AWS Identity and Access Management 資源的標籤

  13. 檢閱角色,然後選擇 Create role (建立角色)。

為 Amazon Personalize 建立角色後,您已準備好授予其存取 Amazon S3 儲存貯體和任何 AWS KMS 金鑰的權限。

其他服務角色許可

在您建立角色並授予其存取 Amazon Personalize 資源的許可後,請執行下列動作:

  1. 修改 Amazon Personalize 服務角色的信任政策,以防止混淆代理人問題。如需信任關係政策範例,請參閱 預防跨服務混淆代理人。如需修改角色信任政策的資訊,請參閱修改角色

  2. 如果您使用 AWS Key Management Service (AWS KMS) 進行加密,則必須授予 Amazon Personalize 和您的 Amazon Personalize IAM 服務角色許可,才能使用您的金鑰。如需詳細資訊,請參閱授予亞馬遜個性化許可以使用您的AWS KMS密鑰