授予 Amazon Personalize 存取 資源的許可 - Amazon Personalize
為 Amazon Personalize 建立新的IAM政策建立 Amazon Personalize IAM的角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予 Amazon Personalize 存取 資源的許可

若要授予 Amazon Personalize 存取 資源的許可,您可以建立 IAM政策,提供 Amazon Personalize 對 Amazon Personalize 資源的完整存取權。或者,您可以使用 AWS 受管AmazonPersonalizeFullAccess政策。 AmazonPersonalizeFullAccess提供比必要更多的許可。我們建議您建立新的IAM政策,只授予必要的許可。如需受管政策的詳細資訊,請參閱 AWS 受管政策

建立政策後,您可以為 Amazon Personalize 建立IAM角色,並將新政策連接至該角色。

為 Amazon Personalize 建立新的IAM政策

建立 IAM政策,提供 Amazon Personalize 資源的完整存取權。

使用JSON政策編輯器建立政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Policies (政策)

    如果這是您第一次選擇 Policies (政策),將會顯示 Welcome to Managed Policies (歡迎使用受管政策) 頁面。選擇 Get Started (開始使用)

  3. 在頁面頂端,選擇 Create policy (建立政策)

  4. 政策編輯器區段中,選擇 JSON選項。

  5. 輸入下列JSON政策文件:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 選擇 Next (下一步)

    注意

    您可以隨時在視覺化JSON編輯器選項之間切換。不過,如果您進行變更或在視覺化編輯器中選擇下一步, IAM可能會重組您的政策,以將其最佳化為視覺化編輯器。如需詳細資訊,請參閱IAM《 使用者指南》中的政策重組

  7. 檢視與建立頁面上,為您在建立的政策輸入政策名稱描述 (選用)。檢視此政策中定義的許可,來查看您的政策所授予的許可。

  8. 選擇 Create policy (建立政策) 儲存您的新政策。

建立 Amazon Personalize IAM的角色

若要使用 Amazon Personalize,您必須為 Amazon Personalize 建立 AWS Identity and Access Management 服務角色。服務角色是IAM服務擔任的角色,可代表您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱IAM《 使用者指南》中的建立角色以將許可委派給 AWS 服務。為 Amazon Personalize 建立服務角色後,請其他服務角色許可視需要授予 中列出的角色額外許可。

建立 Amazon Personalize 的服務角色 (IAM 主控台)

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  3. 對於 Trusted entity type (信任的實體類型),請選擇 AWS 服務

  4. 針對服務或使用案例,選擇 Amazon Personalize,然後選擇個人化使用案例。

  5. 選擇 Next (下一步)

  6. 選擇您在先前程序中建立的政策。

  7. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。

    1. 開啟設定許可界限區段,然後選擇使用許可界限來控制角色許可上限

      IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。

    2. 選取用於許可界限的政策。

  8. 選擇 Next (下一步)

  9. 輸入角色名稱或角色名稱尾碼,以協助您識別角色的目的。

    重要

    當您命名角色時,請注意下列事項:

    • 角色名稱在您的 中必須是唯一的 AWS 帳戶,而且無法依大小寫設為唯一。

      例如,不要同時建立名為 PRODROLEprodrole 的角色。當角色名稱用於 政策或 的一部分時ARN,角色名稱會區分大小寫,但是當角色名稱出現在 主控台中的客戶時,例如在登入過程中,角色名稱會區分大小寫。

    • 因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。

  10. (選用) 在說明中,輸入角色的說明。

  11. (選用) 若要編輯使用案例和角色許可,請在步驟 1:選取受信任的實體或者步驟 2:新增許可區段中選擇編輯

  12. (選用) 若要協助識別、組織或搜尋角色,請將標籤新增為索引鍵值對。如需在 中使用標籤的詳細資訊IAM,請參閱IAM《 使用者指南》中的AWS Identity and Access Management 資源的標籤

  13. 檢閱角色,然後選擇 Create role (建立角色)。

為 Amazon Personalize 建立角色後,您已準備好授予 Amazon S3 儲存貯體和任何金鑰的存取權AWS KMS

其他服務角色許可

在您建立角色並授予其存取 Amazon Personalize 資源的許可後,請執行下列動作:

  1. 修改 Amazon Personalize 服務角色的信任政策,以防止混淆代理人問題。如需信任關係政策範例,請參閱 預防跨服務混淆代理人。如需修改角色信任政策的資訊,請參閱修改角色

  2. 如果您使用 AWS Key Management Service (AWS KMS) 進行加密,您必須授予 Amazon Personalize 和 Amazon Personalize IAM服務角色許可,才能使用您的金鑰。如需詳細資訊,請參閱授予亞馬遜個性化許可以使用您的AWS KMS密鑰