设置权限 - Amazon Personalize
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限

要使用 Amazon Personalize,您必须设置允许 IAM 用户访问Amazon Personalize 控制台和 API 操作的权限。您还必须设置权限,允许 Amazon Personalize 代表您执行任务和访问您拥有的资源。

我们建议创建一个Amazon Identity and Access Management (IAM) 用户,其访问权限仅限于 Amazon Personalize 操作。您可以根据需要添加其他权限。有关更多信息,请参阅 Amazon Personalize 基于身份的策略

注意

我们建议创建一个新的 IAM 政策,仅授予使用 Amazon Personalize 所需的权限。

设置 权限
  1. 向您的 Amazon Personalize IAM 用户或群组附加一项政策,允许完全访问Amazon Personalize ize。

    • 创建新 IAM 策略并将其附加您的 IAM 用户或组(请参阅创建新 IAM 策略)。

      或者

    • AmazonPersonalizeFullAccessAmazon托管策略附加到您的 IAM 用户或群组(请参阅Amazon 托管策略)。

  2. (可选)将CloudWatchFullAccessAmazon托管策略附加到您的 IAM 用户或群组,以授予监控 Amazon Personalize 的权限 CloudWatch。请参阅 Amazon 托管策略

  3. 为 Amazon Personalize 创建一个 IAM 角色,并将步骤 1 中的策略附加到新角色。请参阅 为 AAmazon Personalize solicate 创建一个 IAM

  4. 如果您使用Amazon Key Management Service (AmazonKMS) 进行加密,则必须在密钥策略中授予 Amazon Personalize 和您的 Amazon Personalize IAM 服务角色解密权限。有关更多信息,请参阅 为 Amazon Personalize 提供使用您的的权限Amazon KMS密钥

  5. 完成中的授予 Amazon S3 资源的个性化权限步骤,使用 IAM 和 Amazon S3 存储桶策略向 Amazon Personalize 授予对 Amazon S3 资源的个性化访问。

创建新 IAM 策略

创建一个 IAM 政策,为用户和 Amazon Personalize 提供对您的Amazon Personalize 资源的完全访问权限。然后将策略附加您的 IAM 用户或组。

使用 JSON 策略编辑器创建策略
  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航栏中,选择 Policies (策略)

    如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择开始使用

  3. 在页面的顶部,选择 Create policy (创建策略)

  4. 请选择 JSON 选项卡。

  5. 输入以下 JSON 策略文档:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "personalize.amazonaws.com" } } } ] }
  6. 选择Review policy(查看策略)

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy (查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构

  7. Review policy (查看策略) 页面上,为创建的策略输入 Name (名称)Description (说明)(可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。

为 AAmazon Personalize solicate 创建一个 IAM

要使用 Amazon Personalize,您必须为 Amazon Personalize 创建Amazon Identity and Access Management服务角色。要了解如何创建 IAM 角色,请参阅《I A M 用户指南》中的创建向Amazon服务委派权限的角色。在创建角色时,请为 Amazon Personalize 配置以下内容:

  • 在选择将使用此角色的服务中,选择Personalize

  • 对于附加权限策略,请选择您在中创建的策略创建新 IAM 策略或选择AmazonPersonalizeFullAccess

  • 如果您使用Amazon Key Management Service (AmazonKMS) 进行加密,则必须在密钥策略中授予 Amazon Personalize 和您的 Amazon Personalize IAM 服务角色解密权限。有关更多信息,请参阅 为 Amazon Personalize 提供使用您的的权限Amazon KMS密钥

  • 为了防止出现混乱的副手问题,在角色的信任关系策略中使用策略aws:SourceArnaws:SourceAccount全局条件上下文密钥。有关信任关系策略示例,请参阅跨服务混淆代理问题防范

    要了解修改 IAM 角色的信任策略,请参阅修改角色

接下来,如果您要完成入门练习,就可以创建训练数据并授予 Amazon Personalize 对您的 Amazon S3 存储桶的访问权限。请参阅 创建训练数据(自定义数据集组)

如果您尚未完成入门练习,则可以导入数据。请参阅 准备和导入数据