设置权限 - Amazon Personalize
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限

要使用 Amazon Personalize (Amazon Personalize),您必须设置权限,以便 IAM 用户能够访问 Amazon Personalize 控制台和 API 操作。您还必须设置权限,以便允许 Amazon Personalize 代表您执行任务和访问您拥有的资源。

我们建议创建Amazon Identity and Access Management(IAM) 用户,具备 Amazon Personalize 运营的访问权限。您可以根据需要添加其他权限。有关更多信息,请参阅Amazon Personalize 基于身份的策略

注意

我们建议创建新的 IAM 策略,仅授予使用 Amazon Personalize 所需的权限。

设置 权限

  1. 将策略附加到您的 Amazon Personalize IAM 用户或组,允许完全访问 Amazon Personalize。

    • 创建新的 IAM 策略并将其附加到您的 IAM 用户或组(请参阅创建新的 IAM 策略)。

      或者

    • 附加AmazonPersonalizeFullAccess Amazon托管策略传送给您的 IAM 用户或群组(请参阅Amazon 托管策略)。

  2. 附加AmazonS3FullAccess Amazon托管策略,以授予访问 Amazon S3 和创建 Amazon S3 存储桶的权限。有关向您的 Amazon S3 资源授予权限的更多信息,请参阅使用存储桶策略和用户策略中的Amazon S3 开发人员指南中)

  3. (可选)附加CloudWatchFullAccess Amazon托管策略发布给您的 IAM 用户或组,以授予使用 CloudWatch 监控 Amazon Personalize 的权限。请参阅 Amazon 托管策略

  4. 为 Amazon Personalize 创建 IAM 角色,并将步骤 1 中的策略附加到新角色。请参阅 为 Amazon Personalize 创建 IAM 角色

  5. 如果您正在使用Amazon Key Management Service(AmazonKMS)进行加密,您必须向您的 IAM 用户和 Amazon Personalize IAM 服务链接角色授予使用您的密钥的权限。您还必须将 Amazon Personalize 作为原则添加到Amazon KMS密钥策略。有关更多信息,请参阅 。使用 中的密钥策略AmazonKMS中的Amazon Key Management Service开发人员指南

创建新的 IAM 策略

创建 IAM 策略,为用户和亚马逊提供个性化对您的 Amazon Personalize 资源的完全访问权限。然后将策略附加到您的 IAM 用户或组。

创建和附加 IAM 策略

  1. 登录 IAM 控制台 (https://console.aws.amazon.com/iam)。

  2. 在导航窗格中,选择 Policies

  3. 选择 Create policy

  4. 选择 JSON 选项卡。

  5. 将以下 JSON 策略文档粘贴到文本字段中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "personalize.amazonaws.com" } } } ] }
  6. 完成后,选择查看策略

  7. 在存储库的查看策略页, 适用于名称中,输入策略的名称。(可选)输入以下描述:说明

  8. In摘要,查看策略以查看其授予的权限,然后选择创建策略

  9. 将新策略附加到您的 IAM 用户或组。

    有关将策略附加到用户的信息,请参阅更改 IAM 用户的权限中的IAM 用户指南。有关将策略附加到组的信息,请参阅将策略附加到 IAM 组中的IAM 用户指南

  10. 如果您正在使用Amazon KMS为加密,请向您的用户或组授予使用您的密钥的权限。有关更多信息,请参阅 。使用 中的密钥策略AmazonKMS中的Amazon Key Management Service开发人员指南

为 Amazon Personalize 创建 IAM 角色

在以下过程中,您将创建一个 IAM 角色,该角色允许访问您的资源和代表您执行任务。

  1. 登录 IAM 控制台 (https://console.aws.amazon.com/iam/)。

  2. 在导航窗格中,选择 Roles

  3. 选择创建角色

  4. 对于选择受信任实体的类型,选择 Amazon 服务

  5. 适用于选择将使用此角色的服务中,选择Amazon Personalize

  6. 选择 Next:。Permissions (下一步:权限)

  7. 适用于附加权限策略中,可以选择在创建新的 IAM 策略或选择AmazonPersonalizeFullAccess(请参阅Amazon 托管策略)。

    1. 要显示列表中的策略,请在 Filter policies (筛选策略) 查询筛选器中键入部分策略名称。

    2. 选中策略名称旁边的复选框。

  8. 选择 Next:。标签。您不需要添加任何标签,因此,选择后续:审核

  9. 审核部分中,对于角色名称,键入角色的名称(例如,PersonalizeRole)。在角色描述中更新角色描述,然后选择创建角色

  10. 选择新角色以打开该角色的摘要页面。

  11. 复制 Role ARN (角色 ARN) 值,然后保存。您需要此值才能将数据集导入 Amazon Personalize。

  12. 如果您正在使用Amazon KMS进行加密,请授予您的 Amazon Personalize 服务链接角色使用您的密钥的权限。有关更多信息,请参阅 。使用 中的密钥策略AmazonKMS中的Amazon Key Management Service开发人员指南

    接下来,如果您要完成入门练习,您就可以创建您的培训数据并授予 Amazon Personalize 访问您的 Amazon S3 存储桶的权限。请参阅 创建训练数据

    如果您没有完成入门练习,则可以导入数据。请参阅 准备和导入数据