设置权限 - Amazon Personalize
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限

要使用 Data Wrangler 准备数据,必须设置以下权限:

  • 为 Amazon Personalize 创建服务角色: 如果您尚未创建,请按照设置 Amazon Personalize 中的说明,为 Amazon Personalize 创建 IAM 服务角色。此角色必须对存储处理过数据的 Amazon S3 存储桶具有 GetObjectListBucket 权限。而且它必须拥有使用任何 Amazon KMS 密钥的权限。

    有关向 Amazon Personalize 授予对 Amazon S3 存储桶的访问权限的信息,请参阅向 Amazon Personalize 授予访问 Amazon S3 资源的权限。有关授予 Amazon Personalize 访问您的 Amazon KMS 密钥的权限的信息,请参阅向 Amazon Personalize 授予使用您 Amazon KMS 密钥的权限

  • 创建具有 SageMaker 权限的管理用户:您的管理员必须拥有对域的完全访问权限 SageMaker 并且必须能够创建 SageMaker 域。有关更多信息,请参阅《Amazon SageMaker 开发者指南》中的创建管理用户和群组

  • 创建 SageMaker 执行角色:创建可访问 SageMaker 资源和 Amazon Personalize 数据导入操作的 SageMaker 执行角色。 SageMaker 执行角色必须附加AmazonSageMakerFullAccess策略。如果您需要更精细的 Data Wrangler 权限,请参阅《Amazon 开发者指南》中的 Data Wrangler 安全和权限。 SageMaker 有关 SageMaker 角色的更多信息,请参阅SageMaker 角色

    要授予对 Amazon Personalize 数据导入操作的访问权限,请将以下 IAM 策略附加到 SageMaker 执行角色。该策略会授予将数据导入 Amazon Personalize 并将策略附加到 Amazon S3 存储桶所需的权限。而且,当服务为 Amazon Personalize 时,它会授予 PassRole 权限。使用 Data Wrangler 准备格式化数据后,将 Amazon S3 bucket-name 更新为您要用作此类数据目标的 Amazon S3 存储桶的名称。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:Create*", "personalize:List*", "personalize:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "personalize.amazonaws.com" } } } ] }

    有关创建 IAM 策略的信息,请参阅《IAM 用户指南》中的创建 IAM 策略。有关将 IAM 策略附加到角色的信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限