本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置权限
要使用 Data Wrangler 准备数据,必须设置以下权限:
-
为 Amazon Personalize 创建服务角色: 如果您尚未创建,请按照设置 Amazon Personalize 中的说明,为 Amazon Personalize 创建 IAM 服务角色。此角色必须对存储处理过数据的 Amazon S3 存储桶具有
GetObject和ListBucket权限。而且,还必须具有使用任何 Amazon KMS 密钥的权限。有关向 Amazon Personalize 授予对 Amazon S3 存储桶的访问权限的信息,请参阅向 Amazon Personalize 授予访问 Amazon S3 资源的权限。有关向 Amazon Personalize 授予对 Amazon KMS 密钥的访问权限的信息,请参阅向 Amazon Personalize 授予使用您 Amazon KMS 密钥的权限。
-
创建具有 SageMaker 权限的管理用户: 您的管理员必须拥有对 SageMaker 的完全访问权限,且必须能够创建 SageMaker 域。有关更多信息,请参阅《Amazon SageMaker 开发人员指南》中的创建管理用户和组。
-
创建 SageMaker 执行角色: 创建一个 SageMaker 执行角色,该角色可以访问 SageMaker 资源和 Amazon Personalize 数据导入操作。SageMaker 执行角色必须附加
AmazonSageMakerFullAccess策略。如果您需要更精细的 Data Wrangler 权限,请参阅《Amazon SageMaker 开发人员指南》中的 Data Wrangler 安全性和权限。有关 SageMaker 角色的更多信息,请参阅 SageMaker 角色。 要授予对 Amazon Personalize 数据导入操作的访问权限,请将以下 IAM policy 附加到 SageMaker 执行角色。该策略会授予将数据导入 Amazon Personalize 并将策略附加到 Amazon S3 存储桶所需的权限。而且,当服务为 Amazon Personalize 时,它会授予
PassRole权限。使用 Data Wrangler 准备格式化数据后,将 Amazon S3bucket-name更新为您要用作此类数据目标的 Amazon S3 存储桶的名称。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:Create*", "personalize:List*", "personalize:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "personalize.amazonaws.com" } } } ] }有关创建 IAM policy 的信息,请参阅《IAM 用户指南》中的创建 IAM policy。有关将 IAM policy 附加到角色的信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限。