本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置权限
<a name="dw-data-prep-minimum-permissions"></a>

要使用 Data Wrangler 准备数据，必须设置以下权限：
+ **为 Amazon Personalize 创建服务角色：** 如果您尚未创建，请按照[设置 Amazon Personalize](setup.md) 中的说明，为 Amazon Personalize 创建 IAM 服务角色。此角色必须对存储处理过数据的 Amazon S3 存储桶具有 `GetObject` 和 `ListBucket` 权限。而且它必须拥有使用任何 Amazon KMS 密钥的权限。

   有关向 Amazon Personalize 授予对 Amazon S3 存储桶的访问权限的信息，请参阅[向 Amazon Personalize 授予访问 Amazon S3 资源的权限](granting-personalize-s3-access.md)。有关授予 Amazon Personalize 访问您的 Amazon KMS 密钥的权限的信息，请参阅[授予 Amazon Personalize 使用您的 Amazon KMS 密钥的权限](granting-personalize-key-access.md)。
+  **创建具有 SageMaker AI 权限的管理用户：**您的管理员必须拥有对 SageMaker AI 的完全访问权限，并且必须能够创建 A SageMaker I 域。有关更多信息，请参阅 *Amazon A SageMaker I 开发者指南*中的[创建管理用户和群组](https://docs.amazonaws.cn/sagemaker/latest/dg/gs-set-up.html#gs-account-user)。
+ **创建 A SageMaker I 执行角色：**创建可访问 A SageMaker SageMaker I 资源和 Amazon Personalize 数据导入操作的人工智能执行角色。A SageMaker I 执行角色必须附加[https://console.amazonaws.cn/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess](https://console.amazonaws.cn/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)策略。*如果您需要更精细的 Data Wrangler 权限，请参阅 Amazon AI 开发者指南[中的 Data Wrangler 安全和权限](https://docs.amazonaws.cn/sagemaker/latest/dg/data-wrangler-security.html#data-wrangler-security-iam-policy)。 SageMaker *有关 SageMaker AI 角色的更多信息，请参阅 [SageMaker AI 角色](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-roles.html)。

  要授予对 Amazon Personalize 数据导入操作的访问权限，请将以下 IAM 策略附加到 A SageMaker I 执行角色。该策略会授予将数据导入 Amazon Personalize 并将策略附加到 Amazon S3 存储桶所需的权限。而且，当服务为 Amazon Personalize 时，它会授予 `PassRole` 权限。使用 Data Wrangler 准备格式化数据后，将 Amazon S3 `amzn-s3-demo-bucket` 更新为您要用作此类数据目标的 Amazon S3 存储桶的名称。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "personalize:Create*",
                  "personalize:List*",
                  "personalize:Describe*"
              ],
              "Resource": "*"
          },
          {
              "Effect": "Allow",
              "Action": [
                  "s3:PutBucketPolicy"
              ],
              "Resource": [
                  "arn:aws:s3:::amzn-s3-demo-bucket",
                  "arn:aws:s3:::amzn-s3-demo-bucket/*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "iam:PassRole"
              ],
              "Resource": "*",
              "Condition": {
                  "StringEquals": {
                      "iam:PassedToService": "personalize.amazonaws.com"
                  }
              }
          }
      ]
  }
  ```

------

  有关创建 IAM 策略的信息，请参阅《IAM 用户指南》**中的[创建 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。有关将 IAM 策略附加到角色的信息，请参阅《IAM 用户指南》**中的[添加和删除 IAM 身份权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。