向用户授予访问 Amazon Personalize 的权限
要向用户授予访问 Amazon Personalize 的权限,您需要创建一个 IAM 策略,以便授予访问 Amazon Personalize 资源的权限并将您的服务角色传递给 Amazon Personalize。然后,向您的用户、组或角色添加权限时使用该策略。
为您的用户创建新 IAM 策略
创建一个 IAM 策略,该策略将向 Amazon Personalize 授予对您的 Amazon Personalize 资源的完全访问权限,并授予将您的服务角色(在为 Amazon Personalize 创建 IAM 角色中创建)传递给 Amazon Personalize 的 PassRole 权限。
使用 JSON 策略编辑器创建策略
登录Amazon Web Services 管理控制台,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择创建策略。
-
在策略编辑器部分,选择 JSON 选项。
-
输入以下 JSON 策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/ServiceRoleName", "Condition": { "StringEquals": { "iam:PassedToService": "personalize.amazonaws.com" } } } ] } -
选择下一步。
注意
您可以随时在可视化和 JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
要仅授予在 Amazon Personalize 中执行任务所需的权限,请修改之前的策略,使其仅包含您的用户所需的操作。有关 Amazon Personalize 操作的完整列表,请参阅 Amazon Personalize 的操作、资源和条件键。
提供对 Amazon Personalize 的访问权限
当您向用户提供权限时,附加新的 IAM 策略。
要提供访问权限,请为您的用户、组或角色添加权限:
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中针对第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-