向 Amazon Personalize 授予访问资源的权限 - Amazon Personalize
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 Amazon Personalize 授予访问资源的权限

要授予 Amazon Personalize 访问您的资源的权限,您需要制定一项IAM政策,让 Amazon Personalize 可以完全访问您的亚马逊个性化资源。或者您可以使用 Amazon 托管AmazonPersonalizeFullAccess策略。 AmazonPersonalizeFullAccess提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新IAM策略。有关托管策略的更多信息,请参阅Amazon 托管策略

创建政策后,您可以为 Amazon Personalize 创建一个IAM角色并将新政策附加到该角色中。

为 Amazon Personalize 创建新IAM政策

制定一项IAM政策,让 Amazon Personalize 能够完全访问您的亚马逊个性化资源。

使用JSON策略编辑器创建策略
  1. 登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用

  3. 在页面的顶部,选择 Create Policy(创建策略)

  4. 策略编辑器部分中,选择JSON选项。

  5. 输入以下JSON策略文档:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:*" ], "Resource": "*" } ] }
  6. 选择下一步

    注意

    您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

为 Amazon Personalize 创建IAM角色

要使用 Amazon Personalize,您必须为 Amazon Personalize 创建 Amazon Identity and Access Management 服务角色。服务角色是由一项服务代入、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM用户指南》 Amazon Web Services 服务中的创建角色以向委派权限。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。

为 Amazon Personalize(控制IAM台)创建服务角色
  1. 登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

  3. 对于 Trusted entity type(可信实体类型),选择 Amazon Web Services 服务

  4. 对于服务或应用场景,选择 Amazon Personalize,然后选择个性化应用场景。

  5. 选择下一步

  6. 选择您在前一个过程中创建的策略。

  7. (可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。

    1. 打开设置权限边界部分,然后选择使用权限边界控制最大角色权限

      IAM包括您账户中的 Amazon 托管和客户托管政策的列表。

    2. 选择要用于权限边界的策略。

  8. 选择下一步

  9. 输入有助于识别角色的作用的角色名称或者角色名称后缀。

    重要

    命名角色时,请注意以下事项:

    • 角色名称在您内部必须是唯一的 Amazon Web Services 账户,并且不能因大小写而变得唯一。

      例如,不要同时创建名为 PRODROLEprodrole 的角色。在策略中使用角色名或作为策略的一部分使用角色名称时ARN,角色名称区分大小写,但是当用户在控制台中看到角色名称时,例如在登录过程中,角色名称不区分大小写。

    • 创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。

  10. (可选)对于描述,输入角色的描述。

  11. (可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体步骤 2:添加权限部分中选择编辑

  12. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的Amazon Identity and Access Management 资源标签

  13. 检查该角色,然后选择创建角色

在您为 Amazon Personalize 创建角色后,您就可以向其授予访问您的 Amazon S3 存储桶任何 Amazon KMS 密钥的权限了。

其他服务角色权限

在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:

  1. 修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色

  2. 如果您使用 Amazon Key Management Service (Amazon KMS) 进行加密,则必须向 Amazon Personalize 和 Amazon Personalize IAM 服务角色授予使用您的密钥的权限。有关更多信息,请参阅 向 Amazon Personalize 授予使用您 Amazon KMS 密钥的权限