向 Amazon Personalize 授予访问资源的权限 - Amazon Personalize
为 Amazon Personalize 创建新 IAM 策略为 Amazon Personalize 创建 IAM 角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 Amazon Personalize 授予访问资源的权限

要向 Amazon Personalize 授予访问您资源的权限,您需要创建一个 IAM 策略,以便为 Amazon Personalize 提供对您的 Amazon Personalize 资源的完全访问权限。或者您可以使用Amazon托管AmazonPersonalizeFullAccess策略。 AmazonPersonalizeFullAccess提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新 IAM 策略。有关托管策略的更多信息,请参阅Amazon托管策略

创建策略之后,为 Amazon Personalize 创建一个 IAM 角色并向其附加新策略。

为 Amazon Personalize 创建新 IAM 策略

创建一个 IAM 策略,以便为 Amazon Personalize 提供对 Amazon Personalize 资源的完全访问权限。

使用 JSON 策略编辑器创建策略

  1. 登录Amazon Web Services 管理控制台并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用

  3. 在页面的顶部,选择创建策略

  4. 策略编辑器部分,选择 JSON 选项。

  5. 输入以下 JSON 策略文档:

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 选择下一步

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

为 Amazon Personalize 创建 IAM 角色

要使用 Amazon Personalize,您必须为 Amazon Personalize 创建Amazon Identity and Access Management服务角色。服务角色是由一项服务担任、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》中的创建向 Amazon Web Services 服务 委派权限的角色。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。

为 Personalize 创建服务角色(IAM 控制台)

  1. 登录Amazon Web Services 管理控制台并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色

  3. 对于 Trusted entity type(可信实体类型),选择 Amazon Web Services 服务

  4. 对于服务或使用案例,选择 Personalize,然后选择个性化应用场景。

  5. 选择下一步

  6. 选择您在前一个过程中创建的策略。

  7. (可选)设置权限边界。这是一项高级功能,可用于服务角色,但不可用于服务相关角色。

    1. 打开设置权限边界部分,然后选择使用权限边界控制最大角色权限

      IAM 包含您账户中的Amazon托管策略和客户托管策略列表。

    2. 选择要用于权限边界的策略。

  8. 选择下一步

  9. 输入有助于识别角色的作用的角色名称或者角色名称后缀。

    重要

    命名角色时,请注意以下事项:

    • 角色名称在您内部必须是唯一的Amazon Web Services 账户,并且不能因大小写而变得唯一。

      例如,不要同时创建名为 PRODROLEprodrole 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时,角色名称区分大小写,但是当角色名称在控制台中向客户显示时(例如,在登录期间),角色名称不区分大小写。

    • 创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。

  10. (可选)对于描述,输入角色的描述。

  11. (可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体步骤 2:添加权限部分中选择编辑

  12. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息,请参阅 IAM 用户指南中的Amazon Identity and Access Management资源标签

  13. 检查该角色,然后选择创建角色

为 Amazon Personalize 创建角色后,您就可以向其授予访问您的 Amazon S3 存储桶任何Amazon KMS密钥的权限了。

其他服务角色权限

在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:

  1. 修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色

  2. 如果您使用 Amazon Key Management Service (AmazonKMS) 进行加密,则必须向 Amazon Personalize 和 Amazon Personalize IAM 服务角色授予使用您的密钥的权限。有关更多信息,请参阅 授予 Amazon Personalize 使用您的Amazon KMS密钥的权限