向 Amazon Personalize 授予访问资源的权限 - Amazon Personalize
为 Amazon Personalize 创建新 IAM 策略为 Amazon Personalize 创建 IAM 角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 Amazon Personalize 授予访问资源的权限

要向 Amazon Personalize 授予访问您资源的权限,您需要创建一个 IAM 策略,以便为 Amazon Personalize 提供对您的 Amazon Personalize 资源的完全访问权限。或者,您可以使用 Amazon 托管AmazonPersonalizeFullAccess策略。 AmazonPersonalizeFullAccess提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新 IAM 策略。有关托管策略的更多信息,请参阅Amazon 托管策略

创建策略之后,为 Amazon Personalize 创建一个 IAM 角色并向其附加新策略。

为 Amazon Personalize 创建新 IAM 策略

创建一个 IAM 策略,以便为 Amazon Personalize 提供对 Amazon Personalize 资源的完全访问权限。

使用 JSON 策略编辑器创建策略

  1. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示 Welcome to Managed Policies 页面。选择开始使用

  3. 在页面的顶部,选择创建策略

  4. 策略编辑器部分,选择 JSON 选项。

  5. 输入以下 JSON 策略文档:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        }
    ]
}

  6. 选择下一步

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

为 Amazon Personalize 创建 IAM 角色

要使用 Amazon Personalize,您必须为 Amazon Personalize 创建 Amazon Identity and Access Management 服务角色。服务角色是由一项服务代入、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》中的创建向 Amazon Web Service委派权限的角色。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。

为 Amazon Personalize 创建服务角色(IAM 控制台)

  1. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色

  3. 对于 Trusted entity type(可信实体类型),选择 Amazon Web Service

  4. 对于服务或用例,选择 Amazon P ersonalize,然后选择个性化用例。

  5. 选择下一步

  6. 选择您在前一个过程中创建的策略。

  7. (可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。

    1. 打开设置权限边界部分,然后选择使用权限边界控制最大角色权限

      IAM 包含您账户中的 Amazon 托管策略和客户托管策略列表。

    2. 选择要用于权限边界的策略。

  8. 选择下一步

  9. 输入有助于识别角色的作用的角色名称或者角色名称后缀。

    重要

    命名角色时,请注意以下事项:

    • 角色名称在您的内部必须是唯一的 Amazon Web Services 账户,并且不能因大小写而变得唯一。

      例如,不要同时创建名为 PRODROLEprodrole 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时,角色名称区分大小写,但是当角色名称在控制台中向客户显示时(例如,在登录期间),角色名称不区分大小写。

    • 创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。

  10. (可选)对于描述,输入角色的描述。

  11. (可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体步骤 2:添加权限部分中选择编辑

  12. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息,请参阅《IAM 用户指南》中的标记 IAM 资源

  13. 检查该角色,然后选择创建角色

在您为 Amazon Personalize 创建角色后,您就可以向其授予访问您的 Amazon S3 存储桶任何 Amazon KMS 密钥的权限了。

其他服务角色权限

在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:

  1. 修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色

  2. 如果您使用 Amazon Key Management Service (Amazon KMS) 进行加密,则必须向 Amazon Personalize 和 Amazon Personalize IAM 服务角色授予使用您的密钥的权限。有关更多信息,请参阅向 Amazon Personalize 授予使用您 Amazon KMS 密钥的权限