本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
向 Amazon Personalize 授予访问资源的权限
要授予 Amazon Personalize 访问您的资源的权限,您需要制定一项IAM政策,让 Amazon Personalize 可以完全访问您的亚马逊个性化资源。或者您可以使用 Amazon 托管AmazonPersonalizeFullAccess
策略。 AmazonPersonalizeFullAccess
提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新IAM策略。有关托管策略的更多信息,请参阅Amazon 托管策略。
创建政策后,您可以为 Amazon Personalize 创建一个IAM角色并将新政策附加到该角色中。
为 Amazon Personalize 创建新IAM政策
制定一项IAM政策,让 Amazon Personalize 能够完全访问您的亚马逊个性化资源。
使用JSON策略编辑器创建策略
登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在策略编辑器部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:*" ], "Resource": "*" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
为 Amazon Personalize 创建IAM角色
要使用 Amazon Personalize,您必须为 Amazon Personalize 创建 Amazon Identity and Access Management 服务角色。服务角色是由一项服务代入、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM用户指南》 Amazon Web Services 服务中的创建角色以向委派权限。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予其他服务角色权限中列出的其他权限。
为 Amazon Personalize(控制IAM台)创建服务角色
登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
对于 Trusted entity type(可信实体类型),选择 Amazon Web Services 服务。
-
对于服务或应用场景,选择 Amazon Personalize,然后选择个性化应用场景。
-
选择下一步。
-
选择您在前一个过程中创建的策略。
-
(可选)设置权限边界。这是一项高级特征,可用于服务角色,但不可用于服务相关角色。
-
打开设置权限边界部分,然后选择使用权限边界控制最大角色权限。
IAM包括您账户中的 Amazon 托管和客户托管政策的列表。
选择要用于权限边界的策略。
-
-
选择下一步。
-
输入有助于识别角色的作用的角色名称或者角色名称后缀。
重要
命名角色时,请注意以下事项:
-
角色名称在您内部必须是唯一的 Amazon Web Services 账户,并且不能因大小写而变得唯一。
例如,不要同时创建名为
PRODROLE
和prodrole
的角色。在策略中使用角色名或作为策略的一部分使用角色名称时ARN,角色名称区分大小写,但是当用户在控制台中看到角色名称时,例如在登录过程中,角色名称不区分大小写。 -
创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。
-
-
(可选)对于描述,输入角色的描述。
-
(可选)要编辑角色的使用案例和权限,请在步骤 1:选择可信实体或步骤 2:添加权限部分中选择编辑。
-
(可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在中使用标签的更多信息IAM,请参阅《IAM用户指南》中的Amazon Identity and Access Management 资源标签。
-
检查该角色,然后选择创建角色。
在您为 Amazon Personalize 创建角色后,您就可以向其授予访问您的 Amazon S3 存储桶和任何 Amazon KMS 密钥的权限了。
其他服务角色权限
在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:
-
修改 Amazon Personalize 服务角色的信任策略,以防出现混淆代理人问题。有关信任关系策略示例,请参阅防止跨服务混淆座席。有关修改角色信任策略的信息,请参阅修改角色。
-
如果您使用 Amazon Key Management Service (Amazon KMS) 进行加密,则必须向 Amazon Personalize 和 Amazon Personalize IAM 服务角色授予使用您的密钥的权限。有关更多信息,请参阅 向 Amazon Personalize 授予使用您 Amazon KMS 密钥的权限。