Schritt 2: (Nur CLI) Erstellen einer IAM-Rolle für Amazon Comprehend - Amazon Comprehend

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: (Nur CLI) Erstellen einer IAM-Rolle für Amazon Comprehend

Dieser Schritt ist nur erforderlich, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, um dieses Tutorial abzuschließen. Wenn Sie die Amazon Comprehend-Konsole verwenden, um die Analyseaufträge auszuführen, fahren Sie mit fortSchritt 3: Ausführen von Analyseaufträgen für Dokumente in Amazon S3.

Um Analyseaufträge auszuführen, benötigt Amazon Comprehend Zugriff auf den Amazon S3-Bucket, der den Beispieldatensatz enthält und die Ausgabe der Aufträge enthält. Mit IAM-Rollen können Sie die Berechtigungen von AWS Services oder Benutzern steuern. In diesem Schritt erstellen Sie eine IAM-Rolle für Amazon Comprehend . Anschließend erstellen Sie eine ressourcenbasierte Richtlinie, die Amazon Comprehend Zugriff auf Ihren S3-Bucket gewährt, und fügen sie dieser Rolle hinzu. Am Ende dieses Schritts verfügt Amazon Comprehend über die erforderlichen Berechtigungen, um auf Ihre Eingabedaten zuzugreifen, Ihre Ausgabe zu speichern und Stimmungs- und Entitätsanalyseaufträge auszuführen.

Weitere Informationen zur Verwendung von IAM mit Amazon Comprehend finden Sie unter Funktionsweise von Amazon Comprehend mit IAM.

Voraussetzungen

Bevor Sie beginnen, führen Sie die folgenden Schritte aus:

Erstellen einer IAM-Rolle

Um auf Ihren Amazon Simple Storage Service (Amazon S3)-Bucket zuzugreifen, muss Amazon Comprehend eine AWS Identity and Access Management (IAM)-Rolle übernehmen. Die IAM-Rolle deklariert Amazon Comprehend als vertrauenswürdige Entität. Nachdem Amazon Comprehend die Rolle übernommen hat und eine vertrauenswürdige Entität wird, können Sie Amazon Comprehend Bucket-Zugriffsberechtigungen erteilen. In diesem Schritt erstellen Sie eine Rolle, die Amazon Comprehend als vertrauenswürdige Entität kennzeichnet. Sie können eine Rolle mit der AWS CLI oder der Amazon Comprehend-Konsole erstellen. Um die Konsole zu verwenden, fahren Sie mit fortSchritt 3: Ausführen von Analyseaufträgen für Dokumente in Amazon S3.

Mit der Amazon Comprehend-Konsole können Sie Rollen auswählen, bei denen der Rollenname „Comprehend“ und die Vertrauensrichtlinie enthältcomprehend.amazonaws.com. Konfigurieren Sie Ihre von der CLI erstellten Rollen so, dass sie diese Kriterien erfüllen, wenn die Konsole sie anzeigen soll.

So erstellen Sie eine IAM-Rolle für Amazon Comprehend (AWS-CLI)
  1. Speichern Sie die folgende Vertrauensrichtlinie als JSON-Dokument namens comprehend-trust-policy.json in einem Code- oder Texteditor auf Ihrem Computer. Diese Vertrauensrichtlinie deklariert Amazon Comprehend als vertrauenswürdige Entität und ermöglicht es ihr, eine IAM-Rolle anzunehmen.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "comprehend.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Führen Sie den folgenden AWS CLI Befehl aus, um die IAM-Rolle zu erstellen. Der Befehl erstellt eine IAM-Rolle namens AmazonComprehendServiceRole-access-role und fügt die Vertrauensrichtlinie an die Rolle an. Ersetzen Sie durch den Pfad path/ Ihres lokalen Computers zum JSON-Dokument.

    aws iam create-role --role-name AmazonComprehendServiceRole-access-role --assume-role-policy-document file://path/comprehend-trust-policy.json
    Tipp

    Wenn Sie die Fehlermeldung Fehler beim Parsen des Parameters erhalten, ist der Pfad zu Ihrer JSON-Vertrauensrichtliniendatei wahrscheinlich falsch. Geben Sie den relativen Pfad zur Datei basierend auf Ihrem Stammverzeichnis an.

  3. Kopieren Sie den Amazon-Ressourcennamen (ARN) und speichern Sie ihn in einem Texteditor. Der ARN hat ein ähnliches Format wie arn:aws:iam::123456789012:role/AmazonComprehendServiceRole-access-role. Sie benötigen diesen ARN, um Amazon Comprehend-Analyseaufträge auszuführen.

Anfügen einer IAM-Richtlinie an die IAM-Rolle

Für den Zugriff auf Ihren Amazon S3-Bucket benötigt Amazon Comprehend Berechtigungen zum Auflisten, Lesen und Schreiben. Um Amazon Comprehend die erforderlichen Berechtigungen zu erteilen, erstellen Sie eine IAM-Richtlinie und fügen Sie sie an Ihre IAM-Rolle an. Die IAM-Richtlinie ermöglicht es Amazon Comprehend, die Eingabedaten aus Ihrem Bucket abzurufen und Analyseergebnisse in den Bucket zu schreiben. Nachdem Sie die Richtlinie erstellt haben, fügen Sie sie an Ihre IAM-Rolle an.

So erstellen Sie eine IAM-Richtlinie (AWS CLI)
  1. Speichern Sie die folgende Richtlinie lokal als JSON-Dokument mit dem Namen comprehend-access-policy.json. Sie gewährt Amazon Comprehend Zugriff auf den angegebenen S3-Bucket.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ], "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Effect": "Allow" } ] }
  2. Führen Sie den folgenden AWS CLI Befehl aus, um die S3-Bucket-Zugriffsrichtlinie zu erstellen. Ersetzen Sie durch den Pfad path/ Ihres lokalen Computers zum JSON-Dokument.

    aws iam create-policy --policy-name comprehend-access-policy --policy-document file://path/comprehend-access-policy.json
  3. Kopieren Sie den ARN der Zugriffsrichtlinie und speichern Sie ihn in einem Texteditor. Der ARN hat ein ähnliches Format wie arn:aws:iam::123456789012:policy/comprehend-access-policy. Sie benötigen diesen ARN, um Ihre Zugriffsrichtlinie an Ihre IAM-Rolle anzuhängen.

So fügen Sie die IAM-Richtlinie an Ihre IAM-Rolle an (AWS CLI)
  • Führen Sie den folgenden Befehl aus. Ersetzen Sie durch policy-arn den ARN der Zugriffsrichtlinie, den Sie im vorherigen Schritt kopiert haben.

    aws iam attach-role-policy --policy-arn policy-arn --role-name AmazonComprehendServiceRole-access-role

Sie haben jetzt eine IAM-Rolle namens AmazonComprehendServiceRole-access-role, die über eine Vertrauensrichtlinie für Amazon Comprehend und eine Zugriffsrichtlinie verfügt, die Amazon Comprehend Zugriff auf Ihren S3-Bucket gewährt. Sie haben auch den ARN für die IAM-Rolle in einen Texteditor kopiert.