Amazon Personalize die Erlaubnis geben, Ihren AWS KMS Schlüssel zu verwenden - Amazon Personalize
Wichtiges politisches BeispielBeispiel für eine IAM-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Personalize die Erlaubnis geben, Ihren AWS KMS Schlüssel zu verwenden

Wenn Sie einen AWS Key Management Service (AWS KMS) -Schlüssel angeben, wenn Sie die Amazon Personalize-Konsole oder die APIs verwenden, oder wenn Sie Ihren AWS KMS Schlüssel verwenden, um einen Amazon S3-Bucket zu verschlüsseln, müssen Sie Amazon Personalize die Erlaubnis zur Verwendung Ihres Schlüssels erteilen. Um Berechtigungen zu gewähren, müssen Ihre AWS KMS Schlüsselrichtlinie und Ihre IAM-Richtlinie, die Ihrer Servicerolle zugeordnet ist, Amazon Personalize die Erlaubnis zur Verwendung Ihres Schlüssels gewähren. Dies gilt für die Erstellung der folgenden Elemente in Amazon Personalize.

  • Datensatzgruppen

  • Auftrag zum Import von Datensätzen (nur die AWS KMS Schlüsselrichtlinie muss Berechtigungen gewähren)

  • Aufträge zum Exportieren von Datensätzen

  • Batch-Inferenzaufträge

  • Aufträge stapelweise segmentieren

  • Metrische Zuschreibungen

Ihre AWS KMS wichtigsten Richtlinien und IAM-Richtlinien müssen Berechtigungen für die folgenden Aktionen gewähren:

  • Decrypt

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(nur in wichtigen Richtlinien erforderlich)

  • ListGrants

Der Widerruf AWS KMS wichtiger Berechtigungen nach dem Erstellen einer Ressource kann zu Problemen beim Erstellen eines Filters oder beim Abrufen von Empfehlungen führen. Weitere Informationen zu AWS KMS Richtlinien finden Sie unter Verwenden wichtiger Richtlinien in AWS KMS im AWS Key Management ServiceEntwicklerhandbuch. Informationen zum Erstellen einer IAM-Richtlinie finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch. Informationen zum Anhängen einer IAM-Richtlinie an eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.

Wichtiges politisches Beispiel

Das folgende wichtige Richtlinienbeispiel gewährt Amazon Personalize und Ihrer Rolle die Mindestberechtigungen für die vorherigen Amazon Personalize-Vorgänge. Wenn Sie beim Erstellen einer Datensatzgruppe einen Schlüssel angeben und Daten aus einem Datensatz exportieren möchten, muss Ihre Schlüsselrichtlinie die GenerateDataKeyWithoutPlaintext Aktion beinhalten. 

{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

Beispiel für eine IAM-Richtlinie

Das folgende Beispiel für eine IAM-Richtlinie gewährt einer Rolle die AWS KMS Mindestberechtigungen, die für die vorherigen Amazon Personalize-Vorgänge erforderlich sind. Bei Aufträgen zum Import von Datensätzen muss nur die AWS KMS Schlüsselrichtlinie Berechtigungen gewähren. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}