Crear un rol de trabajo de flujo de trabajo para AWS Entity Resolution - AWS Entity Resolution

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un rol de trabajo de flujo de trabajo para AWS Entity Resolution

AWS Entity Resolution usa un rol de trabajo de flujo de trabajo para ejecutar un flujo de trabajo. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene CreateRole permisos, pida al administrador que cree el rol.

Para crear un rol de trabajo de flujo de trabajo para AWS Entity Resolution

  1. Inicie sesión en la consola de IAM https://console.aws.amazon.com/iam/con su cuenta de administrador.

  2. En Administración de accesos, elija Roles.

    Puede usar Roles para crear credenciales a corto plazo, lo que se recomienda para aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.

  3. Elija Crear rol.

  4. En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.

  5. Copie y pegue la siguiente política de confianza personalizada en el editor JSON.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "entityresolution.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  6. Elija Siguiente.

  7. En Añadir permisos, selecciona Crear política.

    Se abre una nueva pestaña.

    1. Copia y pega la siguiente política en el editor JSON.

      nota

      El siguiente ejemplo de política admite los permisos necesarios para leer los recursos de datos correspondientes, como Amazon S3 y AWS Glue. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado las fuentes de datos.

      Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en el mismo lugar Región de AWS que AWS Entity Resolution.

      No necesita conceder AWS KMS permisos si sus fuentes de datos no están cifradas o descifradas.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{input-buckets}}",
                "arn:aws:s3:::{{input-buckets}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "{{accountId}}"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{output-bucket}}",
                "arn:aws:s3:::{{output-bucket}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "{{accountId}}"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:{{accountId}}:database/{{input-databases}}",
                "arn:aws:glue:us-east-1:{{accountId}}:table/{{input-database}}/{{input-tables}}",
                "arn:aws:glue:us-east-1:{{accountId}}:catalog"
            ]
        }
    ]
}

      Reemplace cada {{user input placeholder}} por su propia información.

      aws-region Región de AWS de sus recursos. Sus AWS Glue recursos, los recursos subyacentes de Amazon S3 y AWS KMS los recursos deben estar en el Región de AWS mismo lugar queAWS Entity Resolution.
      accountId Su Cuenta de AWS ID.
      input-buckets Buckets de Amazon S3 que contienen los objetos de datos subyacentes desde los AWS Glue que AWS Entity Resolution se leerá.
      output-buckets Los buckets de Amazon S3 son los AWS Entity Resolution que generarán los datos de salida.
      input-databases AWS Glue bases de datos desde las AWS Entity Resolution que leeré.

    2. (Opcional) Si el bucket de Amazon S3 de entrada está cifrado con la clave KMS del cliente, añada lo siguiente:

              {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{accountId}}:key/{{inputKeys}}"
            ]
        }

      Reemplace cada {{user input placeholder}} por su propia información.

      aws-region Región de AWS de sus recursos. Sus AWS Glue recursos, los recursos subyacentes de Amazon S3 y AWS KMS los recursos deben estar en el Región de AWS mismo lugar queAWS Entity Resolution.
      accountId Su Cuenta de AWS ID.
      inputKeys Ingresa las claves administradas AWS Key Management Service. Si sus fuentes de entrada están cifradas, AWS Entity Resolution debe descifrar los datos con su clave.

    3. (Opcional) Si es necesario cifrar los datos que se van a escribir en el bucket de Amazon S3 de salida, añada lo siguiente:

              {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{accountId}}:key/{{outputKeys}}"
            ]
        }

      Reemplace cada {{user input placeholder}} por su propia información.

      aws-region Región de AWS de sus recursos. Sus AWS Glue recursos, los recursos subyacentes de Amazon S3 y AWS KMS los recursos deben estar en el Región de AWS mismo lugar queAWS Entity Resolution.
      accountId Su Cuenta de AWS ID.
      outputKeys Ingresa las claves administradas AWS Key Management Service. Si necesita cifrar las fuentes de salida, AWS Entity Resolution debe cifrar los datos de salida con su clave.

    4. (Opcional) Si tiene una suscripción a través AWS Data Exchange de un servicio de proveedor y desea utilizar un rol existente para un flujo de trabajo basado en el servicio de un proveedor, añada lo siguiente:

              {
            "Effect": "Allow",
            "Sid": "DataExchangePermissions",
            "Action": "dataexchange:SendApiAsset",
            "Resource": [
                "arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
            ]
        }

      Reemplace cada {{user input placeholder}} por su propia información.

      aws-region El Región de AWS lugar donde se otorga el recurso del proveedor. Puede encontrar este valor en el ARN del activo de la AWS Data Exchange consola. Por ejemplo: arn:aws:dataexchange:us-east-2::data-sets/111122223333/revisions/339ffc64444examplef3bc15cf0b2346b/assets/546468b8dexamplea37bfc73b8f79fefa
      datasetId El ID del conjunto de datos, que se encuentra en la AWS Data Exchange consola.
      revisionId La revisión del conjunto de datos, que se encuentra en la AWS Data Exchange consola.
      assetId El ID del activo, que se encuentra en la AWS Data Exchange consola.

  8. Vuelva a la pestaña original y, en Añadir permisos, introduzca el nombre de la política que acaba de crear. (es posible que tenga que volver a cargar la página).

  9. Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, seleccione Siguiente.

  10. En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

    nota

    El nombre del rol debe coincidir con el patrón de los passRole permisos concedidos al miembro que puede transferirlo workflow job role para crear un flujo de trabajo coincidente.

    Por ejemplo, si utilizas la política AWSEntityResolutionConsoleFullAccess gestionada, recuerda incluirla entityresolution en el nombre de tu rol.

    1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.

    2. Revise los permisos en Agregar permisos y edítelos si es necesario.

    3. Revise las Etiquetas y añada etiquetas si es necesario.

    4. Seleccione Crear rol.

Se AWS Entity Resolution ha creado el rol de trabajo del flujo de trabajo para.