Concesión de permiso a Amazon Personalize para que utilice la clave AWS KMS - Amazon Personalize
Política de claves de ejemploEjemplo de política de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permiso a Amazon Personalize para que utilice la clave AWS KMS

Si especifica una clave AWS Key Management Service (AWS KMS) cuando usa las API o la consola de Amazon Personalize, o si usa su clave AWS KMS para cifrar un bucket de Amazon S3, debe conceder permiso a Amazon Personalize para usar su clave. Para conceder permisos, su política de claves de AWS KMS y la política de IAM asociada a su rol de servicio deben conceder a Amazon Personalize permiso para usar su clave. Esto se aplica a la creación de lo siguiente en Amazon Personalize.

  • Grupos de conjuntos de datos

  • Trabajo de importación de conjuntos de datos (solo la política de claves de AWS KMS debe conceder permisos)

  • Trabajos de exportación de conjuntos de datos

  • Trabajos de inferencia por lotes

  • Trabajos de segmentos por lotes

  • Atribuciones de métricas

Su política de claves de AWS KMS y sus políticas de IAM deben conceder permisos para las siguientes acciones:

  • Decrypt

  • GenerateDataKey

  • DescribeKey

  • CreateGrant (solo obligatorio en la política de claves)

  • ListGrants

La revocación de los permisos de claves de AWS KMS después de crear un recurso puede provocar problemas a la hora de crear un filtro o de obtener recomendaciones. Para obtener más información acerca de las políticas de AWS KMS, consulte Uso de las políticas de claves en KMS AWS en la Guía para desarrolladores de AWS Key Management Service. Para obtener más información sobre la creación de una política de IAM, consulte Crear políticas de IAM en la Guía del usuario de IAM. Para obtener información sobre cómo adjuntar una política de IAM a un rol, consulte Incorporación y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.

Política de claves de ejemplo

El siguiente ejemplo de política de claves concede a Amazon Personalize y a su rol los permisos mínimos para las operaciones anteriores de Amazon Personalize. Si especifica una clave al crear un grupo de conjuntos de datos y desea exportar los datos de un conjunto de datos, su política de claves debe incluir la acción GenerateDataKeyWithoutPlaintext. 

{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

Ejemplo de política de IAM

El siguiente ejemplo de política de IAM concede a un rol los permisos de AWS KMS mínimos necesarios para las operaciones anteriores de Amazon Personalize. Para los trabajos de importación de conjuntos de datos, solo la política de claves de AWS KMS debe conceder permisos. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}