Exemple de politique clé Exemple de politique IAM

Autoriser Amazon Personalize à utiliser votre AWS KMS clé

Si vous spécifiez une clé AWS Key Management Service (AWS KMS) lorsque vous utilisez la console Amazon Personalize ou les API, ou si vous utilisez votre AWS KMS clé pour chiffrer un compartiment Amazon S3, vous devez autoriser Amazon Personalize à utiliser votre clé. Pour accorder des autorisations, votre politique de AWS KMS clé et la politique IAM associées à votre rôle de service doivent accorder à Amazon Personalize l'autorisation d'utiliser votre clé. Cela s'applique à la création des éléments suivants dans Amazon Personalize.

Groupes de jeux de données
Tâche d'importation de jeux de données (seule la politique AWS KMS clé doit accorder des autorisations)
Travaux d'exportation de jeux de données
Tâches d'inférence par lots
Tâches de segmentation par lots
Attributions métriques

Votre politique AWS KMS clé et vos politiques IAM doivent accorder des autorisations pour les actions suivantes :

Decrypt
GenerateDataKey
DescribeKey
CreateGrant(obligatoire uniquement dans la politique principale)
ListGrants

AWS KMSLa révocation des autorisations clés après la création d'une ressource peut entraîner des problèmes lors de la création d'un filtre ou de l'obtention de recommandations. Pour plus d'informations sur AWS KMS les politiques, consultez la section Utilisation de politiques clés dans AWS KMS dans le Guide du AWS Key Management Service développeur. Pour plus d'informations sur la création d'une politique IAM, consultez la section Création de politiques IAM dans le Guide de l'utilisateur IAM. Pour plus d'informations sur l'association d'une politique IAM à un rôle, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le Guide de l'utilisateur IAM.

Exemple de politique clé

L'exemple de politique clé suivant accorde à Amazon Personalize et à votre rôle les autorisations minimales pour les opérations Amazon Personalize précédentes. Si vous spécifiez une clé lorsque vous créez un groupe de jeux de données et que vous souhaitez exporter des données à partir d'un ensemble de données, votre politique de clé doit inclure l'GenerateDataKeyWithoutPlaintextaction.


{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

Exemple de politique IAM

L'exemple de politique IAM suivant accorde à un rôle les AWS KMS autorisations minimales requises pour les opérations Amazon Personalize précédentes. Pour les tâches d'importation de jeux de données, seule la politique AWS KMS clé doit accorder des autorisations.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Permettre à Amazon Personalize d'accéder aux ressources Amazon S3

Configuration du AWS CLI