Autorizzazione ad Amazon Personalize per l'uso della tua chiave AWS KMS - Amazon Personalize
Esempio di politica chiaveEsempio di policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione ad Amazon Personalize per l'uso della tua chiave AWS KMS

Se specifichi una AWS Key Management Service (AWS KMS) chiave quando usi la console o le API di Amazon Personalize o se la usi per crittografare un bucket Amazon S3, devi concedere ad Amazon Personalize l'autorizzazione a utilizzare la tua AWS KMS chiave. Per concedere le autorizzazioni, la tua politica AWS KMS chiave e la politica IAM allegate al tuo ruolo di servizio devono concedere ad Amazon Personalize l'autorizzazione all'uso della tua chiave. Questo vale per la creazione di quanto segue in Amazon Personalize.

  • Gruppi di set di dati

  • Processo di importazione di set di dati (solo AWS KMS la politica chiave deve concedere le autorizzazioni)

  • Lavori di esportazione di set di dati

  • Lavori di inferenza in batch

  • Lavori in segmenti batch

  • Attribuzioni metriche

La tua policy AWS KMS chiave e le policy IAM devono concedere le autorizzazioni per le seguenti azioni:

  • Decrypt

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(richiesto solo nella politica chiave)

  • ListGrants

La revoca delle autorizzazioni AWS KMS chiave dopo aver creato una risorsa può causare problemi durante la creazione di un filtro o la ricezione di consigli. Per ulteriori informazioni sulle AWS KMS politiche, consulta Utilizzo delle politiche chiave in AWS KMS nella Guida per gli AWS Key Management Service sviluppatori. Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l'utente IAM. Per informazioni su come associare una policy IAM al ruolo, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'utente IAM.

Esempio di politica chiave

Il seguente esempio di policy chiave concede ad Amazon Personalize e al tuo ruolo le autorizzazioni minime per le precedenti operazioni di Amazon Personalize. Se si specifica una chiave quando si crea un gruppo di set di dati e si desidera esportare dati da un set di dati, la politica chiave deve includere l'GenerateDataKeyWithoutPlaintextazione. 

{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

Esempio di policy IAM

Il seguente esempio di policy IAM concede a un ruolo le AWS KMS autorizzazioni minime richieste per le precedenti operazioni di Amazon Personalize. Per i processi di importazione di set di dati, solo la politica AWS KMS chiave deve concedere le autorizzazioni. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}