新しい IAM ポリシーの作成 Amazon Personalize の IAM ロールの作成

アクセス許可のセットアップ

Amazon Personalize を使用するには、IAM ユーザーが Amazon Personalize コンソールおよび API 操作にアクセスできるようにする許可を設定する必要があります。また、Amazon Personalize がユーザーに代わってタスクを実行し、ユーザーが所有するリソースにアクセスできるようにする許可を設定する必要があります。

アクセスが Amazon Personalize 操作に制限された AWS Identity and Access Management (IAM) ユーザーを作成することをお勧めします。必要に応じて他のアクセス許可を追加できます。詳細については、「Amazon Personalize のアイデンティティベースのポリシー」を参照してください。

注記

Amazon Personalize を使用するために必要な許可のみを付与する新しい IAM ポリシーを作成することをお勧めします。

アクセス許可を設定するには

Amazon Personalize へのフルアクセスを許可するポリシーを、Amazon Personalize の IAM ユーザーまたはグループにアタッチします。
- 新しい IAM ポリシーを作成し、それを IAM ユーザーまたはグループにアタッチします (「新しい IAM ポリシーの作成」を参照)。
  
  または
- AmazonPersonalizeFullAccess AWS マネージドポリシーを IAM ユーザーまたはグループにアタッチします (「AWS マネージドポリシー」を参照)。
オプションで添付してくださいCloudWatchFullAccess AWSAmazon Personalize をモニタリングするための許可を付与する IAM ユーザーまたはグループにマネージドポリシー CloudWatch。AWS マネージドポリシーを参照してください。
Amazon Personalize の IAM ロールを作成し、ステップ 1 のポリシーを新しいロールにアタッチします。Amazon Personalize の IAM ロールの作成を参照してください。
使用するものAWS Key Management Service(AWSKMS) を暗号化するには、キーポリシーで Amazon Personalize と Amazon Personalize IAM サービスロールに復号化権限を付与する必要があります。詳細については、「を使用するためのアクセス許可を Amazon Personalize に付与するAWS KMSキー」を参照してください。
「」の各ステップを実行しますAmazon Personalize に対する、Amazon S3 リソースへのアクセスの付与IAM と Amazon S3 バケットポリシーを使用して、Amazon S3 リソースへのアクセス権を Amazon Personalize に付与します。

新しい IAM ポリシーの作成

ユーザーと Amazon Personalize に Amazon Personalize のリソースへのフルアクセスを提供する IAM ポリシーを作成します。その後、ポリシーを IAM ユーザーまたはグループにアタッチします。

JSON ポリシーエディタを使用してポリシーを作成するには

AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
左側のナビゲーション列で、[ポリシー] を選択します。

[Policies] (ポリシー) を初めて選択する場合は、[Welcome to Managed Policies] (マネージドポリシーにようこそ) ページが表示されます。[Get Started] (今すぐ始める) を選択します。
ページの上部で、[ポリシーの作成] を選択します。
[JSON] タブを選択します。

次の JSON ポリシードキュメントを入力します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "personalize.amazonaws.com"
                }
            }
        }
    ]
}

[Review policy] (ポリシーの確認) を選択します。

注記
いつでも [Visual editor] (ビジュアルエディタ) タブと [JSON] タブを切り替えることができます。ただし、[Visual editor] (ビジュアルエディタ) タブで [Review policy] (ポリシーの確認) を変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、IAM ユーザーガイドの「ポリシーの再構成」を参照してください。
[ポリシーの確認] ページに作成するポリシーの [名前] と [説明] を入力します。ポリシーの [Summary] (概要) を参照して、ポリシーによって付与された許可を確認します。次に、[Create policy] (ポリシーの作成) を選択して作業を保存します。

Amazon Personalize の IAM ロールの作成

Amazon Personalize を使用するには、Amazon Personalize の AWS Identity and Access Management サービスロールを作成する必要があります。IAM ロールの作成方法については、「」に権限を委任するロールの作成AWSサービス()IAM ユーザーガイド。ロールを作成するときに、Amazon Personalize 用に以下を設定します。

[Choose the service that will use this role] (このロールを使用するサービスを選択) で、Personalize を選択します。
[Attach permissions policies] (許可ポリシーをアタッチ) で、新しい IAM ポリシーの作成で作成したポリシーを選択するか、AmazonPersonalizeFullAccess を選択します (「AWS マネージドポリシー」を参照)。
使用するものAWS Key Management Service(AWSKMS) を暗号化するには、キーポリシーで Amazon Personalize と Amazon Personalize IAM サービスロールに復号化権限を付与する必要があります。詳細については、「を使用するためのアクセス許可を Amazon Personalize に付与するAWS KMSキー」を参照してください。
を防ぐには混乱した代理、その役割の信頼関係方針の使い方でaws:SourceArnそしてaws:SourceAccountグローバル条件コンテキストキー信頼関係ポリシーの例については、サービス間の混乱した代理の防止。

IAM ロールの信頼ポリシーの変更については、ロールの修正。

次に、開始方法の演習を完了すると、トレーニングデータを作成し、Amazon S3 バケットへのアクセス権を Amazon Personalize に付与する準備が整います。トレーニングデータの作成 (カスタムデータセットグループ) を参照してください。

開始方法の演習を完了していない場合は、データをインポートする準備ができています。データの準備とインポートを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Personalize の設定

Amazon Personalize に対する、Amazon S3 リソースへのアクセスの付与