기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Personalize에 AWS KMS 키 사용 권한 부여
Amazon Personalize 콘솔 또는 API를 사용할 때 AWS Key Management Service(AWS KMS) 키를 지정하거나 AWS KMS 키를 사용하여 Amazon S3 버킷을 암호화하는 경우 Amazon Personalize에 키 사용 권한을 부여해야 합니다. 권한을 부여하려면 서비스 역할에 연결된 AWS KMS 키 정책 및 IAM 정책이 Amazon Personalize에 키 사용 권한을 부여해야 합니다. 이는 Amazon Personalize에서 다음을 생성하는 경우에 적용됩니다.
-
데이터 세트 그룹
-
데이터 세트 가져오기 작업 (AWS KMS 키 정책만 권한을 부여해야 함)
-
데이터 세트 내보내기 작업
-
배치 추론 작업
-
배치 세그먼트 작업
-
지표 어트리뷰션
AWS KMS 키 정책 및 IAM 정책이 다음 작업을 수행할 권한을 부여해야 합니다.
-
Decrypt
-
GenerateDataKey
-
DescribeKey
-
CreateGrant(키 정책에만 필요)
-
ListGrants
리소스를 생성한 후 AWS KMS 키 권한을 취소하면 필터를 만들거나 추천을 받을 때 문제가 발생할 수 있습니다. AWS KMS 키 정책에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS KMS에서 키 정책 사용 단원을 참조하세요. IAM 정책 생성에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 생성 단원을 참조하세요. 역할에 IAM 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거 단원을 참조하세요.
예제 키 정책
다음 예제 키 정책에서는 Amazon Personalize와 사용자 역할에 이전 Amazon Personalize 작업에 대한 최소한의 권한을 부여합니다. 데이터 세트 그룹을 생성할 때 키를 지정하고 데이터 세트에서 데이터를 내보내려는 경우 키 정책에 GenerateDataKeyWithoutPlaintext 작업이 포함되어야 합니다.
{ "Version": "2012-10-17", "Id": "key-policy-123", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>", "Service": "personalize.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant", "kms:ListGrants" ], "Resource": "*" } ] }
예제 IAM 정책
다음 예제 IAM 정책은 이전 Amazon Personalize 작업에 필요한 최소한의 AWS KMS 권한을 역할에 부여합니다. 데이터 세트 가져오기 작업의 경우 AWS KMS 키 정책만 권한을 부여하면 됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:ListGrants" ], "Resource": "*" } ] }
