授予亞馬遜個性化許可以使用您的AWS KMS密鑰 - Amazon Personalize
關鍵政策範例IAM 政策範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予亞馬遜個性化許可以使用您的AWS KMS密鑰

如果您在使用 Amazon 個人化主控台或 API 時指定 AWS Key Management Service (AWS KMS) 金鑰,或使用AWS KMS金鑰加密 Amazon S3 儲存貯體,則必須授予 Amazon 個人化使用金鑰的權限。若要授予許可,連接到服務角色的AWS KMS金鑰政策 IAM 政策必須授予 Amazon Personalize 權限才能使用金鑰。這適用於在亞馬遜個性化中創建以下內容。

  • 資料集群組

  • 資料集匯入工作 (只有AWS KMS金鑰原則必須授與權限)

  • 資料集匯出工作

  • 批次推論工作

  • 批次區段工作

  • 測量結果屬性

您的AWS KMS金鑰政策和 IAM 政策必須授予下列動作的許可:

  • 解密

  • GenerateDataKey

  • DescribeKey

  • CreateGrant(僅在密鑰策略中需要)

  • ListGrants

建立資源後撤銷AWS KMS金鑰權限可能會導致建立篩選器或取得建議時發生問題。如需有關AWS KMS原則的詳細資訊,請參閱AWS Key Management Service開發人員指南中的使用 AWS KMS 中的金鑰原則。如需建立 IAM 政策的相關資訊,請參閱 IAM 使用者指南中的建立 IAM 政策。如需將 IAM 政策附加到角色的相關資訊,請參閱 IAM 使用者指南中的新增和移除 IAM 身分許可。

關鍵政策範例

以下關鍵政策範例授予 Amazon 個人化和您的角色之前 Amazon 個人化作業的最低許可。如果您在建立資料集群組時指定金鑰,而且想要從資料集匯出資料,您的金鑰原則必須包含GenerateDataKeyWithoutPlaintext動作。

{
  "Version": "2012-10-17",
  "Id": "key-policy-123",
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<personalize-role-name>",
        "Service": "personalize.amazonaws.com"
      },
      "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
      "Resource": "*"
    }
  ]
}

IAM 政策範例

下列 IAM 政策範例授予角色先前 Amazon 個人化作業所需的最低AWS KMS許可。對於資料集匯入工作,只有AWS KMS金鑰原則需要授與權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}