Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan izin
Anda harus memberikan izin kepada pengguna, grup, atau peran untuk berinteraksi dengan sumber daya Amazon Personalisasi. Dan Anda harus memberikan izin Amazon Personalize untuk mengakses sumber daya yang Anda buat di Amazon Personalize dan untuk melakukan tugas atas nama Anda.
**Untuk mengatur izin**
1. Berikan izin Amazon Personalize untuk mengakses sumber daya Anda di Amazon Personalisasi dan izin untuk melakukan tugas atas nama Anda. Lihat [Memberikan izin Amazon Personalize untuk mengakses sumber daya Anda](set-up-required-permissions.md).
1. Berikan izin kepada pengguna, grup, atau peran Anda untuk berinteraksi dengan Amazon Personalisasi sumber daya dan meneruskan peran layanan Anda ke Amazon Personalisasi. Lihat [Memberikan izin kepada pengguna untuk mengakses Amazon Personalize](grant-user-permissions.md).
1. Ubah kebijakan kepercayaan Amazon Personalisasi peran layanan Anda sehingga mencegah masalah [wakil yang membingungkan](cross-service-confused-deputy-prevention.md). Untuk contoh kebijakan hubungan kepercayaan, lihat[Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md). Untuk informasi yang mengubah kebijakan kepercayaan peran, lihat [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html).
1. Jika Anda menggunakan AWS Key Management Service (AWS KMS) untuk enkripsi, Anda harus memberikan izin Amazon Personalize dan Amazon Personalisasi peran layanan IAM untuk menggunakan kunci Anda. Untuk informasi selengkapnya, lihat [Memberikan izin Amazon Personalize untuk menggunakan kunci Anda AWS KMS](granting-personalize-key-access.md).
1. Selesaikan langkah-langkah [Memberikan Amazon Personalisasi akses ke sumber daya Amazon S3](granting-personalize-s3-access.md) untuk menggunakan kebijakan bucket IAM dan Amazon S3 untuk memberi Amazon Personalisasi akses ke sumber daya Amazon S3 Anda.
**Topics**
+ [Memberikan izin Amazon Personalize untuk mengakses sumber daya Anda](set-up-required-permissions.md)
+ [Memberikan izin kepada pengguna untuk mengakses Amazon Personalize](grant-user-permissions.md)
+ [Memberikan Amazon Personalisasi akses ke sumber daya Amazon S3](granting-personalize-s3-access.md)
+ [Memberikan izin Amazon Personalize untuk menggunakan kunci Anda AWS KMS](granting-personalize-key-access.md)
# Memberikan izin Amazon Personalize untuk mengakses sumber daya Anda
Untuk memberikan izin Amazon Personalisasi untuk mengakses sumber daya Anda, Anda membuat kebijakan IAM yang menyediakan Amazon Personalisasi akses penuh ke sumber daya Amazon Personalisasi. Atau Anda dapat menggunakan `AmazonPersonalizeFullAccess` kebijakan AWS terkelola. `AmazonPersonalizeFullAccess`memberikan izin lebih dari yang diperlukan. Sebaiknya buat kebijakan IAM baru yang hanya memberikan izin yang diperlukan. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola](security_iam_id-based-policy-examples.md#using-managed-policies).
Setelah membuat kebijakan, Anda membuat peran IAM untuk Amazon Personalisasi dan melampirkan kebijakan baru ke dalamnya.
**Topics**
+ [Membuat kebijakan IAM baru untuk Amazon Personalize](#create-role-policy)
+ [Membuat peran IAM untuk Amazon Personalize](#set-up-create-role-with-permissions)
## Membuat kebijakan IAM baru untuk Amazon Personalize
Buat kebijakan IAM yang menyediakan Amazon Personalisasi akses penuh ke sumber daya Amazon Personalisasi Anda.
**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.
1. Masukkan dokumen kebijakan JSON berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
}
]
}
```
1. Pilih **Berikutnya**.
**catatan**
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.
## Membuat peran IAM untuk Amazon Personalize
Untuk menggunakan Amazon Personalize, Anda harus membuat peran AWS Identity and Access Management layanan untuk Amazon Personalize. Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. Setelah Anda membuat peran layanan untuk Amazon Personalize, berikan peran izin tambahan yang dicantumkan seperlunya. [Izin peran layanan tambahan](#additional-service-role-permissions)
**Untuk membuat peran layanan untuk Personalize (konsol IAM)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.
1. Untuk **kasus Layanan atau penggunaan**, pilih **Personalisasi**, lalu pilih **Personalisasi** kasus penggunaan.
1. Pilih **Berikutnya**.
1. Pilih kebijakan yang Anda buat di prosedur sebelumnya.
1. (Opsional) Tetapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.
1. Buka bagian **Setel batas izin**, lalu pilih **Gunakan batas izin untuk mengontrol izin peran maksimum**.
IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.
1. Pilih kebijakan yang akan digunakan untuk batas izin.
1. Pilih **Berikutnya**.
1. Masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran.
**penting**
Saat Anda memberi nama peran, perhatikan hal berikut:
Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.
Misalnya, jangan membuat peran bernama keduanya **PRODROLE** dan**prodrole**. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dari ARN, nama peran tersebut peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses masuk, nama peran tersebut tidak peka huruf besar/kecil.
Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk peran tersebut.
1. **(Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan izin**, pilih Edit.**
1. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.
1. Tinjau peran lalu pilih **Buat peran**.
[Setelah membuat peran untuk Amazon Personalize, Anda siap memberikannya [akses ke bucket Amazon S3](granting-personalize-s3-access.md) dan kunci apa pun. AWS KMS](granting-personalize-key-access.md)
### Izin peran layanan tambahan
Setelah Anda membuat peran dan memberinya izin untuk mengakses sumber daya Anda di Amazon Personalize, lakukan hal berikut:
1. Ubah kebijakan kepercayaan Amazon Personalisasi peran layanan Anda sehingga mencegah masalah [wakil yang membingungkan](cross-service-confused-deputy-prevention.md). Untuk contoh kebijakan hubungan kepercayaan, lihat[Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md). Untuk informasi yang mengubah kebijakan kepercayaan peran, lihat [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html).
1. Jika Anda menggunakan AWS Key Management Service (AWS KMS) untuk enkripsi, Anda harus memberikan izin Amazon Personalize dan Amazon Personalisasi peran layanan IAM untuk menggunakan kunci Anda. Untuk informasi selengkapnya, lihat [Memberikan izin Amazon Personalize untuk menggunakan kunci Anda AWS KMS](granting-personalize-key-access.md).
# Memberikan izin kepada pengguna untuk mengakses Amazon Personalize
Untuk memberi pengguna akses ke Amazon Personalize, Anda membuat kebijakan IAM yang memberikan izin untuk mengakses sumber daya Amazon Personalisasi dan meneruskan peran layanan Anda ke Amazon Personalize. Kemudian Anda menggunakan kebijakan tersebut saat menambahkan izin ke pengguna, grup, atau peran Anda.
## Membuat kebijakan IAM baru untuk pengguna Anda
Buat kebijakan IAM yang menyediakan Amazon Personalisasi akses penuh ke Amazon Personalisasi sumber daya `PassRole` dan izin untuk meneruskan peran layanan Anda ke Amazon Personalize (dibuat di). [Membuat peran IAM untuk Amazon Personalize](set-up-required-permissions.md#set-up-create-role-with-permissions)
**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.
1. Masukkan dokumen kebijakan JSON berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::123456789012:role/ServiceRoleName",
"Condition": {
"StringEquals": {
"iam:PassedToService": "personalize.amazonaws.com"
}
}
}
]
}
```
1. Pilih **Berikutnya**.
**catatan**
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.
Untuk hanya memberikan izin yang diperlukan untuk melakukan tugas di Amazon Personalize, ubah kebijakan sebelumnya agar hanya menyertakan tindakan yang diperlukan bagi pengguna Anda. Untuk daftar lengkap tindakan Personalisasi Amazon, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Amazon Personalisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html).
## Menyediakan akses ke Amazon Personalize
Lampirkan kebijakan IAM baru saat Anda memberikan izin kepada pengguna Anda.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup diAWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center*.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
# Memberikan Amazon Personalisasi akses ke sumber daya Amazon S3
Untuk memberikan Amazon Personalize akses ke bucket Amazon S3 Anda, lakukan hal berikut:
1. Jika Anda belum melakukannya, ikuti langkah-langkah [Menyiapkan izin](aws-personalize-set-up-permissions.md) untuk menyiapkan izin agar Amazon Personalisasi dapat mengakses sumber daya Anda di Amazon Personalisasi atas nama Anda.
1. Lampirkan kebijakan ke peran layanan Amazon Personalize (lihat[Membuat peran IAM untuk Amazon Personalize](set-up-required-permissions.md#set-up-create-role-with-permissions)) yang memungkinkan akses ke bucket Amazon S3 Anda. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan Amazon S3 ke peran layanan Amazon Personalisasi](#attaching-s3-policy-to-role).
1. Lampirkan kebijakan bucket ke bucket Amazon S3 yang berisi file data Anda sehingga Amazon Personalize dapat mengaksesnya. Untuk informasi selengkapnya, lihat [Melampirkan kebijakan akses Amazon Personalisasi ke bucket Amazon S3 Anda](#attach-bucket-policy).
1. Jika Anda menggunakan AWS Key Management Service (AWS KMS) untuk enkripsi, Anda harus memberikan izin Amazon Personalize dan Amazon Personalize IAM service role untuk menggunakan kunci Anda. Untuk informasi selengkapnya, lihat [Memberikan izin Amazon Personalize untuk menggunakan kunci Anda AWS KMS](granting-personalize-key-access.md).
**catatan**
Karena Amazon Personalize tidak berkomunikasi AWS VPCs, Amazon Personalize tidak dapat berinteraksi dengan bucket Amazon S3 yang hanya mengizinkan akses VPC.
**Topics**
+ [Melampirkan kebijakan Amazon S3 ke peran layanan Amazon Personalisasi](#attaching-s3-policy-to-role)
+ [Melampirkan kebijakan akses Amazon Personalisasi ke bucket Amazon S3 Anda](#attach-bucket-policy)
## Melampirkan kebijakan Amazon S3 ke peran layanan Amazon Personalisasi
Untuk melampirkan kebijakan Amazon S3 ke peran Amazon Personalisasi, lakukan hal berikut:
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)).
1. Di panel navigasi, pilih **Kebijakan**, dan pilih **Buat kebijakan**.
1. Pilih tab JSON, dan perbarui kebijakan sebagai berikut. Ganti `amzn-s3-demo-bucket` dengan nama bucket Anda. Anda dapat menggunakan kebijakan berikut untuk pekerjaan impor kumpulan data atau pekerjaan penghapusan data. Jika Anda menggunakan alur kerja batch atau membuat pekerjaan ekspor kumpulan data, Amazon Personalize memerlukan izin tambahan. Lihat [Kebijakan peran layanan untuk alur kerja batch](#role-policy-for-batch-workflows) atau [Kebijakan bucket Amazon S3 untuk mengekspor kumpulan data](#bucket-policy-for-export).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Pilih **Berikutnya: Tanda**. Secara opsional tambahkan tag apa pun dan pilih **Tinjau**.
1. Beri nama kebijakan.
1. (Opsional) Untuk **Deskripsi**, masukkan kalimat pendek yang menjelaskan kebijakan ini, misalnya, **Allow Amazon Personalize to access its Amazon S3 bucket.**
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran, dan pilih peran** yang Anda buat untuk Amazon Personalize. Lihat [Membuat peran IAM untuk Amazon Personalize](set-up-required-permissions.md#set-up-create-role-with-permissions).
1. Untuk **Izin**, pilih **Lampirkan kebijakan**.
1. Untuk menampilkan kebijakan dalam daftar, ketik bagian dari nama kebijakan di kotak **Filter kebijakan** filter.
1. Pilih kotak centang di samping kebijakan yang Anda buat sebelumnya dalam prosedur ini.
1. Pilih **Lampirkan kebijakan**.
Sebelum peran Anda siap digunakan dengan Amazon Personalize, Anda juga harus melampirkan kebijakan bucket ke bucket Amazon S3 yang berisi data Anda. Lihat [Melampirkan kebijakan akses Amazon Personalisasi ke bucket Amazon S3 Anda](#attach-bucket-policy).
### Kebijakan peran layanan untuk alur kerja batch
Untuk menyelesaikan worklfow batch, Amazon Personalize memerlukan izin untuk mengakses dan menambahkan file ke bucket Amazon S3 Anda. Ikuti langkah-langkah di atas untuk melampirkan kebijakan berikut ke peran Amazon Personalize Anda. Ganti `amzn-s3-demo-bucket` dengan nama bucket Anda. Untuk informasi selengkapnya tentang alur kerja batch, lihat [Mendapatkan rekomendasi item batch](getting-batch-recommendations.md) atau[Mendapatkan segmen pengguna batch](getting-user-segments.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### Kebijakan peran layanan untuk mengekspor kumpulan data
Untuk mengekspor kumpulan data, peran layanan Amazon Personalize Anda memerlukan izin untuk menggunakan `PutObject` `ListBucket` dan Tindakan di bucket Amazon S3 Anda. Contoh kebijakan berikut memberikan Amazon `PutObject` Personalize `ListBucket` dan izin. Ganti `amzn-s3-demo-bucket` dengan nama bucket Anda dan lampirkan kebijakan ke peran layanan Anda untuk Amazon Personalize. Untuk informasi tentang melampirkan kebijakan ke peran layanan, lihat[Melampirkan kebijakan Amazon S3 ke peran layanan Amazon Personalisasi](#attaching-s3-policy-to-role).
```
{
"Version": "2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
## Melampirkan kebijakan akses Amazon Personalisasi ke bucket Amazon S3 Anda
Amazon Personalize memerlukan izin untuk mengakses bucket S3. Anda dapat menggunakan kebijakan berikut untuk pekerjaan impor kumpulan data atau pekerjaan penghapusan data. Ganti `amzn-s3-demo-bucket` dengan nama bucket Anda. Untuk alur kerja batch, lihat[Kebijakan bucket Amazon S3 untuk alur kerja batch](#bucket-policy-for-batch-workflows).
Untuk informasi selengkapnya tentang kebijakan bucket Amazon S3, lihat [Bagaimana Cara Menambahkan Kebijakan Bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html) .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### Kebijakan bucket Amazon S3 untuk alur kerja batch
Untuk alur kerja batch, Amazon Personalize memerlukan izin untuk mengakses dan menambahkan file ke bucket Amazon S3 Anda. Lampirkan kebijakan berikut ke bucket Anda. Ganti `amzn-s3-demo-bucket` dengan nama bucket Anda.
Untuk informasi selengkapnya tentang menambahkan kebijakan bucket Amazon S3 ke bucket, lihat [Bagaimana Cara Menambahkan Kebijakan Bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html) . Untuk informasi selengkapnya tentang alur kerja batch, lihat [Mendapatkan rekomendasi item batch](getting-batch-recommendations.md) atau[Mendapatkan segmen pengguna batch](getting-user-segments.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### Kebijakan bucket Amazon S3 untuk mengekspor kumpulan data
Untuk mengekspor kumpulan data, Amazon Personalize memerlukan izin untuk menggunakan `PutObject` `ListBucket` dan Tindakan di bucket Amazon S3 Anda. Contoh kebijakan berikut memberikan `PutObject` prinsip `ListBucket` dan izin Amazon Personalize. Ganti `amzn-s3-demo-bucket` dengan nama bucket Anda dan lampirkan kebijakan ke bucket Anda. Untuk informasi tentang menambahkan kebijakan bucket Amazon S3 ke bucket, lihat [Bagaimana Cara Menambahkan Kebijakan Bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
```
{
"Version": "2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
# Memberikan izin Amazon Personalize untuk menggunakan kunci Anda AWS KMS
Jika Anda menentukan kunci AWS Key Management Service (AWS KMS) saat menggunakan konsol Amazon Personalize atau APIs, atau jika Anda menggunakan AWS KMS kunci untuk mengenkripsi bucket Amazon S3, Anda harus memberikan izin Amazon Personalize untuk menggunakan kunci Anda. Untuk memberikan izin, kebijakan AWS KMS utama *dan* kebijakan IAM yang dilampirkan pada peran layanan Anda harus memberikan izin Amazon Personalize untuk menggunakan kunci Anda. Ini berlaku untuk membuat yang berikut di Amazon Personalize.
+ Grup kumpulan data
+ Pekerjaan impor kumpulan data (hanya kebijakan AWS KMS utama yang harus memberikan izin)
+ Lowongan kerja ekspor dataset
+ Pekerjaan inferensi Batch
+ Pekerjaan segmen Batch
+ Atribusi metrik
Kebijakan AWS KMS utama dan kebijakan IAM Anda harus memberikan izin untuk tindakan berikut:
+ Dekripsi
+ GenerateDataKey
+ DescribeKey
+ CreateGrant (hanya diperlukan dalam kebijakan utama)
+ ListGrants
Mencabut izin AWS KMS kunci setelah membuat sumber daya dapat menyebabkan masalah saat membuat filter atau mendapatkan rekomendasi. Untuk informasi selengkapnya tentang AWS KMS kebijakan, lihat [Menggunakan kebijakan utama di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*. Untuk informasi tentang cara membuat kebijakan IAM, lihat [Membuat kebijakan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) Pengguna *IAM*. *Untuk informasi tentang melampirkan kebijakan IAM ke peran, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*
**Topics**
+ [Contoh kebijakan utama](#export-job-key-policy)
+ [Contoh kebijakan IAM](#export-job-iam-policy)
## Contoh kebijakan utama
Contoh kebijakan utama berikut memberikan Amazon Personalize dan peran Anda izin minimum untuk operasi Amazon Personalize sebelumnya. Jika Anda menentukan kunci saat membuat grup kumpulan data dan ingin mengekspor data dari kumpulan data, kebijakan kunci Anda harus menyertakan tindakan tersebut`GenerateDataKeyWithoutPlaintext`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-policy-123",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/",
"Service": "personalize.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## Contoh kebijakan IAM
Contoh kebijakan IAM berikut memberikan peran AWS KMS izin minimum yang diperlukan untuk operasi Amazon Personalize sebelumnya. Untuk pekerjaan impor kumpulan data, hanya kebijakan AWS KMS utama yang perlu memberikan izin.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------