翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Personalize にリソースへのアクセス許可を付与する
<a name="set-up-required-permissions"></a>

 リソースへのアクセス許可を Amazon Personalize に付与する IAM ポリシーを作成します。または、 AWS 管理`AmazonPersonalizeFullAccess`ポリシーを使用できます。 `AmazonPersonalizeFullAccess`は、必要以上のアクセス許可を提供します。必要なアクセス許可のみを付与する新しい IAM ポリシーを作成することをお勧めします。管理ポリシーの詳細については、「[AWS マネージドポリシー](security_iam_id-based-policy-examples.md#using-managed-policies)」を参照してください。

ポリシーを作成後、Amazon Personalize 向けの IAM ロールを作成して新しいポリシーをアタッチします。

**Topics**
+ [新しい Amazon Personalize の IAM ポリシーの作成](#create-role-policy)
+ [Amazon Personalize 向けの IAM ロールの作成](#set-up-create-role-with-permissions)

## 新しい Amazon Personalize の IAM ポリシーの作成
<a name="create-role-policy"></a>

Amazon Personalize に Amazon Personalize のリソースへのフルアクセスを提供する IAM ポリシーを作成します。

**JSON ポリシーエディタでポリシーを作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。

   初めて **[ポリシー]** を選択する場合には、**[管理ポリシーにようこそ]** ページが表示されます。**今すぐ始める** を選択します。

1. ページの上部で、**[ポリシーを作成]** を選択します。

1. **ポリシーエディタ** セクションで、**JSON** オプションを選択します。

1. 次の JSON ポリシードキュメントを入力します。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "personalize:*"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. **次へ** を選択します。
**注記**  
いつでも **Visual** と **JSON** エディタオプションを切り替えることができます。ただし、**[ビジュアル]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成してビジュアルエディタに合わせて最適化することがあります。詳細については、*IAM ユーザーガイド* の [ポリシーの再構成](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) を参照してください。

1. **確認と作成** ページで、作成するポリシーの **ポリシー名** と **説明** (オプション) を入力します。**このポリシーで定義されているアクセス許可** を確認して、ポリシーによって付与されたアクセス許可を確認します。

1. **ポリシーを作成** をクリックして、新しいポリシーを保存します。

## Amazon Personalize 向けの IAM ロールの作成
<a name="set-up-create-role-with-permissions"></a>

 Amazon Personalize を使用するには、Amazon Personalize AWS Identity and Access Management のサービスロールを作成する必要があります。サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。Amazon Personalize のサービスロールを作成したら、必要に応じてそのロールに [その他のサービスロールのアクセス許可](#additional-service-role-permissions) に記載されている追加のアクセス権限を付与します。

**Personalize のサービスロールを作成するには (IAM コンソール)**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. IAM コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** を選択します。

1. **信頼できるエンティティタイプ** で、**AWS のサービス** を選択します。

1. **[サービスまたはユースケース]** で、**[Personalize]** を選択し、**[Personalize]** ユースケースを選択します。

1. [**次へ**] を選択します。

1. 前の手順で作成したポリシーを使用します。

1. (オプション) [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。

   1. **[アクセス許可の境界の設定]** セクションを開き、**[アクセス許可の境界を使用してロールのアクセス許可の上限を設定する]** を選択します。

      IAM には、 アカウントの AWS 管理ポリシーとカスタマー管理ポリシーのリストが含まれます。

   1. アクセス許可の境界として使用するポリシーを選択します。

1. [**次へ**] を選択します。

1. このロールの目的を識別しやすいロール名またはロール名サフィックスを入力します。
**重要**  
ロールに名前を付けるときは、次のことに注意してください。  
ロール名は 内で一意である必要があり AWS アカウント、大文字と小文字を区別することはできません。  
例えば、**PRODROLE** と **prodrole** の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。
他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

1. (オプション) **[説明]** にロールの説明を入力します。

1. (オプション) ロールのユースケースとアクセス許可を編集するには、**[ステップ 1: 信頼されたエンティティを選択]** または **[ステップ 2: アクセス権限を追加]** のセクションで **[編集]** を選択します。

1. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとしてタグを追加します。IAM でのタグの使用の詳細については、IAM *ユーザーガイド*の[AWS Identity and Access Management 「リソースのタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. ロールを確認したら、**[ロールを作成]** を選択します。

Amazon Personalize のロールを作成したら、[Amazon S3 バケットと任意のキーへのアクセス](granting-personalize-s3-access.md)を許可する準備が整います。 [AWS KMS](granting-personalize-key-access.md)

### その他のサービスロールのアクセス許可
<a name="additional-service-role-permissions"></a>

ロールを作成し、このロールに Amazon Personalize のリソースへのアクセス権を与えたら、以下を行います。

1.  Amazon Personalize サービスロールの信頼ポリシーを変更して、[混乱した代理問題](cross-service-confused-deputy-prevention.md)を防ぎましょう。信頼関係ポリシーの例については、「[サービス間での不分別な代理処理の防止](cross-service-confused-deputy-prevention.md)」を参照してください。ロールの信頼ポリシーを変更する方法については、「[ロールの変更](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)」を参照してください。

1.  ( AWS Key Management Service AWS KMS) を暗号化に使用する場合は、Amazon Personalize と Amazon Personalize IAM サービスロールにキーを使用するアクセス許可を付与する必要があります。詳細については、「[AWS KMS キーを使用するためのアクセス許可を Amazon Personalize に付与する](granting-personalize-key-access.md)」を参照してください。