기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Personalize에 AWS KMS 키 사용 권한 부여
<a name="granting-personalize-key-access"></a>

 Personalize 콘솔 또는 APIs를 사용할 때 AWS Key Management Service (AWS KMS) 키를 지정하거나 AWS KMS 키를 사용하여 Amazon S3 버킷을 암호화하는 경우 Personalize에 키 사용 권한을 부여해야 합니다. 권한을 부여하려면 서비스 역할에 연결된 AWS KMS 키 정책 *및* IAM 정책이 Personalize에 키를 사용할 수 있는 권한을 부여해야 합니다. 이는 Personalize에서 다음을 생성하는 경우에 적용됩니다.
+ 데이터세트 그룹
+ 데이터 세트 가져오기 작업( AWS KMS 키 정책만 권한을 부여해야 함)
+ 데이터세트 내보내기 작업
+ 배치 추론 작업
+ 배치 세그먼트 작업
+ 지표 어트리뷰션

 AWS KMS 키 정책 및 IAM 정책은 다음 작업에 대한 권한을 부여해야 합니다.
+  Decrypt 
+  GenerateDataKey 
+  DescribeKey 
+  CreateGrant(키 정책에만 필요) 
+  ListGrants 

리소스를 생성한 후 AWS KMS 키 권한을 취소하면 필터를 생성하거나 추천을 받을 때 문제가 발생할 수 있습니다. AWS KMS 정책에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS에서 키 정책 사용을](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요. IAM 정책 생성에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) 단원을 참조하세요.** 역할에 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거 단원을 참조하세요.[https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)**

**Topics**
+ [예제 키 정책](#export-job-key-policy)
+ [예제 IAM 정책](#export-job-iam-policy)

## 예제 키 정책
<a name="export-job-key-policy"></a>

다음 예제 키 정책에서는 Personalize와 사용자 역할에 이전 Personalize 작업에 대한 최소한의 권한을 부여합니다. 데이터세트 그룹을 생성할 때 키를 지정하고 데이터세트에서 데이터를 내보내려는 경우 키 정책에 `GenerateDataKeyWithoutPlaintext`작업이 포함되어야 합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-policy-123",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/<personalize-role-name>",
                "Service": "personalize.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 예제 IAM 정책
<a name="export-job-iam-policy"></a>

 다음 IAM 정책 예제는 역할에 이전 Amazon Personalize 작업에 필요한 최소 AWS KMS 권한을 부여합니다. 데이터 세트 가져오기 작업의 경우 AWS KMS 키 정책만 권한을 부여하면 됩니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}
```

------