本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向用户授予访问 Amazon Personalize 的权限
<a name="grant-user-permissions"></a>

 要向用户授予访问 Amazon Personalize 的权限，您需要创建一个 IAM 策略，以便授予访问 Amazon Personalize 资源的权限并将您的服务角色传递给 Amazon Personalize。然后，向您的用户、组或角色添加权限时使用该策略。

## 为您的用户创建新 IAM 策略
<a name="create-policy-for-users"></a>

创建一个 IAM 策略，该策略将向 Amazon Personalize 授予对您的 Amazon Personalize 资源的完全访问权限，并授予将您的服务角色（在[为 Amazon Personalize 创建 IAM 角色](set-up-required-permissions.md#set-up-create-role-with-permissions)中创建）传递给 Amazon Personalize 的 `PassRole` 权限。

**使用 JSON 策略编辑器创建策略**

1. 登录AWS 管理控制台并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在左侧的导航窗格中，选择**策略**。

   如果这是您首次选择**策略**，则会显示**欢迎访问托管式策略**页面。选择**开始使用**。

1. 在页面的顶部，选择**创建策略**。

1. 在**策略编辑器**部分，选择 **JSON** 选项。

1. 输入以下 JSON 策略文档：

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "personalize:*"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": "arn:aws:iam::123456789012:role/ServiceRoleName",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "personalize.amazonaws.com"
                   }
               }
           }
       ]
   }
   ```

1. 选择**下一步**。
**注意**  
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过，如果您进行更改或在**可视化**编辑器中选择**下一步**，IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息，请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。

1. 在**查看并创建**页面上，为您要创建的策略输入**策略名称**和**描述**（可选）。查看**此策略中定义的权限**以查看策略授予的权限。

1. 选择**创建策略**可保存新策略。

要仅授予在 Amazon Personalize 中执行任务所需的权限，请修改之前的策略，使其仅包含您的用户所需的操作。有关 Amazon Personalize 操作的完整列表，请参阅 [Amazon Personalize 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html)。

## 提供对 Amazon Personalize 的访问权限
<a name="attach-policy-to-user"></a>

当您向用户提供权限时，附加新的 IAM 策略。

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。