本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 向 Amazon Personalize 授予访问资源的权限
要向 Amazon Personalize 授予访问您资源的权限,您需要创建一个 IAM 策略,以便为 Amazon Personalize 提供对您的 Amazon Personalize 资源的完全访问权限。或者您可以使用 AWS 托管`AmazonPersonalizeFullAccess`策略。 `AmazonPersonalizeFullAccess`提供的权限超出了必要的范围。我们建议创建一个仅授予必要权限的新 IAM 策略。有关托管策略的更多信息,请参阅[AWS 托管策略](security_iam_id-based-policy-examples.md#using-managed-policies)。
创建策略之后,为 Amazon Personalize 创建一个 IAM 角色并向其附加新策略。
**Topics**
+ [为 Amazon Personalize 创建新 IAM 策略](#create-role-policy)
+ [为 Amazon Personalize 创建 IAM 角色](#set-up-create-role-with-permissions)
## 为 Amazon Personalize 创建新 IAM 策略
创建一个 IAM 策略,以便为 Amazon Personalize 提供对 Amazon Personalize 资源的完全访问权限。
**使用 JSON 策略编辑器创建策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**策略**。
如果这是您首次选择**策略**,则会显示**欢迎访问托管式策略**页面。选择**开始使用**。
1. 在页面的顶部,选择**创建策略**。
1. 在**策略编辑器**部分,选择 **JSON** 选项。
1. 输入以下 JSON 策略文档:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
}
]
}
```
1. 选择**下一步**。
**注意**
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过,如果您进行更改或在**可视化**编辑器中选择**下一步**,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅*《IAM 用户指南》*中的[调整策略结构](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**查看并创建**页面上,为您要创建的策略输入**策略名称**和**描述**(可选)。查看**此策略中定义的权限**以查看策略授予的权限。
1. 选择**创建策略**可保存新策略。
## 为 Amazon Personalize 创建 IAM 角色
要使用 Amazon Personalize,您必须为 Amazon Personalize 创建 AWS Identity and Access Management 服务角色。服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。为 Amazon Personalize 创建服务角色后,根据需要向该角色授予[其他服务角色权限](#additional-service-role-permissions)中列出的其他权限。
**为 Personalize 创建服务角色(IAM 控制台)**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**,然后选择**创建角色**。
1. 对于 **Trusted entity type**(可信实体类型),选择 **AWS 服务**。
1. 对于**服务或使用案例**,选择 **Personalize**,然后选择**个性化**应用场景。
1. 选择**下一步**。
1. 选择您在前一个过程中创建的策略。
1. (可选)设置[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。这是一项高级功能,可用于服务角色,但不可用于服务相关角色。
1. 打开**设置权限边界**部分,然后选择**使用权限边界控制最大角色权限**。
IAM 包含您账户中的 AWS 托管策略和客户托管策略列表。
1. 选择要用于权限边界的策略。
1. 选择**下一步**。
1. 输入有助于识别角色的作用的角色名称或者角色名称后缀。
**重要**
命名角色时,请注意以下事项:
角色名称在您的内部必须是唯一的 AWS 账户,并且不能因大小写而变得唯一。
例如,不要同时创建名为 **PRODROLE** 和 **prodrole** 的角色。当角色名称在策略中使用或者作为 ARN 的一部分时,角色名称区分大小写,但是当角色名称在控制台中向客户显示时(例如,在登录期间),角色名称不区分大小写。
创建角色后,您无法编辑该角色的名称,因为其他实体可能会引用该角色。
1. (可选)对于**描述**,输入角色的描述。
1. (可选)要编辑角色的使用案例和权限,请在**步骤 1:选择可信实体**或**步骤 2:添加权限**部分中选择**编辑**。
1. (可选)为了帮助识别、组织或搜索角色,请以键值对形式添加标签。有关在 IAM 中使用标签的更多信息,请参阅 *IAM 用户指南*中的[AWS Identity and Access Management 资源标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 检查该角色,然后选择**创建角色**。
为 Amazon Personalize 创建角色后,您就可以向其授予[访问您的 Amazon S3 存储桶](granting-personalize-s3-access.md)和[任何 AWS KMS 密钥](granting-personalize-key-access.md)的权限了。
### 其他服务角色权限
在创建角色并向该角色授予访问 Amazon Personalize 中资源的权限后,执行以下操作:
1. 修改 Amazon Personalize 服务角色的信任策略,以防出现[混淆代理人问题](cross-service-confused-deputy-prevention.md)。有关信任关系策略示例,请参阅[防止跨服务混淆座席](cross-service-confused-deputy-prevention.md)。有关修改角色信任策略的信息,请参阅[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
1. 如果您使用 AWS Key Management Service (AWS KMS) 进行加密,则必须向 Amazon Personalize 和 Amazon Personalize IAM 服务角色授予使用您的密钥的权限。有关更多信息,请参阅 [授予 Amazon Personalize 使用您的 AWS KMS 密钥的权限](granting-personalize-key-access.md)。