本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定許可
您必須授予使用者、群組或角色與 Amazon Personalize 資源互動的許可。此外,您必須授予 Amazon Personalize 許可,以存取您在 Amazon Personalize 中建立的資源,並代表您執行任務。
**若要設定 許可**
1. 授予 Amazon Personalize 存取 Amazon Personalize 中 資源的許可,以及代表您執行任務的許可。請參閱 [授予 Amazon Personalize 存取 資源的許可](set-up-required-permissions.md)。
1. 授予您的使用者、群組或角色與 Amazon Personalize 資源互動的許可,並將您的服務角色傳遞給 Amazon Personalize。請參閱 [授予使用者存取 Amazon Personalize 的許可](grant-user-permissions.md)。
1. 修改 Amazon Personalize 服務角色的信任政策,以防止[混淆代理人問題](cross-service-confused-deputy-prevention.md)。如需信任關係政策範例,請參閱 [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)。如需修改角色信任政策的資訊,請參閱[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
1. 如果您使用 AWS Key Management Service (AWS KMS) 進行加密,則必須授予 Amazon Personalize 和 Amazon Personalize IAM 服務角色許可,才能使用您的金鑰。如需詳細資訊,請參閱[授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰](granting-personalize-key-access.md)。
1. 完成中的步驟[讓 Amazon Personalize 存取 Amazon S3 資源](granting-personalize-s3-access.md)以使用 IAM 和 Amazon S3 儲存貯體政策,讓 Amazon Personalize 存取您的 Amazon S3 資源。
**Topics**
+ [授予 Amazon Personalize 存取 資源的許可](set-up-required-permissions.md)
+ [授予使用者存取 Amazon Personalize 的許可](grant-user-permissions.md)
+ [讓 Amazon Personalize 存取 Amazon S3 資源](granting-personalize-s3-access.md)
+ [授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰](granting-personalize-key-access.md)
# 授予 Amazon Personalize 存取 資源的許可
若要授予 Amazon Personalize 存取資源的許可,您可以建立 IAM 政策,讓 Amazon Personalize 能夠完整存取您的 Amazon Personalize 資源。或者,您可以使用 AWS 受管`AmazonPersonalizeFullAccess`政策。 `AmazonPersonalizeFullAccess`提供比必要更多的許可。建議您建立新的 IAM 政策,只授予必要的許可。如需受管政策的詳細資訊,請參閱 [AWS 受管政策](security_iam_id-based-policy-examples.md#using-managed-policies)。
建立政策後,您可以為 Amazon Personalize 建立 IAM 角色,並將新政策連接至該角色。
**Topics**
+ [為 Amazon Personalize 建立新的 IAM 政策](#create-role-policy)
+ [為 Amazon Personalize 建立 IAM 角色](#set-up-create-role-with-permissions)
## 為 Amazon Personalize 建立新的 IAM 政策
建立 IAM 政策,讓 Amazon Personalize 能夠完整存取您的 Amazon Personalize 資源。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入下列 JSON 政策文件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
}
]
}
```
1. 選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
## 為 Amazon Personalize 建立 IAM 角色
若要使用 Amazon Personalize,您必須為 Amazon Personalize 建立 AWS Identity and Access Management 服務角色。服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。為 Amazon Personalize 建立服務角色之後,請[其他服務角色許可](#additional-service-role-permissions)視需要授予 中列出的角色額外許可。
**建立個人化服務角色 (IAM 主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。
1. 針對**服務或使用案例**,選擇**個人化**,然後選擇**個人化**使用案例。
1. 選擇**下一步**。
1. 選擇您在上一個程序中建立的政策。
1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能,可用於服務角色,而不是服務連結的角色。
1. 開啟**設定許可界限**區段,然後選擇**使用許可界限來控制角色許可上限**。
IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。
1. 選取用於許可界限的政策。
1. 選擇**下一步**。
1. 輸入角色名稱或角色名稱字尾,協助識別該角色的用途。
**重要**
當您命名角色時,請注意下列事項:
角色名稱在您的 中必須是唯一的 AWS 帳戶,而且無法依大小寫設為唯一。
例如,不要同時建立名為 **PRODROLE** 和 **prodrole** 的角色。當角色名稱用於政策或 ARN 的一部分時,角色名稱會區分大小寫,但是當角色名稱在主控台中顯示給客戶時,例如在登入過程中,角色名稱不會區分大小寫。
因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。
1. (選用) 在**說明**中,輸入角色的說明。
1. (選用) 若要編輯使用案例和角色許可,請在**步驟 1:選取受信任的實體**或者**步驟 2:新增許可**區段中選擇**編輯**。
1. (選用) 若要協助識別、組織或搜尋角色,請將標籤新增為索引鍵值對。如需在 IAM 中使用標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
為 Amazon Personalize 建立角色之後,您就可以將[存取權授予 Amazon S3 儲存貯體](granting-personalize-s3-access.md)和[任何 AWS KMS 金鑰](granting-personalize-key-access.md)。
### 其他服務角色許可
在您建立角色並授予其存取 Amazon Personalize 資源的許可後,請執行下列動作:
1. 修改 Amazon Personalize 服務角色的信任政策,以防止[混淆代理人問題](cross-service-confused-deputy-prevention.md)。如需信任關係政策範例,請參閱 [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)。如需修改角色信任政策的資訊,請參閱[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
1. 如果您使用 AWS Key Management Service (AWS KMS) 進行加密,則必須授予 Amazon Personalize 和 Amazon Personalize IAM 服務角色許可,才能使用您的金鑰。如需詳細資訊,請參閱[授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰](granting-personalize-key-access.md)。
# 授予使用者存取 Amazon Personalize 的許可
若要提供使用者存取 Amazon Personalize 的權限,您可以建立 IAM 政策,授予存取 Amazon Personalize 資源的許可,並將服務角色傳遞給 Amazon Personalize。然後,當您將許可新增至使用者、群組或角色時,使用該政策。
## 為您的使用者建立新的 IAM 政策
建立 IAM 政策,讓 Amazon Personalize 能夠完整存取您的 Amazon Personalize 資源和`PassRole`許可,將您的服務角色傳遞給 Amazon Personalize (在 中建立[為 Amazon Personalize 建立 IAM 角色](set-up-required-permissions.md#set-up-create-role-with-permissions))。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入下列 JSON 政策文件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::123456789012:role/ServiceRoleName",
"Condition": {
"StringEquals": {
"iam:PassedToService": "personalize.amazonaws.com"
}
}
}
]
}
```
1. 選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
若要僅授予在 Amazon Personalize 中執行任務所需的許可,請修改上述政策,以僅包含使用者所需的動作。如需 Amazon Personalize 動作的完整清單,請參閱 [Amazon Personalize 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpersonalize.html)。
## 提供 Amazon Personalize 的存取權
當您提供許可給使用者時,連接新的 IAM 政策。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
# 讓 Amazon Personalize 存取 Amazon S3 資源
若要讓 Amazon Personalize 存取您的 Amazon S3 儲存貯體,請執行下列動作:
1. 如果您尚未設定許可,請依照 中的步驟[設定許可](aws-personalize-set-up-permissions.md)設定許可,讓 Amazon Personalize 可以代表您存取 Amazon Personalize 中的資源。
1. 將政策連接至允許存取 Amazon S3 儲存貯體的 Amazon Personalize 服務角色 (請參閱 [為 Amazon Personalize 建立 IAM 角色](set-up-required-permissions.md#set-up-create-role-with-permissions))。如需詳細資訊,請參閱[將 Amazon S3 政策連接至您的 Amazon Personalize 服務角色](#attaching-s3-policy-to-role)。
1. 將儲存貯體政策連接至包含您的資料檔案的 Amazon S3 儲存貯體,以便 Amazon Personalize 可以存取它們。如需詳細資訊,請參閱[將 Amazon Personalize 存取政策連接至您的 Amazon S3 儲存貯體](#attach-bucket-policy)。
1. 如果您使用 AWS Key Management Service (AWS KMS) 進行加密,則必須授予 Amazon Personalize 和 Amazon Personalize IAM 服務角色許可,才能使用您的金鑰。如需詳細資訊,請參閱[授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰](granting-personalize-key-access.md)。
**注意**
由於 Amazon Personalize 不會與 AWS VPCs通訊,因此 Amazon Personalize 無法與僅允許 VPC 存取的 Amazon S3 儲存貯體互動。
**Topics**
+ [將 Amazon S3 政策連接至您的 Amazon Personalize 服務角色](#attaching-s3-policy-to-role)
+ [將 Amazon Personalize 存取政策連接至您的 Amazon S3 儲存貯體](#attach-bucket-policy)
## 將 Amazon S3 政策連接至您的 Amazon Personalize 服務角色
若要將 Amazon S3 政策連接至您的 Amazon Personalize 角色,請執行下列動作:
1. 登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在導覽窗格中,選擇 **Policies (政策)**,並選擇 **Create policy (建立政策)**。
1. 如下所示,選擇 JSON 標籤並更新政策。用您的儲存貯體名稱取代 `amzn-s3-demo-bucket`。您可以針對資料集匯入任務或資料刪除任務使用以下政策。如果您使用批次工作流程或建立資料集匯出任務,Amazon Personalize 需要額外的許可。請參閱 [批次工作流程的服務角色政策](#role-policy-for-batch-workflows) 或 [匯出資料集的 Amazon S3 儲存貯體政策](#bucket-policy-for-export)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. 選擇下**一步:標籤**。選擇性地新增任何標籤,然後選擇**檢閱**。
1. 為政策命名。
1. (選用) 針對**描述**,輸入描述此政策的短句,例如: **Allow Amazon Personalize to access its Amazon S3 bucket.**
1. 選擇**建立政策**。
1. 在導覽窗格中,選擇**角色**,然後選擇您為 Amazon Personalize 建立的角色。請參閱 [為 Amazon Personalize 建立 IAM 角色](set-up-required-permissions.md#set-up-create-role-with-permissions)。
1. 針對**許可**,選擇**連接政策**。
1. 若要在清單中顯示政策,請在 **Filter policies (篩選政策)** 篩選條件方塊中輸入政策名稱的一部分。
1. 選擇您在此程序中稍早建立的政策旁的核取方塊。
1. 選擇**連接政策**。
在您的角色準備好與 Amazon Personalize 搭配使用之前,您還必須將儲存貯體政策連接至包含資料的 Amazon S3 儲存貯體。請參閱 [將 Amazon Personalize 存取政策連接至您的 Amazon S3 儲存貯體](#attach-bucket-policy)。
### 批次工作流程的服務角色政策
若要完成批次工作,Amazon Personalize 需要存取檔案並將其新增至 Amazon S3 儲存貯體的許可。請依照上述步驟,將下列政策連接至您的 Amazon Personalize 角色。用您的儲存貯體名稱取代 `amzn-s3-demo-bucket`。如需批次工作流程的詳細資訊,請參閱 [取得批次項目建議](getting-batch-recommendations.md)或 [取得批次使用者區段](getting-user-segments.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### 匯出資料集的服務角色政策
若要匯出資料集,Amazon Personalize 服務角色需要許可,才能在 Amazon S3 儲存貯體上使用 `PutObject`和 `ListBucket`動作。下列範例政策會授予 Amazon Personalize `PutObject`和 `ListBucket` 許可。`amzn-s3-demo-bucket` 將 取代為儲存貯體的名稱,並將政策連接至 Amazon Personalize 的服務角色。如需將政策連接至服務角色的詳細資訊,請參閱 [將 Amazon S3 政策連接至您的 Amazon Personalize 服務角色](#attaching-s3-policy-to-role)。
```
{
"Version": "2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
## 將 Amazon Personalize 存取政策連接至您的 Amazon S3 儲存貯體
Amazon Personalize 需要存取 S3 儲存貯體的許可。您可以針對資料集匯入任務或資料刪除任務使用以下政策。用您的儲存貯體名稱取代 `amzn-s3-demo-bucket`。如需批次工作流程,請參閱 [批次工作流程的 Amazon S3 儲存貯體政策](#bucket-policy-for-batch-workflows)。
如需 Amazon S3 儲存貯體政策的詳細資訊,請參閱[如何新增 S3 儲存貯體政策?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### 批次工作流程的 Amazon S3 儲存貯體政策
對於批次工作流程,Amazon Personalize 需要存取檔案並將其新增至 Amazon S3 儲存貯體的許可。將下列政策連接至您的儲存貯體。用您的儲存貯體名稱取代 `amzn-s3-demo-bucket`。
如需將 Amazon S3 儲存貯體政策新增至儲存貯體的詳細資訊,請參閱[如何新增 S3 儲存貯體政策?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)。如需批次工作流程的詳細資訊,請參閱 [取得批次項目建議](getting-batch-recommendations.md)或 [取得批次使用者區段](getting-user-segments.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
### 匯出資料集的 Amazon S3 儲存貯體政策
若要匯出資料集,Amazon Personalize 需要在您的 Amazon S3 儲存貯體上使用 `PutObject`和 `ListBucket`動作的許可。下列範例政策會授予 Amazon Personalize 原則`PutObject`和`ListBucket`許可。`amzn-s3-demo-bucket` 將 取代為儲存貯體的名稱,並將政策連接至儲存貯體。如需將 Amazon S3 儲存貯體政策新增至儲存貯體的資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的[如何新增 S3 儲存貯體政策?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)。
```
{
"Version": "2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
# 授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰
如果您在使用 Amazon Personalize 主控台或 APIs 時指定 a AWS Key Management Service (AWS KMS) 金鑰,或者如果您使用 AWS KMS 金鑰來加密 Amazon S3 儲存貯體,則必須授予 Amazon Personalize 使用金鑰的許可。若要授予許可,連接至服務角色的 AWS KMS 金鑰政策和 ** IAM 政策必須授予 Amazon Personalize 許可,才能使用您的金鑰。這適用於在 Amazon Personalize 中建立下列項目。
+ 資料集群組
+ 資料集匯入任務 (只有 AWS KMS 金鑰政策必須授予許可)
+ 資料集匯出任務
+ 批次推論任務
+ 批次區段任務
+ 指標屬性
您的 AWS KMS 金鑰政策和 IAM 政策必須授予下列動作的許可:
+ 解密
+ GenerateDataKey
+ DescribeKey
+ CreateGrant (僅在金鑰政策中需要)
+ ListGrants
建立資源後撤銷 AWS KMS 金鑰許可可能會導致建立篩選條件或取得建議時發生問題。如需 AWS KMS 政策的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[在 AWS KMS 中使用金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。如需建立 IAM 政策的資訊,請參閱《[IAM 使用者指南》中的建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **如需將 IAM 政策連接至角色的資訊,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
**Topics**
+ [金鑰政策範例](#export-job-key-policy)
+ [IAM 政策範例](#export-job-iam-policy)
## 金鑰政策範例
下列金鑰政策範例授予 Amazon Personalize 和您的角色上述 Amazon Personalize 操作的最低許可。如果您在建立資料集群組時指定金鑰,並想要從資料集匯出資料,則金鑰政策必須包含 `GenerateDataKeyWithoutPlaintext`動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-policy-123",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/",
"Service": "personalize.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## IAM 政策範例
下列 IAM 政策範例會授予角色上述 Amazon Personalize 操作所需的最低 AWS KMS 許可。對於資料集匯入任務,只有 AWS KMS 金鑰政策需要授予許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------