Erstellen Sie eine IAM-Rolle für die Test Workbench — Erweiterte Funktionen - Amazon Lex

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine IAM-Rolle für die Test Workbench — Erweiterte Funktionen

Einrichtung von Berechtigungen für die IAM-Rolle Test Workbench

In diesem Abschnitt werden mehrere Beispiele für identitätsbasierte Richtlinien von AWS Identity and Access Management (IAM) zur Implementierung von Zugriffskontrollen mit geringsten Rechten für Test Workbench-Berechtigungen gezeigt.

  1. Richtlinie für Test Workbench zum Lesen von Audiodateien in S3 — Diese Richtlinie ermöglicht es Test Workbench, Audiodateien zu lesen, die in den Testsätzen verwendet werden. Die folgende Richtlinie sollte entsprechend geändert werden, um sie S3Path zu aktualisieren S3BucketName und sie auf einen Amazon S3 S3-Speicherort der Audiodateien in einem Testsatz zu verweisen.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Richtlinie für Test Workbench zum Lesen und Schreiben von Testsätzen und Ergebnissen in einen Amazon S3 S3-Bucket — Diese Richtlinie ermöglicht es Test Workbench, die Eingaben und Ergebnisse der Testsätze zu speichern. Die folgende Richtlinie sollte geändert werden, um sie auf den Amazon S3 S3-Bucket S3BucketName zu aktualisieren, in dem Testsatzdaten gespeichert werden. Test Workbench speichert diese Daten ausschließlich in Ihrem Amazon S3 S3-Bucket und nicht in der Lex Service-Infrastruktur. Aus diesem Grund benötigt Test Workbench Zugriff auf Ihren Amazon S3 S3-Bucket, um ordnungsgemäß zu funktionieren.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Richtlinie für das Lesen von CloudWatch Protokollen durch Test Workbench — Diese Richtlinie ermöglicht es Test Workbench, Testsätze aus Lex Conversation-Textprotokollen zu generieren, die in Amazon Logs gespeichert sind. CloudWatch Die folgende Richtlinie sollte geändert werden, um sie zu aktualisieren,. Region AwsAccountId LogGroupName

  4. Richtlinie für den Aufruf von Lex Runtime durch Test Workbench — Diese Richtlinie ermöglicht es Test Workbench, einen Testsatz gegen Lex-Bots auszuführen. Die folgende Richtlinie sollte geändert werden, umRegion,, AwsAccountId zu aktualisieren. BotId Da Test Workbench jeden Bot in Ihrer Lex-Umgebung testen kann, können Sie die Ressource durch „arn:aws:lex: Region ::bot-alias/*AwsAccountId“ ersetzen, um Test Workbench Zugriff auf alle Amazon Lex V2-Bots in einem Konto zu gewähren.

  5. (Optional) Richtlinie für Test Workbench zum Verschlüsseln und Entschlüsseln von Testsatzdaten — Wenn Test Workbench so konfiguriert ist, dass Testset-Eingaben und -Ergebnisse mithilfe eines vom Kunden verwalteten KMS-Schlüssels in Amazon S3 S3-Buckets gespeichert werden, benötigt Test Workbench sowohl Verschlüsselungs- als auch Entschlüsselungsberechtigungen für den KMS-Schlüssel. Die folgende Richtlinie sollte zur Aktualisierung geändert werdenRegion, und KmsKeyId wo KmsKeyId ist die ID des vom Kunden AwsAccountId verwalteten KMS-Schlüssels?

  6. (Optional) Richtlinie für Test Workbench zum Entschlüsseln von Audiodateien — Wenn Audiodateien mithilfe eines vom Kunden verwalteten KMS-Schlüssels im S3-Bucket gespeichert werden, benötigt Test Workbench die Entschlüsselungsberechtigung für die KMS-Schlüssel. Die folgende Richtlinie sollte zur Aktualisierung geändert werden RegionAwsAccountId, und KmsKeyId wo KmsKeyId ist die ID des vom Kunden verwalteten KMS-Schlüssels, der zum Verschlüsseln der Audiodateien verwendet wird.