Cree un rol de IAM para el banco de trabajo de pruebas: funciones avanzadas - Amazon Lex

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un rol de IAM para el banco de trabajo de pruebas: funciones avanzadas

Configuración de permisos para el rol de IAM de Test Workbench

En esta sección se muestran varios ejemplos de políticas basadas en la identidad de AWS Identity and Access Management (IAM) para implementar controles de acceso con privilegios mínimos para los permisos de Test Workbench.

  1. Política para que Test Workbench lea archivos de audio en S3: esta política permite a Test Workbench leer los archivos de audio que se utilizan en los sets de prueba. La siguiente política debe modificarse en consecuencia para actualizarlos S3BucketName y S3Path dirigirlos a una ubicación de Amazon S3 de los archivos de audio de un conjunto de prueba.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Política para que Test Workbench lea y escriba conjuntos de pruebas y resultados en un bucket de Amazon S3: esta política permite a Test Workbench almacenar las entradas y los resultados del conjunto de pruebas. La siguiente política debe modificarse para actualizarla S3BucketName al bucket de Amazon S3 donde se almacenarán los datos del conjunto de pruebas. Test Workbench almacena estos datos exclusivamente en su bucket de Amazon S3 y no en la infraestructura de Lex Service. Por lo tanto, por este motivo, Test Workbench necesita acceso a su bucket de Amazon S3 para funcionar correctamente.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Política para que Test Workbench lea CloudWatch los registros: esta política permite a Test Workbench generar conjuntos de pruebas a partir de los registros de texto de Lex Conversation almacenados en Amazon Logs. CloudWatch La siguiente política debe modificarse para actualizar,,. Region AwsAccountId LogGroupName

  4. Política para que Test Workbench llame a Lex Runtime: esta política permite a Test Workbench ejecutar un conjunto de pruebas contra bots de Lex. La siguiente política debe modificarse para actualizarRegion,,AwsAccountId. BotId Como Test Workbench puede probar cualquier bot de su entorno de Lex, puede sustituir el recurso por «arn:aws:lex: Region ::bot-alias/*» para AwsAccountId permitir que Test Workbench acceda a todos los bots de Amazon Lex V2 de una cuenta.

  5. (Opcional) Política para que Test Workbench cifre y descifre los datos del conjunto de pruebas: si Test Workbench está configurado para almacenar las entradas y los resultados del conjunto de pruebas en depósitos de Amazon S3 mediante una clave de KMS administrada por el cliente, Test Workbench necesitará permisos de cifrado y descifrado de la clave de KMS. La siguiente política debe modificarse para actualizarlaRegion, y ¿KmsKeyIddónde KmsKeyId está el ID de la clave de AwsAccountId KMS administrada por el cliente?

  6. Política (opcional) para que Test Workbench descifre los archivos de audio: si los archivos de audio se almacenan en el bucket de S3 con una clave KMS administrada por el cliente, Test Workbench necesitará un permiso para descifrar las claves de KMS. Se debe modificar la siguiente política para actualizarla RegionAwsAccountId, y KmsKeyId ¿dónde KmsKeyId está el ID de la clave KMS administrada por el cliente que se utiliza para cifrar los archivos de audio?