Configuración de permisos - Amazon Personalize

Configuración de permisos

Para preparar los datos con Data Wrangler, debe configurar los siguientes permisos:

  • Crear un rol de servicio para Amazon Personalize: si aún no lo ha hecho, complete las instrucciones de Configuración de Amazon Personalize para crear un rol de servicio de IAM para Amazon Personalize. Este rol debe tener los permisos GetObject y ListBucket para los buckets de Amazon S3 que almacenan sus datos procesados. Y debe tener permiso para utilizar cualquier clave de AWS KMS.

    Para obtener información sobre la concesión de acceso a Amazon Personalize a sus buckets de Amazon S3, consulte Concesión de acceso a Amazon Personalize para los recursos de Amazon S3. Para obtener información sobre cómo conceder acceso a Amazon Personalize para sus claves de AWS KMS, consulte Concesión de permiso a Amazon Personalize para que utilice la clave AWS KMS.

  • Crear un usuario administrativo con permisos de SageMaker AI: el administrador debe tener acceso completo a SageMaker AI y debe poder crear un dominio de SageMaker AI. Para obtener más información, consulte Creación de un grupo y usuario administrativo en la Guía para desarrolladores de Amazon SageMaker AI.

  • Crear un rol de ejecución de SageMaker AI: cree un rol de ejecución de SageMaker AI con acceso a los recursos de SageMaker AI y a las operaciones de importación de datos de Amazon Personalize. El rol de ejecución de SageMaker AI debe tener la política AmazonSageMakerFullAccess asociada. Si necesita permisos de Data Wrangler más detallados, consulte Seguridad y permisos de Data Wrangler en la Guía para desarrolladores de Amazon SageMaker AI. Para obtener más información sobre los roles de SageMaker AI, consulte Roles de SageMaker AI.

    Para conceder acceso a las operaciones de importación de datos de Amazon Personalize, asocie la siguiente política de IAM al rol de ejecución de SageMaker AI. Esta política otorga los permisos necesarios para importar datos a Amazon Personalize y asociar una política a su bucket de Amazon S3. Y concede permisos de PassRole cuando el servicio es Amazon Personalize. Actualice el amzn-s3-demo-bucket de Amazon S3 con el nombre del bucket de Amazon S3 que desee usar como destino para sus datos con formato después de prepararlos con Data Wrangler.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:Create*",
                "personalize:List*",
                "personalize:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "personalize.amazonaws.com"
                }
            }
        }
    ]
}

    Para obtener más información sobre la creación de una política de IAM, consulte Crear políticas de IAM en la Guía del usuario de IAM. Para obtener información sobre cómo asociar una política de IAM a rol, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.