Création d'un rôle IAM pour le banc de test - Fonctionnalités avancées - Amazon Lex

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle IAM pour le banc de test - Fonctionnalités avancées

Configuration des autorisations pour le rôle IAM de Test Workbench

Cette section présente plusieurs exemples de politiques basées sur l'identité AWS Identity and Access Management (IAM) pour implémenter des contrôles d'accès basés sur le moindre privilège pour les autorisations Test Workbench.

  1. Politique permettant à Test Workbench de lire les fichiers audio dans S3 — Cette politique permet à Test Workbench de lire les fichiers audio utilisés dans les ensembles de test. La politique ci-dessous doit être modifiée en conséquence afin de les mettre S3Path à jour S3BucketName et de les pointer vers un emplacement Amazon S3 des fichiers audio d'un set de test.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Politique permettant à Test Workbench de lire et d'écrire les ensembles de tests et les résultats dans un compartiment Amazon S3 — Cette politique permet à Test Workbench de stocker les entrées et les résultats des ensembles de tests. La politique ci-dessous doit être modifiée pour être mise à jour S3BucketName vers le compartiment Amazon S3 dans lequel les données des ensembles de tests seront stockées. Test Workbench stocke ces données exclusivement dans votre compartiment Amazon S3 et non dans l'infrastructure Lex Service. C'est pourquoi Test Workbench a besoin d'accéder à votre compartiment Amazon S3 pour fonctionner correctement.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Politique relative à la lecture des CloudWatch journaux par Test Workbench : cette politique permet à Test Workbench de générer des ensembles de tests à partir des journaux de texte Lex Conversation stockés dans Amazon Logs. CloudWatch La politique ci-dessous doit être modifiée pour mettre à jourRegion,AwsAccountId,LogGroupName.

  4. Politique permettant à Test Workbench d'appeler Lex Runtime : cette politique permet à Test Workbench d'exécuter un ensemble de tests contre les robots Lex. La politique ci-dessous doit être modifiée pour mettre à jourRegion,AwsAccountId,BotId. Comme Test Workbench peut tester n'importe quel bot de votre environnement Lex, vous pouvez remplacer la ressource par « arn:aws:lex : Region ::bot-alias/* » pour AwsAccountId permettre à Test Workbench d'accéder à tous les robots Amazon Lex V2 d'un compte.

  5. (Facultatif) Politique régissant le chiffrement et le déchiffrement des données des ensembles de tests : si Test Workbench est configuré pour stocker les entrées et les résultats des ensembles de tests dans des compartiments Amazon S3 à l'aide d'une clé KMS gérée par le client, Test Workbench aura besoin des autorisations de chiffrement et de déchiffrement de la clé KMS. La politique ci-dessous doit être modifiée pour être mise à jour RegionAwsAccountId, et KmsKeyId où se KmsKeyId trouve l'ID de la clé KMS gérée par le client ?

  6. (Facultatif) Politique de déchiffrement des fichiers audio pour Test Workbench — Si les fichiers audio sont stockés dans le compartiment S3 à l'aide d'une clé KMS gérée par le client, Test Workbench aura besoin d'une autorisation de déchiffrement des clés KMS. La politique ci-dessous doit être modifiée pour être mise à jour RegionAwsAccountId, et KmsKeyId où se KmsKeyId trouve l'ID de la clé KMS gérée par le client utilisée pour chiffrer les fichiers audio ?