Buat peran IAM untuk Meja Kerja Uji - Fitur Lanjutan - Amazon Lex

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran IAM untuk Meja Kerja Uji - Fitur Lanjutan

Pengaturan izin untuk peran IAM meja kerja Uji

Bagian ini menunjukkan beberapa contoh kebijakan berbasis identitas AWS Identity and Access Management (IAM) untuk menerapkan kontrol akses hak istimewa paling rendah untuk izin Test Workbench.

  1. Kebijakan untuk Test Workbench untuk membaca file audio di S3 — Kebijakan ini memungkinkan Test Workbench untuk membaca file audio yang digunakan dalam set pengujian. Kebijakan di bawah ini harus dimodifikasi sesuai S3Path untuk memperbarui S3BucketName dan mengarahkannya ke lokasi Amazon S3 dari file audio dalam set pengujian.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Kebijakan untuk Test Workbench untuk membaca dan menulis set pengujian dan hasil ke dalam bucket Amazon S3 — Kebijakan ini memungkinkan Test Workbench menyimpan input dan hasil set pengujian. Kebijakan di bawah ini harus dimodifikasi untuk memperbarui S3BucketName ke Amazon S3 Bucket tempat data set uji akan disimpan. Test Workbench menyimpan data ini secara eksklusif di bucket Amazon S3 Anda dan bukan di infrastruktur Lex Service. Oleh karena itu Untuk alasan ini, Test Workbench memerlukan akses ke bucket Amazon S3 Anda agar berfungsi dengan baik.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Kebijakan untuk Meja Kerja Uji untuk membaca CloudWatch Log — Kebijakan ini memungkinkan Meja Kerja Uji menghasilkan set uji dari Log Teks Percakapan Lex yang disimpan di Log Amazon. CloudWatch Kebijakan di bawah ini harus dimodifikasi untuk memperbaruiRegion,AwsAccountId,LogGroupName.

  4. Kebijakan untuk Test Workbench untuk memanggil Lex Runtime — Kebijakan ini memungkinkan Test Workbench untuk menjalankan set pengujian terhadap bot Lex. Kebijakan di bawah ini harus dimodifikasi untuk memperbaruiRegion,AwsAccountId,BotId. Karena Test Workbench dapat menguji bot apa pun di lingkungan Lex Anda, Anda dapat mengganti sumber daya dengan “arn:aws:lex: Region ::bot-alias/*” AwsAccountId untuk memungkinkan akses Test Workbench ke semua bot Amazon Lex V2 di akun.

  5. (Opsional) Kebijakan untuk Test Workbench untuk mengenkripsi dan mendekripsi data set pengujian — Jika Test Workbench dikonfigurasi untuk menyimpan input set tes dan menghasilkan bucket Amazon S3 menggunakan kunci KMS yang dikelola pelanggan, Test Workbench akan memerlukan izin enkripsi dan dekripsi ke kunci KMS. Kebijakan di bawah ini harus dimodifikasi untuk memperbarui RegionAwsAccountId, dan KmsKeyId di KmsKeyId mana ID kunci KMS yang dikelola pelanggan.

  6. (Opsional) Kebijakan untuk Test Workbench untuk mendekripsi file audio — Jika file Audio disimpan dalam bucket S3 menggunakan kunci KMS yang dikelola pelanggan, Test Workbench akan memerlukan izin dekripsi ke kunci KMS. Kebijakan di bawah ini harus dimodifikasi untuk memperbarui RegionAwsAccountId, dan KmsKeyId di KmsKeyId mana ID kunci KMS yang dikelola pelanggan digunakan untuk mengenkripsi file audio.