Crea un ruolo IAM per Test Workbench - Funzioni avanzate - Amazon Lex

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un ruolo IAM per Test Workbench - Funzioni avanzate

Configurazione delle autorizzazioni per il ruolo IAM di Test workbench

Questa sezione mostra diversi esempi di policy basate sull'identità di AWS Identity and Access Management (IAM) per implementare controlli di accesso con privilegi minimi per le autorizzazioni di Test Workbench.

  1. Policy per Test Workbench per leggere i file audio in S3: questa politica consente a Test Workbench di leggere i file audio utilizzati nei set di test. La seguente politica dovrebbe essere modificata di conseguenza per aggiornarli S3BucketName e S3Path indirizzarli a una posizione Amazon S3 dei file audio in un set di test.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Policy per Test Workbench per leggere e scrivere set di test e risultati in un bucket Amazon S3: questa politica consente a Test Workbench di archiviare gli input e i risultati del set di test. La politica seguente deve essere modificata per l'aggiornamento S3BucketName al bucket Amazon S3 in cui verranno archiviati i dati del set di test. Test Workbench archivia questi dati esclusivamente nel tuo bucket Amazon S3 e non nell'infrastruttura Lex Service. Pertanto, per questo motivo, Test Workbench richiede l'accesso al tuo bucket Amazon S3 per funzionare correttamente.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Policy per la lettura dei CloudWatch log da parte di Test Workbench: questa politica consente a Test Workbench di generare set di test dai log di testo di Lex Conversation archiviati in Amazon Logs. CloudWatch La seguente politica deve essere modificata per essere aggiornata,. Region AwsAccountId LogGroupName

  4. Politica per la chiamata di Lex Runtime a Test Workbench: questa politica consente a Test Workbench di eseguire un set di test sui bot Lex. La seguente politica deve essere modificata per aggiornareRegion,,. AwsAccountId BotId Poiché Test Workbench può testare qualsiasi bot nel tuo ambiente Lex, puoi sostituire la risorsa con «arn:aws:lex: Region :bot-alias/*» AwsAccountId per consentire a Test Workbench l'accesso a tutti i bot Amazon Lex V2 di un account.

  5. (Facoltativo) Politica per Test Workbench per crittografare e decrittografare i dati del set di test: se Test Workbench è configurato per archiviare gli input e i risultati del set di test nei bucket Amazon S3 utilizzando una chiave KMS gestita dal cliente, Test Workbench avrà bisogno dell'autorizzazione di crittografia e decrittografia per la chiave KMS. La seguente policy deve essere modificata per aggiornarla e dov'è l'ID della chiave KMS gestita dal cliente. Region AwsAccountId KmsKeyId KmsKeyId

  6. (Facoltativo) Politica per Test Workbench per decrittografare i file audio: se i file audio sono archiviati nel bucket S3 utilizzando una chiave KMS gestita dal cliente, Test Workbench avrà bisogno dell'autorizzazione alla decrittografia delle chiavi KMS. La seguente politica deve essere modificata per Region aggiornarla e KmsKeyId KmsKeyId dov'è l'ID della AwsAccountId chiave KMS gestita dal cliente utilizzata per crittografare i file audio.