翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS KMS キーを使用するためのアクセス許可を Amazon Personalize に付与する
<a name="granting-personalize-key-access"></a>

 Amazon Personalize コンソールまたは APIs を使用するときに AWS Key Management Service (AWS KMS) キーを指定する場合、または AWS KMS キーを使用して Amazon S3 バケットを暗号化する場合は、キーを使用するアクセス許可を Amazon Personalize に付与する必要があります。アクセス許可を付与するには、サービスロールにアタッチされた AWS KMS キーポリシー*と* IAM ポリシーが、キーを使用するアクセス許可を Amazon Personalize に付与する必要があります。これは Amazon Personalize で以下を作成する場合に適用されます。
+ データセットグループ
+ データセットのインポートジョブ ( AWS KMS キーポリシーのみがアクセス許可を付与する必要があります)
+ データセットのエクスポートジョブ
+ バッチ推論ジョブ
+ バッチセグメントジョブ
+ メトリクス属性

 AWS KMS キーポリシーと IAM ポリシーは、次のアクションのアクセス許可を付与する必要があります。
+  Decrypt 
+  GenerateDataKey 
+  DescribeKey 
+  CreateGrant (キーポリシーでのみ必要) 
+  ListGrants 

リソースの作成後に AWS KMS キーアクセス許可を取り消すと、フィルターの作成時やレコメンデーションの取得時に問題が発生する可能性があります。 AWS KMS ポリシーの詳細については、 *AWS Key Management Service デベロッパーガイド*の[「KMS AWS でのキーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。IAM ポリシーの作成については、「**IAM ユーザーガイド」の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。IAM アイデンティティへのポリシーのアタッチに関する詳細については、「**IAM ユーザーガイド」の「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

**Topics**
+ [キーポリシーの例](#export-job-key-policy)
+ [IAM ポリシーの例](#export-job-iam-policy)

## キーポリシーの例
<a name="export-job-key-policy"></a>

以下のキーポリシーの例では、Amazon Personalize とお客様のロールに、上記の Amazon Personalize オペレーションに必要な最低限のアクセス権限を付与しています。データセットグループの作成時にキーを指定し、データセットからデータをエクスポートする場合は、キーポリシーに `GenerateDataKeyWithoutPlaintext` アクションを含める必要があります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-policy-123",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/<personalize-role-name>",
                "Service": "personalize.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## IAM ポリシーの例
<a name="export-job-iam-policy"></a>

 次の IAM ポリシーの例では、前の Amazon Personalize オペレーションに必要な最小限の AWS KMS アクセス許可をロールに付与します。データセットのインポートジョブでは、 AWS KMS キーポリシーのみがアクセス許可を付与する必要があります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}
```

------