Test Workbench의 IAM 역할 생성 - 고급 기능

테스트 워크벤치 IAM 역할에 대한 권한 설정

이 섹션에서는 Test Workbench 권한에 대한 최소 권한 액세스 제어를 구현하기 위한 몇 가지 예제 AWS Identity and Access Management(IAM) 자격 증명 기반 정책을 보여줍니다.

1. S3에서 오디오 파일을 읽기 위한 Test Workbench 정책 - 이 정책을 통해 Test Workbench는 테스트 세트에 사용되는 오디오 파일을 읽을 수 있습니다. 테스트 세트에 있는 오디오 파일의 Amazon S3 위치를 가리키도록 S3BucketName 및 S3Path를 업데이트하려면 아래 정책을 적절히 수정해야 합니다.

   JSON

   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "TestWorkbenchS3AudioFilesReadOnly",
         "Effect": "Allow",
         "Action": [
           "s3:GetObject",
           "s3:GetObjectVersion"
         ],
         "Resource": [
           "arn:aws:s3:::S3BucketName/S3Path/*"
         ]
       }
     ]
   }
   

2. Test Workbench가 테스트 세트 및 결과를 읽고 Amazon S3 버킷에 쓰는 정책 - 이 정책을 통해 Test Workbench는 테스트 세트 입력 및 결과를 저장할 수 있습니다. 테스트 세트 데이터가 저장될 Amazon S3 버킷으로 S3BucketName을 업데이트하려면 아래 정책을 수정해야 합니다. Test Workbench는 이러한 데이터를 Lex Service 인프라가 아닌 Amazon S3 버킷에만 저장합니다. 따라서 Test Workbench가 제대로 작동하려면 Amazon S3 버킷에 액세스해야 합니다.

   JSON

   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "TestSetDataUploadWithEncryptionOnly",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": [
           "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
           "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
           "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
         ],
         "Condition": {
           "StringEquals": {
             "s3:x-amz-server-side-encryption": "aws:kms"
           }
         }
       },
       {
         "Sid": "TestSetDataGetObject",
         "Effect": "Allow",
         "Action": [
           "s3:GetObject",
           "s3:GetObjectVersion"
         ],
         "Resource": [
           "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
           "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
           "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
         ]
       },
       {
         "Sid": "TestSetListS3Objects",
         "Effect": "Allow",
         "Action": [
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::S3BucketName"
         ]
       }
     ]
   }
   

3. CloudWatch Logs를 읽기 위한 Test Workbench 정책 - 이 정책을 통해 Test Workbench는 Amazon CloudWatch Logs에 저장된 Lex 대화 텍스트 로그에서 테스트 세트를 생성할 수 있습니다. Region, AwsAccountId, LogGroupName을 업데이트하려면 아래 정책을 수정해야 합니다.

4. Lex 런타임을 직접 호출하기 위한 Test Workbench 정책 - 이 정책을 통해 Test Workbench는 Lex 봇에 대해 테스트 세트를 실행할 수 있습니다. Region, AwsAccountId, BotId를 업데이트하려면 아래 정책을 수정해야 합니다. Test Workbench는 Lex 환경의 모든 봇을 테스트할 수 있으므로 리소스를 'arn:aws:lex:Region:AwsAccountId:bot-alias/*'로 교체하여 계정의 모든 Amazon Lex V2 봇에 대한 Test Workbench 액세스를 허용할 수 있습니다.

5. (선택 사항) Test Workbench가 테스트 세트 데이터를 암호화하고 해독하는 정책 - Test Workbench가 고객 관리형 KMS 키를 사용하여 Amazon S3 버킷에 테스트 세트 입력 및 결과를 저장하도록 구성된 경우 Test Workbench에는 KMS 키에 대한 암호화 및 해독 권한이 모두 필요합니다. 아래 정책을 수정하여 Region, AwsAccountId 및 KmsKeyId를 업데이트해야 합니다. 여기서 KmsKeyId는 고객 관리형 KMS 키의 ID입니다.

6. (선택 사항) 오디오 파일 복호화를 위한 Test Workbench 정책 - 오디오 파일이 고객 관리형 KMS 키를 사용하여 S3 버킷에 저장되는 경우 Test Workbench는 KMS 키에 대한 복호화 권한이 필요합니다. 아래 정책을 수정하여 Region, AwsAccountId 및 KmsKeyId를 업데이트해야 합니다. 여기서 KmsKeyId는 오디오 파일을 암호화하는 데 사용되는 고객 관리형 KMS 키의 ID입니다.