Criar um perfil do IAM para a Bancada de testes: atributos avançados - Guia do desenvolvedor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um perfil do IAM para a Bancada de testes: atributos avançados

Configuração de permissão para o perfil do IAM da Bancada de testes

Esta seção mostra vários exemplos de políticas baseadas em identidade do AWS Identity and Access Management (IAM) para implementar controles de acesso com privilégios mínimos para permissões do Test Workbench.

  1. Política para que a Bancada de testes leia arquivos de áudio no S3: esta política permite que a Bancada de testes leia arquivos de áudio usados nos conjuntos de testes. A política abaixo deve ser modificada adequadamente para atualizá-las S3BucketName e S3Path direcioná-las para uma localização dos arquivos de áudio no Amazon S3 em um conjunto de teste.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Política para que a Bancada de testes leia e grave conjuntos de testes e resultados em um bucket do Amazon S3: esta política permite que a Bancada de testes armazene as entradas e os resultados do conjunto de testes. A política abaixo deve ser modificada para ser atualizada S3BucketName para o Amazon S3 Bucket, onde os dados do conjunto de teste serão armazenados. A Bancada de testes armazena exclusivamente esses dados no bucket do Amazon S3, e não na infraestrutura do Lex Service. Por esse motivo, a Bancada de testes requer acesso ao bucket do Amazon S3 para funcionar corretamente.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Política para que o Test Workbench leia CloudWatch registros — Essa política permite que o Test Workbench gere conjuntos de testes a partir de registros de texto de conversação do Lex armazenados no Amazon Logs. CloudWatch A política abaixo deve ser modificada para atualizarRegion,AwsAccountId,LogGroupName.

  4. Política para que a Bancada de testes chame o runtime do Lex: esta política permite que a Bancada de testes execute um conjunto de testes em relação aos bots do Lex. A política abaixo deve ser modificada para atualizarRegion,AwsAccountId,BotId. Como o Test Workbench pode testar qualquer bot em seu ambiente Lex, você pode substituir o recurso por “arn:aws:lex: Region ::bot-alias/*” AwsAccountId para permitir que o Test Workbench acesse todos os bots do Amazon Lex V2 em uma conta.

  5. (Opcional) Política da Bancada de testes para criptografar e descriptografar dados do conjunto de testes: se a Bancada de testes estiver configurada para armazenar entradas e resultados do conjunto de testes nos buckets do Amazon S3 usando uma chave KMS gerenciada pelo cliente, a Bancada de testes precisará de permissão de criptografia e descriptografia para a chave do KMS. A política abaixo deve ser modificada para ser atualizada RegionAwsAccountId, e KmsKeyId onde KmsKeyId está o ID da chave KMS gerenciada pelo cliente.

  6. (Opcional) Política da Bancada de testes para descriptografar arquivos de áudio: se os arquivos de áudio forem armazenados no bucket do S3 usando a chave do KMS gerenciada pelo cliente, a Bancada de testes precisará da permissão de descriptografia para as chaves do KMS. A política abaixo deve ser modificada para ser atualizada RegionAwsAccountId, e KmsKeyId onde KmsKeyId está o ID da chave KMS gerenciada pelo cliente usada para criptografar os arquivos de áudio.