本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务
AWS Entity Resolution 数据匹配服务 使用工作流程作业角色来运行工作流程。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您没有CreateRole
权限,请让您的管理员创建该角色。
为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务
-
使用您的管理员账户登录 IAM 控制台。https://console.aws.amazon.com/iam/
-
在 Access management(访问管理)下,请选择 Roles(角色)。
您可以使用角色创建短期证书,建议使用此方法来提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
-
选择下一步。
-
对于添加权限,请选择创建策略。
此时会出现一个新选项卡。
-
将以下策略复制并粘贴到 JSON 编辑器中。
注意
以下示例策略支持读取相应数据资源(如 Amazon S3 和)所需的权限 AWS Glue。但是,您可能需要修改此策略,具体取决于您设置数据源的方式。
您可以在支持的 AWS 商业分区中使用来自任何区域的 AWS Glue 资源和底层 Amazon S3 资源,它们不必与位于同一区域 AWS Entity Resolution 数据匹配服务。 AWS Glue
如果您的数据源未加密或解密,则无需授予 AWS KMS 权限。
将每个
{{user input placeholder}}
替换为您自己的信息。aws-region
AWS 区域 你的资源。您可以使用 AWS Glue Amazon S3 和任何支持 AWS 区域 这些服务的商用 AWS KMS 资源。 &ExampleAWSAccountNo1;
你的 AWS 账户 身份证。 input-buckets
Amazon S3 存储桶,其中包含 AWS Entity Resolution 数据匹配服务
将从 AWS Glue 何处读取的底层数据对象。output-buckets
Amazon S3 存储桶 AWS Entity Resolution 数据匹配服务
将在其中生成输出数据。input-databases
AWS Glue AWS Entity Resolution 数据匹配服务
将从中读取的数据库。 -
(可选)如果输入的 Amazon S3 存储桶是使用客户的 KMS 密钥加密的,请添加以下内容:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
{{aws-region}}
:{{&ExampleAWSAccountNo1;}}
:key/{{inputKeys}}
" ] }将每个
{{user input placeholder}}
替换为您自己的信息。aws-region
AWS 区域 你的资源。您可以使用 AWS Glue Amazon S3 和任何支持 AWS 区域 这些服务的商用 AWS KMS 资源。 &ExampleAWSAccountNo1;
你的 AWS 账户 身份证。 inputKeys
中的托管密钥 AWS Key Management Service。如果您的输入源已加密,则 AWS Entity Resolution 数据匹配服务
必须使用您的密钥解密数据。 -
(可选)如果写入输出 Amazon S3 存储桶的数据需要加密,请添加以下内容:
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": [ "arn:aws:kms:
{{aws-region}}
:{{&ExampleAWSAccountNo1;}}
:key/{{outputKeys}}
" ] }将每个
{{user input placeholder}}
替换为您自己的信息。aws-region
AWS 区域 你的资源。您可以使用 AWS Glue Amazon S3 和任何支持 AWS 区域 这些服务的商用 AWS KMS 资源。 &ExampleAWSAccountNo1;
你的 AWS 账户 身份证。 outputKeys
中的托管密钥 AWS Key Management Service。如果您需要对输出源进行加密,则 AWS Entity Resolution 数据匹配服务
必须使用您的密钥对输出数据进行加密。 -
(可选)如果您通过订阅了提供者服务 AWS Data Exchange,并且想要将现有角色用于基于提供者服务的工作流程,请添加以下内容:
{ "Effect": "Allow", "Sid": "DataExchangePermissions", "Action": "dataexchange:SendApiAsset", "Resource": [ "arn:aws:dataexchange:
{{aws-region}}
::data-sets/{{datasetId}}
/revisions/{{revisionId}}
/assets/{{assetId}}
" ] }将每个
{{user input placeholder}}
替换为您自己的信息。aws-region
授予提供者资源 AWS 区域 的地方。您可以在控制台的资产 ARN 中找到此值。 AWS Data Exchange 例如: arn:aws:dataexchange:us-east-2::data-sets/111122223333/revisions/339ffc64444examplef3bc15cf0b2346b/assets/546468b8dexamplea37bfc73b8f79fefa
datasetId
数据集的 ID,可在 AWS Data Exchange 控制台上找到。 revisionId
数据集的修订版,可在 AWS Data Exchange 控制台上找到。 assetId
资产的 ID,可在 AWS Data Exchange 控制台上找到。
-
-
返回原始选项卡,在 “添加权限” 下,输入您刚刚创建的策略的名称。(您可能需要重新加载页面。)
-
选中您创建的策略名称旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予成员的
passRole
权限模式相匹配,该成员可以传递权限workflow job role
以创建匹配的工作流程。例如,如果您使用的是
AWSEntityResolutionConsoleFullAccess
托管策略,请记得在角色名称中加entityresolution
入。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
的工作流程工作角色 AWS Entity Resolution 数据匹配服务 已创建。