为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务 - AWS Entity Resolution 数据匹配服务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务

AWS Entity Resolution 数据匹配服务 使用工作流程作业角色来运行工作流程。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您没有CreateRole权限,请让您的管理员创建该角色。

为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务

  1. 使用您的管理员账户登录 IAM 控制台。https://console.aws.amazon.com/iam/

  2. Access management(访问管理)下,请选择 Roles(角色)。

    您可以使用角色创建短期证书,建议使用此方法来提高安全性。您也可以选择用户来创建长期凭证。

  3. 选择创建角色

  4. 创建角色向导中,对于可信实体类型,选择自定义信任策略

  5. 将以下自定义信任策略复制粘贴到 JSON 编辑器中。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "entityresolution.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  6. 选择下一步

  7. 对于添加权限,请选择创建策略

    此时会出现一个新选项卡。

    1. 将以下策略复制并粘贴到 JSON 编辑器中。

      注意

      以下示例策略支持读取相应数据资源(如 Amazon S3 和)所需的权限 AWS Glue。但是,您可能需要修改此策略,具体取决于您设置数据源的方式。

      您可以在支持的 AWS 商业分区中使用来自任何区域的 AWS Glue 资源和底层 Amazon S3 资源,它们不必与位于同一区域 AWS Entity Resolution 数据匹配服务。 AWS Glue

      如果您的数据源未加密或解密,则无需授予 AWS KMS 权限。

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{input-buckets}}",
                "arn:aws:s3:::{{input-buckets}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "444455556666"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{output-bucket}}",
                "arn:aws:s3:::{{output-bucket}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "444455556666"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:444455556666:database/{{input-databases}}",
                "arn:aws:glue:us-east-1:444455556666:table/{{input-database}}/{{input-tables}}",
                "arn:aws:glue:us-east-1:444455556666:catalog"
            ]
        }
    ]
}

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region AWS 区域 你的资源。您可以使用 AWS Glue Amazon S3 和任何支持 AWS 区域 这些服务的商用 AWS KMS 资源。
      &ExampleAWSAccountNo1; 你的 AWS 账户 身份证。
      input-buckets Amazon S3 存储桶,其中包含AWS Entity Resolution 数据匹配服务将从 AWS Glue 何处读取的底层数据对象。
      output-buckets Amazon S3 存储桶AWS Entity Resolution 数据匹配服务将在其中生成输出数据。
      input-databases AWS Glue AWS Entity Resolution 数据匹配服务将从中读取的数据库。

    2. (可选)如果输入的 Amazon S3 存储桶是使用客户的 KMS 密钥加密的,请添加以下内容:

              {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{inputKeys}}"
            ]
        }

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region AWS 区域 你的资源。您可以使用 AWS Glue Amazon S3 和任何支持 AWS 区域 这些服务的商用 AWS KMS 资源。
      &ExampleAWSAccountNo1; 你的 AWS 账户 身份证。
      inputKeys 中的托管密钥 AWS Key Management Service。如果您的输入源已加密,则AWS Entity Resolution 数据匹配服务必须使用您的密钥解密数据。

    3. (可选)如果写入输出 Amazon S3 存储桶的数据需要加密,请添加以下内容:

              {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{outputKeys}}"
            ]
        }

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region AWS 区域 你的资源。您可以使用 AWS Glue Amazon S3 和任何支持 AWS 区域 这些服务的商用 AWS KMS 资源。
      &ExampleAWSAccountNo1; 你的 AWS 账户 身份证。
      outputKeys 中的托管密钥 AWS Key Management Service。如果您需要对输出源进行加密,则AWS Entity Resolution 数据匹配服务必须使用您的密钥对输出数据进行加密。

    4. (可选)如果您通过订阅了提供者服务 AWS Data Exchange,并且想要将现有角色用于基于提供者服务的工作流程,请添加以下内容:

              {
            "Effect": "Allow",
            "Sid": "DataExchangePermissions",
            "Action": "dataexchange:SendApiAsset",
            "Resource": [
                "arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
            ]
        }

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region 授予提供者资源 AWS 区域 的地方。您可以在控制台的资产 ARN 中找到此值。 AWS Data Exchange 例如:arn:aws:dataexchange:us-east-2::data-sets/111122223333/revisions/339ffc64444examplef3bc15cf0b2346b/assets/546468b8dexamplea37bfc73b8f79fefa
      datasetId 数据集的 ID,可在 AWS Data Exchange 控制台上找到。
      revisionId 数据集的修订版,可在 AWS Data Exchange 控制台上找到。
      assetId 资产的 ID,可在 AWS Data Exchange 控制台上找到。

  8. 返回原始选项卡,在 “添加权限” 下,输入您刚刚创建的策略的名称。(您可能需要重新加载页面。)

  9. 选中您创建的策略名称旁边的复选框,然后选择下一步

  10. 对于命名、查看和创建,输入角色名称描述

    注意

    角色名称必须与授予成员的passRole权限模式相匹配,该成员可以传递权限workflow job role以创建匹配的工作流程。

    例如,如果您使用的是AWSEntityResolutionConsoleFullAccess托管策略,请记得在角色名称中加entityresolution入。

    1. 查看选择受信任的实体,并在必要时进行编辑。

    2. 添加权限中查看权限,并在必要时进行编辑。

    3. 查看标签,并在必要时添加标签。

    4. 选择创建角色

的工作流程工作角色 AWS Entity Resolution 数据匹配服务 已创建。