为创建工作流程工作角色AWS Entity Resolution 数据匹配服务

为创建工作流程工作角色AWS Entity Resolution 数据匹配服务

1. 使用您的管理员账户登录 IAM 控制台。https://console.aws.amazon.com/iam/

2. 在 Access management（访问管理）下，请选择 Roles（角色）。

   您可以使用角色创建短期证书，建议使用此方法来提高安全性。您也可以选择用户来创建长期凭证。

3. 选择创建角色。

4. 在创建角色向导中，对于可信实体类型，选择自定义信任策略。

5. 将以下自定义信任策略复制粘贴到 JSON 编辑器中。

   JSON

   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "entityresolution.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

6. 选择下一步。

7. 对于添加权限，请选择创建策略。

   此时会出现一个新选项卡。

   1. 将以下策略复制并粘贴到 JSON 编辑器中。

      注意

      以下示例策略支持读取相应数据资源（如 Amazon S3 和）所需的权限AWS Glue。但是，您可能需要修改此策略，具体取决于您设置数据源的方式。

      您可以在支持的AWS商业分区中使用来自任何区域的AWS Glue资源和底层 Amazon S3 资源，它们不必与位于同一区域AWS Entity Resolution 数据匹配服务。AWS Glue

      如果您的数据源未加密或解密，则无需授予AWS KMS权限。

      JSON

      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "s3:GetObject",
                      "s3:ListBucket",
                      "s3:GetBucketLocation"
                  ],
                  "Resource": [
                      "arn:aws:s3:::{{input-buckets}}",
                      "arn:aws:s3:::{{input-buckets}}/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "s3:ResourceAccount": [
                              "444455556666"
                          ]
                      }
                  }
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "s3:PutObject",
                      "s3:ListBucket",
                      "s3:GetBucketLocation"
                  ],
                  "Resource": [
                      "arn:aws:s3:::{{output-bucket}}",
                      "arn:aws:s3:::{{output-bucket}}/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "s3:ResourceAccount": [
                              "444455556666"
                          ]
                      }
                  }
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "glue:GetDatabase",
                      "glue:GetTable",
                      "glue:GetPartition",
                      "glue:GetPartitions",
                      "glue:GetSchema",
                      "glue:GetSchemaVersion",
                      "glue:BatchGetPartition"
                  ],
                  "Resource": [
                      "arn:aws:glue:us-east-1:444455556666:database/{{input-databases}}",
                      "arn:aws:glue:us-east-1:444455556666:table/{{input-database}}/{{input-tables}}",
                      "arn:aws:glue:us-east-1:444455556666:catalog"
                  ]
              }
          ]
      }
      

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region	AWS 区域你的资源。您可以使用AWS Glue Amazon S3 和任何支持AWS 区域这些服务的商用AWS KMS资源。
      &ExampleAWSAccountNo1;	你的AWS 账户身份证。
      input-buckets	Amazon S3 存储桶，其中包含AWS Entity Resolution 数据匹配服务将从AWS Glue何处读取的底层数据对象。
      output-buckets	Amazon S3 存储桶AWS Entity Resolution 数据匹配服务将在其中生成输出数据。
      input-databases	AWS GlueAWS Entity Resolution 数据匹配服务将从中读取的数据库。

   2. （可选）如果输入的 Amazon S3 存储桶是使用客户的 KMS 密钥加密的，请添加以下内容：

              {
                  "Effect": "Allow",
                  "Action": [
                      "kms:Decrypt"
                  ],
                  "Resource": [
                      "arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{inputKeys}}"
                  ]
              }

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region	AWS 区域你的资源。您可以使用AWS Glue Amazon S3 和任何支持AWS 区域这些服务的商用AWS KMS资源。
      &ExampleAWSAccountNo1;	你的AWS 账户身份证。
      inputKeys	中的托管密钥AWS Key Management Service。如果您的输入源已加密，则AWS Entity Resolution 数据匹配服务必须使用您的密钥解密数据。

   3. （可选）如果写入输出 Amazon S3 存储桶的数据需要加密，请添加以下内容：

              {
                  "Effect": "Allow",
                  "Action": [
                      "kms:GenerateDataKey",
                      "kms:Encrypt"
                  ],
                  "Resource": [
                      "arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{outputKeys}}"
                  ]
              }
      

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region	AWS 区域你的资源。您可以使用AWS Glue Amazon S3 和任何支持AWS 区域这些服务的商用AWS KMS资源。
      &ExampleAWSAccountNo1;	你的AWS 账户身份证。
      outputKeys	中的托管密钥AWS Key Management Service。如果您需要对输出源进行加密，则AWS Entity Resolution 数据匹配服务必须使用您的密钥对输出数据进行加密。

   4. （可选）如果您通过订阅了提供者服务AWS Data Exchange，并且想要将现有角色用于基于提供者服务的工作流程，请添加以下内容：

              {
                  "Effect": "Allow",
                  "Sid": "DataExchangePermissions",
                  "Action": "dataexchange:SendApiAsset",
                  "Resource": [
                      "arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
                  ]
              }
      

      将每个 {{user input placeholder}} 替换为您自己的信息。

      aws-region	授予提供者资源AWS 区域的地方。您可以在控制台的资产 ARN 中找到此值。AWS Data Exchange例如：arn:aws:dataexchange:us-east-2::data-sets/111122223333/revisions/339ffc64444examplef3bc15cf0b2346b/assets/546468b8dexamplea37bfc73b8f79fefa
      datasetId	数据集的 ID，可在AWS Data Exchange控制台上找到。
      revisionId	数据集的修订版，可在AWS Data Exchange控制台上找到。
      assetId	资产的 ID，可在AWS Data Exchange控制台上找到。

8. 返回原始选项卡，在 “添加权限” 下，输入您刚刚创建的策略的名称。（您可能需要重新加载页面。）

9. 选中您创建的策略名称旁边的复选框，然后选择下一步。

10. 对于命名、查看和创建，输入角色名称和描述。

    注意

    角色名称必须与授予成员的passRole权限模式相匹配，该成员可以传递权限workflow job role以创建匹配的工作流程。

    例如，如果您使用的是AWSEntityResolutionConsoleFullAccess托管策略，请记得在角色名称中加entityresolution入。

    1. 查看选择受信任的实体，并在必要时进行编辑。

    2. 在添加权限中查看权限，并在必要时进行编辑。

    3. 查看标签，并在必要时添加标签。

    4. 选择创建角色。