本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 AWS Entity Resolution 数据匹配服务
在 AWS Entity Resolution 数据匹配服务 首次使用之前,请注册 AWS 并创建管理员用户来创建角色。
## 报名参加 AWS
如果您已经有 AWS 账户,请跳过此步骤。
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
## 创建管理员用户
要创建管理员用户,请选择以下选项之一。
****
| 选择一种方法来管理您的管理员 | 目标 | 方式 | 您也可以 |
| --- | --- | --- | --- |
| 在 IAM Identity Center 中 (推荐) | 使用短期凭证访问 AWS。这符合安全最佳实操。有关最佳实践的信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 | 有关说明,请参阅《AWS IAM Identity Center 用户指南》中的[入门](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html)。 | 通过在《AWS Command Line Interface 用户指南[》 AWS IAM Identity Center中配置 AWS CLI 要使用的来](https://docs.aws.amazon.com//cli/latest/userguide/cli-configure-sso.html)配置编程访问权限。 |
| 在 IAM 中 (不推荐使用) | 使用长期凭证访问 AWS。 | 按照《IAM 用户指南》中的[创建用于紧急访问的 IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started-emergency-iam-user.html)中的说明进行操作。 | 按照《IAM 用户指南》中的[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html),配置编程式访问。 |
# 为控制台用户创建 IAM 角色
如果您使用的是 AWS Entity Resolution 数据匹配服务 控制台,请完成以下步骤。
**创建 IAM 角色**
1. 使用您的管理员账户登录 IAM 控制台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))。
1. 在 **Access management**(访问管理)下,请选择 **Roles**(角色)。
您可以使用**角色**创建短期证书,建议使用此方法来提高安全性。您也可以选择**用户**来创建长期凭证。
1. 选择**创建角色**。
1. 在**创建角色**向导中,对于 “**可信实体类型**”,选择**AWS 账户**。
1. 保持 “**此帐户**” 选项处于选中状态,然后选择 “**下一步**”。
1. 对于**添加权限**,请选择**创建策略**。
将打开一个新选项卡。
1. 选择 **JSON** 选项卡,然后根据授予控制台用户的权限添加策略。 AWS Entity Resolution 数据匹配服务 根据常见用例提供以下托管策略:
+ [AWS 托管策略: AWSEntityResolutionConsoleFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-fullaccess)
+ [AWS 托管策略: AWSEntityResolutionConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-readonly)
1. 选择**下一步: 标签**,添加标签(可选),然后选择**下一步: 审核**。
1. 对于**查看策略**,输入**名称**和**描述**,然后查看**摘要**。
1. 选择**创建策略**。
您已经为协作成员创建了策略。
1. 返回原始选项卡,在 “**添加权限**” 下,输入您刚刚创建的策略的名称。(您可能需要重新加载页面。)
1. 选中您创建的策略名称旁边的复选框,然后选择**下一步**。
1. 对于**命名、查看和创建**,输入**角色名称**和**描述**。
1. 查看**选择受信任的实体**,输入将担任该角色的一个或多个人员的 AWS 账户 (如有必要)。
1. 在**添加权限**中查看权限,并在必要时进行编辑。
1. 查看**标签**,并在必要时添加标签。
1. 选择**创建角色**。
# 为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务
AWS Entity Resolution 数据匹配服务 使用*工作流程作业角色*来运行工作流程。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您没有`CreateRole`权限,请让您的管理员创建该角色。
**为创建工作流程工作角色 AWS Entity Resolution 数据匹配服务**
1. 使用您的管理员账户登录 IAM 控制台。[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. 在 **Access management**(访问管理)下,请选择 **Roles**(角色)。
您可以使用**角色**创建短期证书,建议使用此方法来提高安全性。您也可以选择**用户**来创建长期凭证。
1. 选择**创建角色**。
1. 在**创建角色**向导中,对于**可信实体类型**,选择**自定义信任策略**。
1. 将以下自定义信任策略复制粘贴到 JSON 编辑器中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"entityresolution.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 选择**下一步**。
1. 对于**添加权限**,请选择**创建策略**。
此时会出现一个新选项卡。
1. 将以下策略复制并粘贴到 JSON 编辑器中。
**注意**
以下示例策略支持读取相应数据资源(如 Amazon S3 和)所需的权限 AWS Glue。但是,您可能需要修改此策略,具体取决于您设置数据源的方式。
您可以在支持的 AWS 商业分区中使用来自任何区域的 AWS Glue 资源和底层 Amazon S3 资源,它们不必与位于同一区域 AWS Entity Resolution 数据匹配服务。 AWS Glue
如果您的数据源未加密或解密,则无需授予 AWS KMS 权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::{{input-buckets}}",
"arn:aws:s3:::{{input-buckets}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"444455556666"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::{{output-bucket}}",
"arn:aws:s3:::{{output-bucket}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"444455556666"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTable",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetSchema",
"glue:GetSchemaVersion",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:444455556666:database/{{input-databases}}",
"arn:aws:glue:us-east-1:444455556666:table/{{input-database}}/{{input-tables}}",
"arn:aws:glue:us-east-1:444455556666:catalog"
]
}
]
}
```
------
将每个 *\$1\$1user input placeholder\$1\$1* 替换为您自己的信息。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html)
1. (可选)如果输入的 Amazon S3 存储桶是使用客户的 KMS 密钥加密的,请添加以下内容:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{inputKeys}}"
]
}
```
将每个 *\$1\$1user input placeholder\$1\$1* 替换为您自己的信息。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html)
1. (可选)如果写入输出 Amazon S3 存储桶的数据需要加密,请添加以下内容:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": [
"arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{outputKeys}}"
]
}
```
将每个 *\$1\$1user input placeholder\$1\$1* 替换为您自己的信息。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html)
1. (可选)如果您通过订阅了提供者服务 AWS Data Exchange,并且想要将现有角色用于基于提供者服务的工作流程,请添加以下内容:
```
{
"Effect": "Allow",
"Sid": "DataExchangePermissions",
"Action": "dataexchange:SendApiAsset",
"Resource": [
"arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
]
}
```
将每个 *\$1\$1user input placeholder\$1\$1* 替换为您自己的信息。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/entityresolution/latest/userguide/create-workflow-job-role.html)
1. 返回原始选项卡,在 “**添加权限**” 下,输入您刚刚创建的策略的名称。(您可能需要重新加载页面。)
1. 选中您创建的策略名称旁边的复选框,然后选择**下一步**。
1. 对于**命名、查看和创建**,输入**角色名称**和**描述**。
**注意**
**角色名称**必须与授予成员的`passRole`权限模式相匹配,该成员可以传递权限`workflow job role`以创建匹配的工作流程。
例如,如果您使用的是`AWSEntityResolutionConsoleFullAccess`托管策略,请记得在角色名称中加`entityresolution`入。
1. 查看**选择受信任的实体**,并在必要时进行编辑。
1. 在**添加权限**中查看权限,并在必要时进行编辑。
1. 查看**标签**,并在必要时添加标签。
1. 选择**创建角色**。
的工作流程工作角色 AWS Entity Resolution 数据匹配服务 已创建。