本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Comprehend 的身分型政策範例
根據預設,使用者和角色沒有建立或修改 Amazon Comprehend 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 Amazon Comprehend 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [Amazon Comprehend 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehend.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 Amazon Comprehend 主控台](#security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [執行文件分析動作所需的許可](#security-iam-based-policy-perform-cmp-actions)
+ [使用 KMS 加密所需的許可](#auth-kms-permissions)
+ [AWS Amazon Comprehend 的受管 (預先定義) 政策](#access-policy-aws-managed-policies)
+ [非同步操作所需的角色型許可](#auth-role-permissions)
+ [允許所有 Amazon Comprehend 動作的許可](#custom-policy-all-all-actions)
+ [允許主題建模動作的許可](#custom-policy-allow-topic-modeling)
+ [自訂非同步分析任務所需的許可](#tagging-resources)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Comprehend 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 Amazon Comprehend 主控台
若要存取 Amazon Comprehend 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 Amazon Comprehend 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
如需最低 Amazon Comprehend 主控台許可,您可以將 `ComprehendReadOnly` AWS 受管政策連接至實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
若要使用 Amazon Comprehend 主控台,您也需要下列政策中所示動作的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Amazon Comprehend 主控台需要這些額外的許可,原因如下:
+ `iam` 列出您帳戶可用 IAM 角色的許可。
+ `s3` 存取包含主題建模資料之 Amazon S3 儲存貯體和物件的許可。
當您使用主控台建立非同步批次任務或主題建模任務時,您可以選擇讓主控台為您的任務建立 IAM 角色。若要建立 IAM 角色,必須授予使用者下列額外許可來建立 IAM 角色和政策,以及將政策連接到角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
Amazon Comprehend 主控台需要這些額外的許可,原因如下:
+ `iam` 建立角色和政策以及連接角色和政策的許可。`iam:PassRole` 動作可讓主控台將角色傳遞給 Amazon Comprehend。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 執行文件分析動作所需的許可
下列範例政策授予使用 Amazon Comprehend 文件分析動作的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowDetectActions",
"Effect": "Allow",
"Action": [
"comprehend:DetectEntities",
"comprehend:DetectKeyPhrases",
"comprehend:DetectDominantLanguage",
"comprehend:DetectSentiment",
"comprehend:DetectTargetedSentiment",
"comprehend:DetectSyntax",
"textract:DetectDocumentText",
"textract:AnalyzeDocument"
],
"Resource": "*"
}
]
}
```
------
此政策有一個陳述式,授予使用 `DetectEntities`、`DetectKeyPhrases`、`DetectDominantLanguage`、`DetectSentiment`、 `DetectTargetedSentiment`和 `DetectSyntax`動作的許可。政策陳述式也會授予使用兩種 Amazon Textract API 方法的許可。Amazon Comprehend 會呼叫這些方法來從影像檔案和掃描的 PDF 文件擷取文字。對於從未針對這些類型的輸入檔案執行自訂推論的使用者,您可以移除這些許可。
具有此政策的使用者將無法在帳戶中執行批次動作或非同步動作。
此政策不指定 `Principal` 元素,因為您不會在以身分為基礎的政策中,指定取得許可的委託人。當您將政策連接至使用者時,這名使用者是隱含委託人。當您將許可政策連接至 IAM 角色,該角色的信任政策中所識別的委託人即取得許可。
如需顯示所有 Amazon Comprehend API 動作及其適用的資源的表格,請參閱*《服務授權參考*》中的 [ Amazon Comprehend 的動作、資源和條件索引鍵](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazoncomprehend.html)。
## 使用 KMS 加密所需的許可
若要在非同步任務中完全使用 Amazon Key Management Service (KMS) 進行資料和任務加密,您需要授予下列政策中所示動作的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
當您使用 Amazon Comprehend 建立非同步任務時,您會使用存放在 Amazon S3 上的輸入資料。使用 S3,您可以選擇加密由 S3 加密的儲存資料,而不是由 Amazon Comprehend 加密。如果您為 Amazon Comprehend 任務使用的資料存取角色加密原始輸入資料的金鑰提供`kms:Decrypt`許可,我們可以解密和讀取該加密的輸入資料。
您也可以選擇使用 KMS 客戶受管金鑰 (CMK) 來加密 S3 上的輸出結果,以及任務處理期間使用的儲存磁碟區。當您這樣做時,您可以對這兩種類型的加密使用相同的 KMS 金鑰,但這並非必要。建立任務以指定輸出加密和磁碟區加密的金鑰時,可以使用單獨的欄位,您甚至可以使用來自不同帳戶的 KMS 金鑰。
使用 KMS 加密時,磁碟區加密需要 `kms:CreateGrant` 許可,輸出資料加密則需要 `kms:GenerateDataKey`許可。若要讀取加密的輸入 (如同 Amazon S3 已加密輸入資料),需要 `kms:Decrypt` 許可。IAM 角色需要視需要提供這些許可。不過,如果金鑰來自與目前使用的 帳戶不同,則該 kms 金鑰的 KMS 金鑰政策也必須將這些許可授予任務的資料存取角色。
## AWS Amazon Comprehend 的受管 (預先定義) 政策
AWS 透過提供由 建立和管理的獨立 IAM 政策,解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可,讓您不必調查需要哪些許可。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列 AWS 受管政策是 Amazon Comprehend 特有的,您可以連接到您帳戶中的使用者:
+ **ComprehendFullAccess** – 授予 Amazon Comprehend 資源的完整存取權,包括執行主題建模任務。包含列出和取得 IAM 角色的許可。
+ **ComprehendReadOnly** – 准許執行除 `StartDominantLanguageDetectionJob`、`StartEntitiesDetectionJob`、`StartKeyPhrasesDetectionJob`、`StartTargetedSentimentDetectionJob`、 `StartSentimentDetectionJob`和 以外的所有 Amazon Comprehend 動作`StartTopicsDetectionJob`。
您需要將下列其他政策套用至將使用 Amazon Comprehend 的任何使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
您可以登入 IAM 主控台並在其中搜尋特定政策,以檢閱受管許可政策。
當您使用 AWS SDKs或 CLI AWS 時,這些政策會運作。
您也可以建立自己的自訂 IAM 政策,以允許 Amazon Comprehend 動作和資源的許可。您可以將這些自訂政策連接到需要這些許可的使用者、群組或角色。
## 非同步操作所需的角色型許可
若要使用 Amazon Comprehend 非同步操作,您必須授予 Amazon Comprehend 存取包含文件集合的 Amazon S3 儲存貯體。您可以透過使用信任政策在帳戶中建立資料存取角色來信任 Amazon Comprehend 服務主體來執行此操作。如需建立角色的詳細資訊,請參閱《 *AWS Identity and Access Management 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
以下顯示您所建立角色的範例信任政策。為了協助[預防混淆代理人](cross-service-confused-deputy-prevention.md),您可以使用一或多個全域條件內容索引鍵來限制許可的範圍。將 `aws:SourceAccount` 值設定為您的帳戶 ID。如果您使用 `ArnEquals`條件,請將 `aws:SourceArn`值設定為任務的 ARN。對 ARN 中的任務編號使用萬用字元,因為 Amazon Comprehend 會在任務建立過程中產生此編號。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:pii-entities-detection-job/*"
}
}
}
]
}
```
------
建立角色之後,請為該角色建立存取政策。這應該將 Amazon S3 `GetObject`和 `ListBucket`許可授予包含您輸入資料的 Amazon S3 儲存貯體,以及將 Amazon S3 `PutObject`許可授予您的 Amazon S3 輸出資料儲存貯體。
## 允許所有 Amazon Comprehend 動作的許可
註冊後 AWS,您可以建立管理員使用者來管理您的帳戶,包括建立使用者和管理其許可。
您可以選擇建立具有所有 Amazon Comprehend 動作 (將此使用者視為服務特定管理員) 許可的使用者,以使用 Amazon Comprehend。您可以將以下許可政策附加到此使用者。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAllComprehendActions",
"Effect": "Allow",
"Action":
[
"comprehend:*",
"iam:ListRoles",
"iam:GetRole",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Resource": "*"
},
{
"Action":
[
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/*Comprehend*"
}
]
}
```
------
這些許可可以在加密方面以下列方式修改:
+ 若要讓 Amazon Comprehend 分析存放在加密 S3 儲存貯體中的文件,IAM 角色必須具有 `kms:Decrypt`許可。
+ 若要讓 Amazon Comprehend 加密存放在連接至處理分析任務之運算執行個體的儲存磁碟區上的文件,IAM 角色必須具有 `kms:CreateGrant`許可。
+ 若要讓 Amazon Comprehend 加密其 S3 儲存貯體中的輸出結果,IAM 角色必須具有 `kms:GenerateDataKey`許可。
## 允許主題建模動作的許可
下列許可政策會授予使用者執行 Amazon Comprehend 主題建模操作的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTopicModelingActions",
"Effect": "Allow",
"Action": [
"comprehend:DescribeTopicsDetectionJob",
"comprehend:ListTopicsDetectionJobs",
"comprehend:StartTopicsDetectionJob"
],
"Resource": "*"
}
]
}
```
------
## 自訂非同步分析任務所需的許可
**重要**
如果您有限制模型存取的 IAM 政策,您將無法使用自訂模型完成推論任務。您的 IAM 政策應更新為具有自訂非同步分析任務的萬用字元資源。
如果您使用的是 [StartDocumentClassificationJob ](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartDocumentClassificationJob.html) 和 [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html) APIs,則需要更新您的 IAM 政策,除非您目前使用萬用字元做為資源。如果您使用 [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/dg/API_StartEntitiesDetectionJob.html) 使用預先訓練的模型,這不會影響您,而且您不需要進行任何變更。
下列範例政策包含**過時的**參考。
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer"
],
"Effect": "Allow"
}
```
這是您需要用來成功執行 StartDocumentClassificationJob 和 StartEntitiesDetectionJob 的**更新**政策。
```
{
"Action": [
"comprehend:StartDocumentClassificationJob",
"comprehend:StartEntitiesDetectionJob",
],
"Resource": [
"arn:aws:comprehend:us-east-1:123456789012:document-classifier/myClassifier",
"arn:aws:comprehend:us-east-1:123456789012:document-classification-job/*",
"arn:aws:comprehend:us-east-1:123456789012:entity-recognizer/myRecognizer",
"arn:aws:comprehend:us-east-1:123456789012:entities-detection-job/*"
],
"Effect": "Allow"
}
```