本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Entity Resolution
AWS Entity Resolution 第一次使用 之前,請先註冊 AWS 並建立管理員使用者以建立角色。
## 註冊 AWS
如果您已有 AWS 帳戶,請略過此步驟。
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
## 建立管理員使用者
若要建立管理員使用者,請選擇下列其中一個選項。
****
| 選擇一種管理管理員的方式 | 到 | 根據 | 您也可以 |
| --- | --- | --- | --- |
| 在 IAM Identity Center (建議) | 使用短期憑證存取 AWS。這與安全性最佳實務一致。有關最佳實務的資訊,請參閱 *IAM 使用者指南*中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 | 請遵循 AWS IAM Identity Center 使用者指南的[入門](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html)中的說明。 | 在 AWS Command Line Interface 使用者指南中設定 [AWS CLI 以使用 來設定 AWS IAM Identity Center](https://docs.aws.amazon.com//cli/latest/userguide/cli-configure-sso.html)程式設計存取。 |
| 在 IAM 中 (不建議使用) | 使用長期憑證存取 AWS。 | 請遵循《IAM 使用者指南》中[建立 IAM 使用者以進行緊急存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started-emergency-iam-user.html) 的指示。 | 請依照《IAM 使用者指南》中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html)設定以程式設計方式存取。 |
# 為主控台使用者建立 IAM 角色
如果您使用 AWS Entity Resolution 主控台,請完成下列程序。
**若要建立一個 IAM 角色**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
您可以使用 **角色**來建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇 **AWS 帳戶**。
1. 保持選取此選項 **此帳戶**,然後選擇**下一步**。
1. 針對**新增許可**,選擇**建立政策**。
新的標籤將開啟。
1. 選取 **JSON** 索引標籤,然後根據授予主控台使用者的能力新增政策。 會根據常見的使用案例 AWS Entity Resolution 提供下列受管政策:
+ [AWS 受管政策:AWSEntityResolutionConsoleFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-fullaccess)
+ [AWS 受管政策:AWSEntityResolutionConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-readonly)
1. 選擇**下一步:標籤**、新增標籤 (選用),然後選擇**下一步:檢閱**。
1. 針對**檢閱政策**,輸入**名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為協同合作成員建立政策。
1. 返回原始索引標籤,然後在**新增許可**下,輸入您剛建立的政策名稱。(您可能需要重新載入頁面。)
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
1. 檢閱**選取信任的實體**, AWS 帳戶 為將擔任該角色的人員輸入 (如有必要)。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
# 為 建立工作流程任務角色 AWS Entity Resolution
AWS Entity Resolution 使用*工作流程任務角色*來執行工作流程。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求您的管理員建立角色。
**為 建立工作流程任務角色 AWS Entity Resolution**
1. 使用您的管理員帳戶登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
您可以使用 **角色**來建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"entityresolution.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 選擇**下一步**。
1. 針對**新增許可**,選擇**建立政策**。
新標籤隨即出現。
1. 將下列政策複製並貼到 JSON 編輯器中。
**注意**
下列範例政策支援讀取 Amazon S3 和 等對應資料資源所需的許可 AWS Glue。不過,您可能需要根據設定資料來源的方式修改此政策。
您可以在 AWS Glue 支援 AWS 的商業分割區中使用任何區域 AWS Glue 的資源和基礎 Amazon S3 資源,這些資源不需要位於相同的區域 AWS Entity Resolution。
如果您的資料來源未加密或解密,則不需要授予 AWS KMS 許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::{{input-buckets}}",
"arn:aws:s3:::{{input-buckets}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"444455556666"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::{{output-bucket}}",
"arn:aws:s3:::{{output-bucket}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"444455556666"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTable",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetSchema",
"glue:GetSchemaVersion",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:444455556666:database/{{input-databases}}",
"arn:aws:glue:us-east-1:444455556666:table/{{input-database}}/{{input-tables}}",
"arn:aws:glue:us-east-1:444455556666:catalog"
]
}
]
}
```
------
將每個 *\$1\$1user input placeholder\$1\$1* 取代為您自己的資訊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html)
1. (選用) 如果輸入 Amazon S3 儲存貯體使用客戶的 KMS 金鑰加密,請新增下列項目:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{inputKeys}}"
]
}
```
將每個 *\$1\$1user input placeholder\$1\$1* 取代為您自己的資訊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html)
1. (選用) 如果寫入輸出 Amazon S3 儲存貯體的資料需要加密,請新增下列項目:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": [
"arn:aws:kms:{{aws-region}}:{{&ExampleAWSAccountNo1;}}:key/{{outputKeys}}"
]
}
```
將每個 *\$1\$1user input placeholder\$1\$1* 取代為您自己的資訊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html)
1. (選用) 如果您透過 訂閱提供者服務 AWS Data Exchange,並想要將現有角色用於提供者服務型工作流程,請新增下列項目:
```
{
"Effect": "Allow",
"Sid": "DataExchangePermissions",
"Action": "dataexchange:SendApiAsset",
"Resource": [
"arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
]
}
```
將每個 *\$1\$1user input placeholder\$1\$1* 取代為您自己的資訊。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/entityresolution/latest/userguide/create-workflow-job-role.html)
1. 返回原始索引標籤並在**新增許可**下,輸入您剛建立的政策名稱。(您可能需要重新載入頁面。)
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予`passRole`成員許可中的模式,該成員可以傳遞 `workflow job role`來建立相符的工作流程。
例如,如果您使用的是 `AWSEntityResolutionConsoleFullAccess`受管政策,請記得將 `entityresolution`納入您的角色名稱。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
AWS Entity Resolution 已建立 的工作流程任務角色。