對話日誌的 IAM 政策 - Amazon Lex V1
建立對話日誌的 IAM 角色和政策授予許可以傳遞 IAM 角色

支援終止通知:2025 年 9 月 15 日, AWS 將停止對 Amazon Lex V1 的支援。2025 年 9 月 15 日之後,您將無法再存取 Amazon Lex V1 主控台或 Amazon Lex V1 資源。如果您使用的是 Amazon Lex V2,請改參閱 Amazon Lex V2 指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對話日誌的 IAM 政策

根據您選取的記錄類型,Amazon Lex 需要使用 Amazon CloudWatch Logs 和 Amazon Simple Storage Service (S3) 儲存貯體來存放日誌的許可。您必須建立 AWS Identity and Access Management 角色和許可,才能讓 Amazon Lex 存取這些資源。

建立對話日誌的 IAM 角色和政策

若要啟用對話日誌,您必須授予 CloudWatch Logs 和 Amazon S3 的寫入許可。如果您為 S3 物件啟用物件加密,則需要將存取許可授予用於加密物件的 AWS KMS 金鑰。

您可以使用 IAM AWS Management Console、IAM API 或 AWS Command Line Interface 來建立角色和政策。這些指示使用 AWS CLI 來建立角色和政策。如需使用主控台建立政策的相關資訊,請參閱《AWS Identity and Access Management 使用者指南》中的在 JSON 標籤上建立政策

注意

下列程式碼是針對 Linux 和 MacOS 格式化的。若為 Windows,請將接續字元 (\) 取代為插入符號 (^)。

為對話日誌建立 IAM 角色

  1. 在稱為 LexConversationLogsAssumeRolePolicyDocument.json 的目前目錄中建立一個文件、將下列程式碼新增至其中,然後儲存它。此政策文件會將 Amazon Lex 新增為角色的信任實體。這可讓 Lex 擔任將日誌傳遞至專為對話日誌設定的資源角色。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lex.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. 在 中 AWS CLI,執行下列命令來建立對話日誌的 IAM 角色。

    aws iam create-role \
    --role-name role-name \
    --assume-role-policy-document file://LexConversationLogsAssumeRolePolicyDocument.json

接著,建立政策並將其連接至 角色,讓 Amazon Lex 能夠寫入 CloudWatch Logs。

建立將對話文字記錄到 CloudWatch Logs 的 IAM 政策

  1. 在名為 的目前目錄中建立文件LexConversationLogsCloudWatchLogsPolicy.json,將下列 IAM 政策新增至其中,然後儲存它。

  2. 在 中 AWS CLI,建立將寫入許可授予 CloudWatch Logs 日誌群組的 IAM 政策。

    aws iam create-policy \
    --policy-name cloudwatch-policy-name \
    --policy-document file://LexConversationLogsCloudWatchLogsPolicy.json

  3. 將政策連接至您為對話日誌建立的 IAM 角色。

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/cloudwatch-policy-name \
    --role-name role-name

如果您要將音訊記錄到 S3 儲存貯體,請建立可讓 Amazon Lex 寫入儲存貯體的政策。

為 S3 儲存貯體的音訊記錄建立 IAM 政策

  1. 在稱為 LexConversationLogsS3Policy.json 的目前目錄中建立一個文件、將下列政策新增至其中,然後儲存它。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:PutObject"
          ],
          "Resource": "arn:aws:s3:::bucket-name/*"
      }
  ]
}

  2. 在 中 AWS CLI,建立將寫入許可授予 S3 儲存貯體的 IAM 政策。

    aws iam create-policy \
    --policy-name s3-policy-name \
    --policy-document file://LexConversationLogsS3Policy.json

  3. 將此政策附加到您為對話日誌建立的角色。

    aws iam attach-role-policy \
    --policy-arn arn:aws:iam::account-id:policy/s3-policy-name \
    --role-name role-name

授予許可以傳遞 IAM 角色

當您使用 主控台 AWS Command Line Interface、 或 AWS 開發套件來指定用於對話日誌的 IAM 角色時,指定對話日誌的使用者 IAM 角色必須具有將角色傳遞給 Amazon Lex 的許可。若要允許使用者將角色傳遞給 Amazon Lex,您必須將PassRole許可授予使用者、角色或群組。

下列政策會定義授予使用者、角色或群組的許可。您可以使用 iam:AssociatedResourceArniam:PassedToService 條件金鑰來限制許可的範圍。如需詳細資訊,請參閱《 AWS Identity and Access Management 使用者指南》中的授予使用者將角色傳遞至 AWS 服務和 IAM 和條件內容金鑰的許可AWS STS

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "lex.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": "arn:aws:lex:region:account-id:bot:bot-name:bot-alias"
                }
            }
        }
    ]
}