建立 Test Workbench 的 IAM 角色 - 進階功能 - Amazon Lex

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Test Workbench 的 IAM 角色 - 進階功能

測試工作台 IAM 角色的許可設定

本節顯示數個範例 AWS Identity and Access Management (IAM) 身分型政策,以實作 Test Workbench 許可的最低權限存取控制。

  1. Test Workbench 在 S3 中讀取音訊檔案的政策 – 此政策可讓 Test Workbench 讀取測試集中所使用的音訊檔案。應相應修改以下政策,以更新 S3BucketNameS3Path,將它們指向測試集中音訊檔案的 Amazon S3 位置。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestWorkbenchS3AudioFilesReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/S3Path/*"
      ]
    }
  ]
}

  2. Test Workbench 讀取和寫入測試集和結果到 Amazon S3 儲存貯體的政策 – 此政策可讓 Test Workbench 儲存測試集輸入和結果。應修改下列政策,將 S3BucketName 更新至將存放測試集資料的 Amazon S3 儲存貯體。Test Workbench 只會將這些資料存放在 Amazon S3 儲存貯體中,而不是存放在 Lex Service 基礎設施中。因此,Test Workbench 需要存取您的 Amazon S3 儲存貯體才能正常運作。

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TestSetDataUploadWithEncryptionOnly",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:x-amz-server-side-encryption": "aws:kms"
        }
      }
    },
    {
      "Sid": "TestSetDataGetObject",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_execution/*",
        "arn:aws:s3:::S3BucketName/*/lex_testworkbench/test_set_discrepancy_report/*"
      ]
    },
    {
      "Sid": "TestSetListS3Objects",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::S3BucketName"
      ]
    }
  ]
}

  3. Test Workbench 讀取 CloudWatch Logs 的政策 – 此政策可讓 Test Workbench 從存放在 Amazon CloudWatch Logs 中的 Lex 對話文字日誌產生測試集。應修改下列政策以更新區域AwsAccountIdLogGroupName

  4. Test Workbench 呼叫 Lex 執行期的政策 – 此政策可讓 Test Workbench 針對 Lex 機器人執行測試集。應修改下列政策以更新區域AwsAccountIdBotId。由於 Test Workbench 可以測試 Lex 環境中的任何機器人,您可以將資源取代為「arn:aws:lex:RegionAwsAccountId:bot-alias/*」,以允許 Test Workbench 存取帳戶中的所有 Amazon Lex V2 機器人。

  5. (選用) Test Workbench 用於加密和解密測試集資料的政策 – 如果 Test Workbench 設定為使用客戶受管 KMS 金鑰將測試集輸入和結果存放在 Amazon S3 儲存貯體中,則 Test Workbench 將需要 KMS 金鑰的加密和解密許可。應修改下列政策以更新區域AwsAccountIdKmsKeyId,其中 KmsKeyId 是客戶受管 KMS 金鑰的 ID。

  6. (選用) Test Workbench 解密音訊檔案的政策 – 如果使用客戶受管 KMS 金鑰將音訊檔案存放在 S3 儲存貯體中,則 Test Workbench 將需要 KMS 金鑰的解密許可。應修改下列政策以更新區域AwsAccountIdKmsKeyId,其中 KmsKeyId 是用於加密音訊檔案之客戶受管 KMS 金鑰的 ID。