本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰
如果您在使用 Amazon Personalize 主控台或 APIs 時指定 a AWS Key Management Service (AWS KMS) 金鑰,或者如果您使用 AWS KMS 金鑰來加密 Amazon S3 儲存貯體,則必須授予 Amazon Personalize 使用金鑰的許可。若要授予許可,連接至服務角色的 AWS KMS 金鑰政策和 ** IAM 政策必須授予 Amazon Personalize 許可,才能使用您的金鑰。這適用於在 Amazon Personalize 中建立下列項目。
+ 資料集群組
+ 資料集匯入任務 (只有 AWS KMS 金鑰政策必須授予許可)
+ 資料集匯出任務
+ 批次推論任務
+ 批次區段任務
+ 指標屬性
您的 AWS KMS 金鑰政策和 IAM 政策必須授予下列動作的許可:
+ 解密
+ GenerateDataKey
+ DescribeKey
+ CreateGrant (僅在金鑰政策中需要)
+ ListGrants
建立資源後撤銷 AWS KMS 金鑰許可可能會導致建立篩選條件或取得建議時發生問題。如需 AWS KMS 政策的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[在 AWS KMS 中使用金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。如需建立 IAM 政策的資訊,請參閱《[IAM 使用者指南》中的建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **如需將 IAM 政策連接至角色的資訊,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
**Topics**
+ [金鑰政策範例](#export-job-key-policy)
+ [IAM 政策範例](#export-job-iam-policy)
## 金鑰政策範例
下列金鑰政策範例授予 Amazon Personalize 和您的角色上述 Amazon Personalize 操作的最低許可。如果您在建立資料集群組時指定金鑰,並想要從資料集匯出資料,則金鑰政策必須包含 `GenerateDataKeyWithoutPlaintext`動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-policy-123",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/",
"Service": "personalize.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## IAM 政策範例
下列 IAM 政策範例會授予角色上述 Amazon Personalize 操作所需的最低 AWS KMS 許可。對於資料集匯入任務,只有 AWS KMS 金鑰政策需要授予許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------