本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授予 Amazon Personalize 存取 資源的許可
若要授予 Amazon Personalize 存取資源的許可,您可以建立 IAM 政策,讓 Amazon Personalize 能夠完整存取您的 Amazon Personalize 資源。或者,您可以使用 AWS 受管`AmazonPersonalizeFullAccess`政策。 `AmazonPersonalizeFullAccess`提供比必要更多的許可。我們建議您建立新的 IAM 政策,只授予必要的許可。如需受管政策的詳細資訊,請參閱 [AWS 受管政策](security_iam_id-based-policy-examples.md#using-managed-policies)。
建立政策後,您可以為 Amazon Personalize 建立 IAM 角色,並將新政策連接至該角色。
**Topics**
+ [為 Amazon Personalize 建立新的 IAM 政策](#create-role-policy)
+ [為 Amazon Personalize 建立 IAM 角色](#set-up-create-role-with-permissions)
## 為 Amazon Personalize 建立新的 IAM 政策
建立 IAM 政策,讓 Amazon Personalize 能夠完整存取您的 Amazon Personalize 資源。
**若要使用 JSON 政策編輯器來建立政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
如果這是您第一次選擇 **Policies (政策)**,將會顯示 **Welcome to Managed Policies (歡迎使用受管政策)** 頁面。選擇 **Get Started (開始使用)**。
1. 在頁面頂端,選擇 **Create policy (建立政策)**。
1. 在**政策編輯器**中,選擇 **JSON** 選項。
1. 輸入下列 JSON 政策文件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:*"
],
"Resource": "*"
}
]
}
```
1. 選擇**下一步**。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[調整政策結構](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢視**此政策中定義的許可**,來查看您的政策所授予的許可。
1. 選擇 **Create policy** (建立政策) 儲存您的新政策。
## 為 Amazon Personalize 建立 IAM 角色
若要使用 Amazon Personalize,您必須為 Amazon Personalize 建立 AWS Identity and Access Management 服務角色。服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。為 Amazon Personalize 建立服務角色之後,請[其他服務角色許可](#additional-service-role-permissions)視需要授予 中列出的角色額外許可。
**建立個人化 的服務角色 (IAM 主控台)**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。
1. 針對**服務或使用案例**,選擇**個人化**,然後選擇**個人化**使用案例。
1. 選擇**下一步**。
1. 選擇您在上一個程序中建立的政策。
1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能,可用於服務角色,而不是服務連結的角色。
1. 開啟**設定許可界限**區段,然後選擇**使用許可界限來控制角色許可上限**。
IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。
1. 選取用於許可界限的政策。
1. 選擇**下一步**。
1. 輸入角色名稱或角色名稱字尾,協助識別該角色的用途。
**重要**
當您命名角色時,請注意下列事項:
角色名稱在您的 中必須是唯一的 AWS 帳戶,且無法依大小寫設為唯一。
例如,不要同時建立名為 **PRODROLE** 和 **prodrole** 的角色。當角色名稱用於政策或 ARN 的一部分時,角色名稱會區分大小寫,但是當角色名稱在主控台中顯示給客戶時,例如在登入過程中,角色名稱不會區分大小寫。
因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。
1. (選用) 在**說明**中,輸入角色的說明。
1. (選用) 若要編輯使用案例和角色許可,請在**步驟 1:選取受信任的實體**或者**步驟 2:新增許可**區段中選擇**編輯**。
1. (選用) 若要協助識別、組織或搜尋角色,請將標籤新增為索引鍵值對。如需在 IAM 中使用標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
為 Amazon Personalize 建立角色之後,您就可以將[存取權授予 Amazon S3 儲存貯體](granting-personalize-s3-access.md)和[任何 AWS KMS 金鑰](granting-personalize-key-access.md)。
### 其他服務角色許可
在您建立角色並授予其存取 Amazon Personalize 資源的許可後,請執行下列動作:
1. 修改 Amazon Personalize 服務角色的信任政策,以防止[混淆代理人問題](cross-service-confused-deputy-prevention.md)。如需信任關係政策範例,請參閱 [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)。如需修改角色信任政策的資訊,請參閱[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
1. 如果您使用 AWS Key Management Service (AWS KMS) 進行加密,則必須授予 Amazon Personalize 和 Amazon Personalize IAM 服務角色許可,才能使用您的金鑰。如需詳細資訊,請參閱[授予 Amazon Personalize 許可以使用您的 AWS KMS 金鑰](granting-personalize-key-access.md)。