本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在资源属于不同账户时配置权限
如果您的 S OpenSearch ervice 和 Amazon Personalize 资源位于不同的账户中,则您可以在每个账户中创建一个 IAM 角色并向该角色授予对账户中资源的访问权限。
为多个账户设置权限
-
在您的 Amazon Personalize 活动所在的账户中,创建一个 IAM 角色,该角色有权从您的亚马逊个性化活动中获得个性化排名。配置插件时,可以在
personalized_search_ranking
响应处理器的external_account_iam_role_arn
参数中为该角色指定 ARN。有关更多信息,请参阅 配置插件。有关策略示例,请参阅权限策略示例。
-
在您的 OpenSearch 服务域所在的账户中,创建一个具有授予 OpenSearch 服务
AssumeRole
权限的信任策略的角色。配置插件时,可以在personalized_search_ranking
响应处理器的iam_role_arn
参数中为该角色指定 ARN。有关更多信息,请参阅 配置插件。有关信任策略示例,请参阅信任策略示例。
-
修改每个角色以授予其他角色
AssumeRole
权限。例如,对于有权访问您的 Amazon Personalize 资源的角色,其 IAM 策略将向账户中具有 OpenSearch 服务域的角色授予担任角色的权限,如下所示:{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName" }] }
-
在您的 OpenSearch 服务域所在的账户中,向访问您的 OpenSearch 服务域的用户或角色授予您刚刚创建的 OpenSearch 服务角色的
PassRole
权限。有关更多信息,请参阅 配置亚马逊 OpenSearch 服务域安全。