当资源位于不同账户时配置权限 - Amazon Personalize
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

当资源位于不同账户时配置权限

如果您的 OpenSearch Service 和 Amazon Personalize 资源位于不同的账户中,则在每个账户中创建一个 IAM 角色并向角色授予对账户中资源的访问权限。

设置多个账户的权限
  1. 在 Amazon Personalize 市场活动所在的账户中,创建一个有权从 Amazon Personalize 市场活动中获取个性化排名的 IAM 角色。配置插件时,可以在 personalized_search_ranking 响应处理器的 external_account_iam_role_arn 参数中指定此角色的 ARN。有关更多信息,请参阅 在 Amazon OpenSearch Service 中创建管道

    有关策略示例,请参阅权限策略示例

  2. 在 OpenSearch Service 域所在的账户中,创建一个具有信任策略(授予 OpenSearch Service AssumeRole 权限)的角色。配置插件时,可以在 personalized_search_ranking 响应处理器的 iam_role_arn 参数中指定此角色的 ARN。有关更多信息,请参阅 在 Amazon OpenSearch Service 中创建管道

    有关信任策略示例,请参阅信任策略示例

  3. 修改每个角色以向其他角色授予 AssumeRole 权限。例如,对于有权访问 Amazon Personalize 资源的角色,其 IAM 策略将向账户中的角色授予 OpenSearch Service 域代入角色权限,如下所示:

    { "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName" }] }
  4. 在 OpenSearch Service 域所在的账户中,向访问 OpenSearch Service 域的用户或角色授予您刚刚创建的 OpenSearch Service 服务角色的 PassRole 权限。有关更多信息,请参阅 配置 Amazon OpenSearch Service 域安全性