当资源属于同一个账户时配置权限 - Amazon Personalize
信任策略示例权限策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

当资源属于同一个账户时配置权限

如果您的 OpenSearch 服务和 Amazon Personalize 资源位于同一个账户中,则必须为服务创建 IAM OpenSearch 服务角色。此角色必须拥有权限才能从 Amazon Personalize 市场活动中获得个性化排名。要向您的 OpenSearch 服务服务角色授予权限,才能从您的 Amazon Personalize 活动中获得个性化排名,需要满足以下条件:

  • 角色的信任策略必须授予 OpenSearch 服务AssumeRole权限。有关信任策略示例,请参阅信任策略示例

  • 此角色必须拥有权限才能从 Amazon Personalize 市场活动中获得个性化排名。有关策略示例,请参阅权限策略示例

有关创建 IAM 角色的信息,请参阅《IAM 用户指南》中的创建 IAM 角色。有关将 IAM 策略附加到角色的信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限

为服务创建 IAM OpenSearch 服务角色后,您必须向访问您的 OpenSearch 服务域的用户或角色授予该 OpenSearch 服务角色的PassRole权限。有关更多信息,请参阅 配置亚马逊 OpenSearch 服务域安全

信任策略示例

以下信任策略示例授予 OpenSearch 服务AssumeRole权限。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Principal": {
            "Service": [
                "es.amazonaws.com"
            ]
        }
    }]
}

权限策略示例

以下策略示例向该角色授予从 Amazon Personalize 市场活动中获得个性化排名的最低权限。对于 Campaign ARN,为 Amazon Personalize 市场活动指定 Amazon 资源名称 (ARN)。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "Campaign ARN"
        }
    ]
}