Configuration des autorisations lorsque les ressources se trouvent dans des comptes différents - Amazon Personalize

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations lorsque les ressources se trouvent dans des comptes différents

Si vos ressources OpenSearch Service et Amazon Personalize se trouvent dans des comptes distincts, vous créez un rôle IAM dans chaque compte et vous accordez au rôle l'accès aux ressources du compte.

Pour configurer des autorisations pour plusieurs comptes

  1. Dans le compte sur lequel existe votre campagne Amazon Personalize, créez un rôle IAM autorisé à obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Lorsque vous configurez le plug-in, vous spécifiez l'ARN de ce rôle dans le external_account_iam_role_arn paramètre du processeur de personalized_search_ranking réponse. Pour plus d’informations, consultez Configuration du plugin.

    Pour un exemple de stratégie, consultez Exemple de politique d'autorisations.

  2. Dans le compte où se trouve votre domaine de OpenSearch service, créez un rôle doté d'une politique de confiance qui accorde des AssumeRole autorisations OpenSearch de service. Lorsque vous configurez le plug-in, vous spécifiez l'ARN de ce rôle dans le iam_role_arn paramètre du processeur de personalized_search_ranking réponse. Pour plus d’informations, consultez Configuration du plugin.

    Pour un exemple de politique de confiance, voirExemple de politique de confiance.

  3. Modifiez chaque rôle pour accorder des AssumeRole autorisations à l'autre rôle. Par exemple, pour le rôle qui a accès à vos ressources Amazon Personalize, sa politique IAM accordera au rôle dans le compte avec le domaine OpenSearch Service les autorisations d'assumer le rôle comme suit : 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

  4. Dans le compte où se trouve votre domaine de OpenSearch service, accordez à l'utilisateur ou au rôle qui accède à votre domaine de OpenSearch service PassRole des autorisations pour le rôle de OpenSearch service de service que vous venez de créer. Pour plus d’informations, consultez Configuration de la sécurité OpenSearch du domaine Amazon Service.