Configuration des OpenSearch autorisations open source - Amazon Personalize
Exemples de politique IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des OpenSearch autorisations open source

Si vous utilisez l'open source OpenSearch, vous devez être en mesure d'accéder à vos ressources Amazon Personalize depuis votre cluster de recherche ouvert. Pour accorder l'accès, procédez comme suit :

  • Si vous effectuez une configuration à OpenSearch partir de zéro, vous pouvez utiliser un script bash de démarrage rapide pour exécuter un OpenSearch cluster dans un conteneur Docker. Le script utilise les informations d'identification par défaut de votre AWS profil. Vous pouvez spécifier un autre profil lorsque vous exécutez le script.

    Ces informations d'identification doivent être associées à un utilisateur ou à un rôle autorisé à effectuer l' GetPersonalizedRankingaction associée à votre campagne Amazon Personalize. Pour un exemple de stratégie IAM, consultezExemples de politique IAM. Les informations d'identification doivent également être autorisées à assumer un rôle doté de ces autorisations. Vous pouvez fournir l'Amazon Resource Name (ARN) pour ce rôle lorsque vous créez un pipeline pour le plugin Amazon Personalize Search Ranking.

  • Si vous n'utilisez pas le script bash de démarrage rapide, vous pouvez ajouter manuellement vos informations d'identification à votre OpenSearch keystore. Ces informations d'identification doivent correspondre à un utilisateur ou à un rôle autorisé à effectuer l' GetPersonalizedRanking action pour votre campagne Amazon Personalize.

    Pour ajouter manuellement vos AWS informations d'identification à votre OpenSearch keystore, exécutez la commande suivante là où votre OpenSearch cluster est exécuté (par exemple, un conteneur Docker). Fournissez ensuite chaque identifiant. Si vous n'utilisez pas de jeton de session, vous pouvez omettre la dernière ligne de la commande. 

    opensearch-keystore add \
personalized_search_ranking.aws.access_key \
personalized_search_ranking.aws.secret_key \
personalized_search_ranking.aws.session_token

  • Si vous exécutez votre OpenSearch cluster sur une instance Amazon EC2, vous pouvez accorder des autorisations avec un profil d'instance IAM. La politique associée au rôle doit l'autoriser à effectuer l' GetPersonalizedRanking action correspondant à votre campagne Amazon Personalize. Il doit également accorder à Amazon EC2 les autorisations nécessaires pour assumer ce rôle.

    Pour plus d'informations sur les profils d'instance Amazon EC2, consultez la section Utilisation des profils d'instance. Pour un exemple de stratégie, consultez Exemples de politique IAM.

Exemples de politique IAM

L'exemple de politique suivant accorde à un utilisateur ou à un rôle les autorisations minimales nécessaires pour obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. PourCampaign ARN, spécifiez le nom de ressource Amazon (ARN) de votre campagne Amazon Personalize. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "Campaign ARN"
        }
    ]
}

En outre, si vous exécutez votre OpenSearch cluster sur une instance Amazon EC2 et que vous accordez des autorisations avec un profil d'instance IAM, la politique de confiance relative au rôle doit accorder les autorisations Amazon AssumeRole EC2 comme suit. Pour plus d'informations sur les profils d'instance Amazon EC2, consultez la section Utilisation des profils d'instance. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}