リソースが異なるアカウントにある場合のアクセス許可の設定 - Amazon Personalize

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースが異なるアカウントにある場合のアクセス許可の設定

OpenSearch サービスと Amazon Personalize リソースが別々のアカウントにある場合は、各アカウントに IAM ロールを作成し、そのロールにアカウントのリソースへのアクセスを許可します。

複数のアカウントのアクセス許可を設定するには

  1. Amazon Personalize キャンペーンが存在するアカウントで、Amazon Personalize キャンペーンからパーソナライズされたランキングを取得するアクセス許可を持つ IAM ロールを作成します。プラグインを設定するときは、personalized_search_rankingレスポンスプロセッサの external_account_iam_role_arnパラメータでこのロールの ARN を指定します。詳細については、「プラグインの設定」を参照してください。

    ポリシーの例については、「アクセス許可ポリシーの例」を参照してください。

  2. OpenSearch サービスドメインが存在するアカウントで、 OpenSearch サービスAssumeRoleアクセス許可を付与する信頼ポリシーを持つロールを作成します。プラグインを設定するときは、personalized_search_rankingレスポンスプロセッサの iam_role_arnパラメータでこのロールの ARN を指定します。詳細については、「プラグインの設定」を参照してください。

    信頼ポリシーの例については、「信頼ポリシーの例」を参照してください。

  3. 各ロールを変更して、他のロールのAssumeRoleアクセス許可を付与します。例えば、Amazon Personalize リソースにアクセスできるロールの場合、その IAM ポリシーは、 OpenSearch サービスドメインを持つアカウントのロールに、次のようにロールの継承アクセス許可を付与します。

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

  4. OpenSearch サービスドメインが存在するアカウントで、先ほど作成した OpenSearch サービスサービスロールのサービスドメインにアクセスしているユーザーまたは OpenSearch ロールに、アクセスPassRole許可を付与します。詳細については、「Amazon OpenSearch Service ドメインセキュリティの設定」を参照してください。