當資源位於不同帳戶時設定權限 - Amazon Personalize

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

當資源位於不同帳戶時設定權限

如果您的 OpenSearch 服務和 Amazon Personalize 資源位於不同的帳戶中,則您可以在每個帳戶中建立 IAM 角色,並授予該角色對帳戶中資源的存取權。

設定多個帳戶的權限

  1. 在您的 Amazon Personalize 行銷活動所在的帳戶中,建立具有權從 Amazon Personalize 個人化廣告活動取得個人化排名的 IAM 角色。當您設定外掛程式時,請在personalized_search_ranking回應處理器的external_account_iam_role_arn參數中指定此角色的 ARN。如需詳細資訊,請參閱 配置插件

    如需政策範例,請參閱「權限原則範例」。

  2. 在您的 OpenSearch Service 網域所在的帳戶中,建立具有授與 OpenSearch 服務AssumeRole權限之信任原則的角色。當您設定外掛程式時,請在personalized_search_ranking回應處理器的iam_role_arn參數中指定此角色的 ARN。如需詳細資訊,請參閱 配置插件

    如需信任原則範例,請參閱信任政策範例

  3. 修改每個角色以授與其他角色AssumeRole權限。例如,對於可以存取 Amazon Personalize 資源的角色,其 IAM 政策會授予該角色在具有 OpenSearch 服務網域的帳戶中假設角色許可,如下所示:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

  4. 在您的 OpenSearch Service 網域所在的帳戶中,針對您剛建立的服務服務角色授與存取您的 OpenSearch Ser OpenSearch vice 網域PassRole權限的使用者或角色。如需詳細資訊,請參閱 配置 Amazon OpenSearch 服務域安全