設定開放原始碼 OpenSearch 權限 - Amazon Personalize
IAM 政策範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定開放原始碼 OpenSearch 權限

如果您使用開放原始碼 OpenSearch,您必須能夠從開放式搜尋叢集存取 Amazon Personalize 資源。若要授與存取權,請執行下列動作:

  • 如果您 OpenSearch 從頭開始設置,則可以使用快速啟動 bash 腳本在 Docker 容器中運行 OpenSearch 集群。指令碼會使用您設 AWS 定檔中的預設認證。您可以在執行指令碼時指定替代設定檔。

    這些登入資料必須與具有針對 Amazon Personalize 行銷活動執行 GetPersonalizedRanking動作權限的使用者或角色相關聯。如需 IAM 政策的範例,請參閱IAM 政策範例。或者,認證必須具有權限,才能擔任具有這些權限的角色。當您為 Amazon 個人化搜尋排名外掛程式建立管道時,您可以為此角色提供 Amazon 資源名稱 (ARN)。

  • 如果您不使用快速啟動 bash 腳本,則可以手動將憑據添加到密 OpenSearch 鑰庫中。這些登入資料必須與具有對 Amazon Personalize 行銷活動執行 GetPersonalizedRanking 動作權限的使用者或角色相對應。

    若要手動將 AWS 認證新增至 OpenSearch 金鑰儲存庫,請執行 OpenSearch 叢集執行的下列命令 (例如 Docker 容器)。然後提供每個認證。如果您不使用會話令牌,則可以省略命令中的最後一行。

    opensearch-keystore add \
personalized_search_ranking.aws.access_key \
personalized_search_ranking.aws.secret_key \
personalized_search_ranking.aws.session_token

  • 如果您在 Amazon EC2 執行個體上執行 OpenSearch 叢集,則可以使用 IAM 執行個體設定檔授予許可。附加到角色的政策必須授予其權限,才能為您的 Amazon Personalize 行銷活 GetPersonalizedRanking 動執行動作。它還必須授予 Amazon EC2 許可才能擔任該角色。

    如需 Amazon EC2 執行個體設定檔的資訊,請參閱使用執行個體設定檔 如需政策範例,請參閱「IAM 政策範例」。

IAM 政策範例

下列政策範例授予使用者或角色的最低許可,以便從 Amazon Personalize 行銷活動取得個人化排名。對於Campaign ARN,指定 Amazon 個性化廣告系列的亞馬遜資源名稱(ARN)。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "Campaign ARN"
        }
    ]
}

此外,如果您在 Amazon EC2 執行個體上執行 OpenSearch 叢集,並使用 IAM 執行個體設定檔授予許可,則該角色的信任政策必須按如下方式授予 Amazon EC2 AssumeRole 許可。如需 Amazon EC2 執行個體設定檔的資訊,請參閱使用執行個體設定檔 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}