Configurar los permisos cuando los recursos están en cuentas diferentes - Amazon Personalize

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar los permisos cuando los recursos están en cuentas diferentes

Si sus recursos de OpenSearch Service y Amazon Personalize están en cuentas distintas, crea un IAM rol en cada cuenta y le otorga acceso al rol a los recursos de la cuenta.

Para configurar permisos para varias cuentas

  1. En la cuenta en la que esté tu campaña Amazon Personalize, crea un IAM rol que tenga permiso para obtener una clasificación personalizada de tu campaña Amazon Personalize. Cuando configuras el complemento, especificas el rol ARN para este rol en el external_account_iam_role_arn parámetro del procesador de personalized_search_ranking respuestas. Para obtener más información, consulte Creación de una canalización en Amazon OpenSearch Service.

    Para ver una política de ejemplo, consulte Ejemplo de política de permisos.

  2. En la cuenta en la que se encuentra tu dominio de OpenSearch servicio, crea un rol con una política de confianza que otorgue AssumeRole permisos OpenSearch de servicio. Al configurar el complemento, especifique el rol ARN para este rol en el iam_role_arn parámetro del procesador de personalized_search_ranking respuestas. Para obtener más información, consulte Creación de una canalización en Amazon OpenSearch Service.

    Para ver una política de ejemplo, consulte Política de confianza de ejemplo.

  3. Modifique cada rol para conceder AssumeRole permisos al otro rol. Por ejemplo, para el rol que tiene acceso a tus recursos de Amazon Personalize, su IAM política otorgaría al rol en la cuenta con el dominio de OpenSearch servicio los permisos de rol de la siguiente manera: 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

  4. En la cuenta en la que OpenSearch esté tu dominio de servicio, otorga al usuario o rol que accede a tu dominio de OpenSearch servicio PassRole permisos para el rol de OpenSearch servicio que acabas de crear. Para obtener más información, consulte Configuración de la seguridad OpenSearch del dominio de Amazon Service.