リソースが異なるアカウントにある場合のアクセス許可の設定 - Amazon Personalize

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースが異なるアカウントにある場合のアクセス許可の設定

OpenSearch Service リソースと Amazon Personalize リソースが別々のアカウントにある場合は、各アカウントに IAM ロールを作成し、そのロールにアカウントのリソースへのアクセスを許可します。

複数のアカウントのアクセス許可を設定するには

  1. Amazon Personalize キャンペーンが存在するアカウントで、Amazon Personalize キャンペーンからパーソナライズされたランキングを取得するアクセス許可を持つ IAM ロールを作成します。プラグインを設定するときは、personalized_search_ranking レスポンスプロセッサの external_account_iam_role_arn パラメータでこのロールの ARN を指定します。詳細については、「Amazon OpenSearch Service のパイプラインを作成する」を参照してください。

    ポリシーの例については、「アクセス許可ポリシーの例」を参照してください。

  2. OpenSearch Service ドメインが存在するアカウントで、OpenSearch Service の AssumeRole アクセス許可を付与する信頼ポリシーを持つロールを作成します。プラグインを設定するときは、personalized_search_ranking レスポンスプロセッサの iam_role_arn パラメータでこのロールの ARN を指定します。詳細については、「Amazon OpenSearch Service のパイプラインを作成する」を参照してください。

    信頼ポリシーの例については、「信頼ポリシーの例」を参照してください。

  3. 各ロールを変更して、他のロールの AssumeRole アクセス許可を付与します。例えば、Amazon Personalize リソースにアクセスできるロールの場合、その IAM ポリシーは OpenSearch Service ドメインのアカウントのロールに、次のようにロール継承アクセス許可を付与します。

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

  4. OpenSearch Service ドメインが存在するアカウントで、OpenSearch Service ドメインにアクセスするユーザーまたはロールに、先ほど作成した OpenSearch Service サービスロールの PassRole アクセス許可を付与します。詳細については、「Amazon OpenSearch Service のドメインセキュリティの設定」を参照してください。