当资源位于不同账户时配置权限

如果您的 S OpenSearch ervice 和 Amazon Personalize 资源位于不同的账户中，则您可以在每个账户中创建一个 IAM 角色并向该角色授予对账户中资源的访问权限。

设置多个账户的权限

在 Amazon Personalize 市场活动所在的账户中，创建一个有权从 Amazon Personalize 市场活动中获取个性化排名的 IAM 角色。配置插件时，可以在 personalized_search_ranking 响应处理器的 external_account_iam_role_arn 参数中指定此角色的 ARN。有关更多信息，请参阅在 Amazon OpenSearch 服务中创建管道。

有关策略示例，请参阅权限策略示例。
在您的 OpenSearch 服务域所在的账户中，创建一个具有授予 OpenSearch 服务AssumeRole权限的信任策略的角色。配置插件时，可以在 personalized_search_ranking 响应处理器的 iam_role_arn 参数中指定此角色的 ARN。有关更多信息，请参阅在 Amazon OpenSearch 服务中创建管道。

有关信任策略示例，请参阅信任策略示例。

修改每个角色以向其他角色授予 AssumeRole 权限。例如，对于有权访问您的 Amazon Personalize 资源的角色，其 IAM 策略将向账户中具有 OpenSearch 服务域的角色授予担任角色的权限，如下所示：


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

在您的 OpenSearch 服务域所在的账户中，向访问您的 OpenSearch 服务域的用户或角色授予您刚刚创建的 OpenSearch 服务角色的PassRole权限。有关更多信息，请参阅配置亚马逊 OpenSearch 服务域安全。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

当资源位于同一账户时配置权限

配置亚马逊 OpenSearch 服务域安全