Configuración de permisos de código OpenSearch abierto - Amazon Personalize
Ejemplos de políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de permisos de código OpenSearch abierto

Si utilizas código abierto OpenSearch, debes poder acceder a tus recursos de Amazon Personalize desde tu clúster de búsqueda abierto. Para otorgar acceso, realice lo siguiente:

  • Si está configurando OpenSearch desde cero, puede usar un script bash de inicio rápido para ejecutar un OpenSearch clúster en un contenedor de Docker. El script usa las credenciales predeterminadas de tu perfil. AWS Puede especificar un perfil alternativo al ejecutar el script.

    Estas credenciales deben estar asociadas a un usuario o rol que tenga permiso para realizar la GetPersonalizedRanking acción de tu campaña Amazon Personalize. Para ver una política de IAM de ejemplo, consulte Ejemplos de políticas de IAM. Como alternativa, las credenciales deben tener permiso para asumir un rol que tenga estos permisos. Puede proporcionar el nombre de recurso de Amazon (ARN) para este rol al crear un canalización para el complemento Search Ranking de Amazon Personalize.

  • Si no utilizas el script bash de inicio rápido, puedes añadir tus credenciales manualmente a tu almacén de OpenSearch claves. Estas credenciales deben corresponder a un usuario o rol que tenga permiso para realizar la GetPersonalizedRanking acción de tu campaña Amazon Personalize.

    Para añadir tus AWS credenciales manualmente al OpenSearch almacén de claves, ejecuta el siguiente comando en el lugar en el que se ejecute el OpenSearch clúster (por ejemplo, en un contenedor de Docker). A continuación, proporcione cada credencial. Si no utiliza un token de sesión, puede omitir la última línea del comando. 

    opensearch-keystore add \
personalized_search_ranking.aws.access_key \
personalized_search_ranking.aws.secret_key \
personalized_search_ranking.aws.session_token

  • Si ejecutas tu OpenSearch clúster en una EC2 instancia de Amazon, puedes conceder permisos con un perfil de instancia de IAM. La política asociada al rol debe concederle permiso para realizar la GetPersonalizedRanking acción en tu campaña Amazon Personalize. También debe conceder EC2 permisos a Amazon para que asuma la función.

    Para obtener información sobre los perfiles de EC2 instancia de Amazon, consulta Uso de perfiles de instancia. Para ver una política de ejemplo, consulte Ejemplos de políticas de IAM.

Ejemplos de políticas de IAM

El siguiente ejemplo de política concede a un usuario o rol los permisos mínimos para obtener una clasificación personalizada de su campaña de Amazon Personalize. Para Campaign ARN, especifique el nombre de recurso de Amazon (ARN) de la campaña de Amazon Personalize.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}

Además, si ejecutas tu OpenSearch clúster en una EC2 instancia de Amazon y concedes permisos con un perfil de instancia de IAM, la política de confianza del rol debe conceder los EC2 AssumeRole permisos de Amazon de la siguiente manera. Para obtener información sobre los perfiles de EC2 instancia de Amazon, consulta Uso de perfiles de instancia.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}