Configuración de los permisos de OpenSearch de código abierto - Amazon Personalize
Ejemplos de políticas de IAM

Configuración de los permisos de OpenSearch de código abierto

SI usa OpenSearch de código abierto, debe poder acceder a los recursos de Amazon Personalize desde su clúster de código abierto. Para otorgar acceso, realice lo siguiente:

  • Si está configurando OpenSearch desde cero, puede usar un script bash de inicio rápido para ejecutar un clúster de OpenSearch en un contenedor de Docker. El script usa las credenciales predeterminadas en su perfil de AWS. Puede especificar un perfil alternativo al ejecutar el script.

    Estas credenciales deben estar asociadas a un usuario o rol que tenga permiso para realizar la acción GetPersonalizedRanking para su campaña Amazon Personalize. Para ver una política de IAM de ejemplo, consulte Ejemplos de políticas de IAM. Como alternativa, las credenciales deben tener permiso para asumir un rol que tenga estos permisos. Puede proporcionar el nombre de recurso de Amazon (ARN) para este rol al crear un canalización para el complemento Search Ranking de Amazon Personalize.

  • Si no utiliza el script bash de inicio rápido, puede añadir sus credenciales manualmente a su almacén de claves de OpenSearch. Estas credenciales deben corresponder a un usuario o rol que tenga permiso para realizar la acción GetPersonalizedRanking para su campaña de Amazon Personalize.

    Para añadir manualmente sus credenciales de AWS al almacén de claves de OpenSearch, ejecute el siguiente comando en el lugar en el que se ejecute su clúster de OpenSearch (por ejemplo, en un contenedor de Docker). A continuación, proporcione cada credencial. Si no utiliza un token de sesión, puede omitir la última línea del comando. 

    opensearch-keystore add \
personalized_search_ranking.aws.access_key \
personalized_search_ranking.aws.secret_key \
personalized_search_ranking.aws.session_token

  • Si ejecuta el clúster de OpenSearch en una instancia de Amazon EC2, puede conceder permisos con un perfil de instancia de IAM. La política asociada al rol debe concederle permiso para realizar la acción GetPersonalizedRanking para su campaña de Amazon Personalize. También conceder el permisos de Amazon EC2 para asumir el rol.

    Para obtener más información sobre los perfiles de instancia de Amazon EC2, consulte Uso de perfiles de instancia. Para ver una política de ejemplo, consulte Ejemplos de políticas de IAM.

Ejemplos de políticas de IAM

El siguiente ejemplo de política concede a un usuario o rol los permisos mínimos para obtener una clasificación personalizada de su campaña de Amazon Personalize. Para Campaign ARN, especifique el nombre de recurso de Amazon (ARN) de la campaña de Amazon Personalize.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}

Además, si ejecuta su clúster de OpenSearch en una instancia de Amazon EC2 y concede permisos con un perfil de instancia de IAM, la política de confianza del rol debe conceder los permisos AssumeRole de Amazon EC2 de la siguiente manera. Para obtener más información sobre los perfiles de instancia de Amazon EC2, consulte Uso de perfiles de instancia.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}