Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des autorisations Amazon OpenSearch Service
Si vous utilisez Amazon OpenSearch Service, vous devez être en mesure d'accéder à vos ressources Amazon Personalize depuis votre domaine de OpenSearch service.
**Pour configurer les autorisations**
1. Selon que vos ressources se trouvent dans le même compte ou dans des comptes différents, créez un ou plusieurs rôles de service IAM autorisés à accéder à vos ressources.
+ Si vos ressources OpenSearch Service et Amazon Personalize se trouvent sur le même compte, vous créez un rôle de service IAM pour OpenSearch Service et vous lui accordez l'autorisation d'obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Pour de plus amples informations, veuillez consulter [Configuration des autorisations lorsque les ressources se trouvent dans le même compte](service-role-managed.md).
+ Si vos ressources OpenSearch Service et Amazon Personalize se trouvent dans des comptes distincts, vous créez deux rôles de service IAM. Vous en créez un dans le compte avec vos ressources de OpenSearch service et vous lui accordez l'accès à vos ressources OpenSearch de service. Et vous en créez une dans le compte avec vos ressources Amazon Personalize et vous lui accordez l'autorisation d'obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Pour de plus amples informations, veuillez consulter [Configuration des autorisations lorsque les ressources se trouvent dans des comptes différents](configuring-multiple-accounts.md).
1. Accordez à l'utilisateur ou au rôle qui accède à votre domaine de OpenSearch service `PassRole` des autorisations pour le rôle de service IAM que vous avez créé pour OpenSearch Service. Pour de plus amples informations, veuillez consulter [Configuration de la sécurité OpenSearch du domaine Amazon Service](domain-user-managed.md).
Après avoir configuré les autorisations, vous êtes prêt à installer le plugin sur votre domaine. Pour de plus amples informations, veuillez consulter [Installation du plug-in](open-search-install-managed.md).
**Topics**
+ [Configuration des autorisations lorsque les ressources se trouvent dans le même compte](service-role-managed.md)
+ [Configuration des autorisations lorsque les ressources se trouvent dans des comptes différents](configuring-multiple-accounts.md)
+ [Configuration de la sécurité OpenSearch du domaine Amazon Service](domain-user-managed.md)
# Configuration des autorisations lorsque les ressources se trouvent dans le même compte
Si vos ressources OpenSearch Service et Amazon Personalize se trouvent dans le même compte, vous devez créer un rôle de service IAM pour OpenSearch Service. Ce rôle doit être autorisé à obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Les conditions suivantes sont requises pour autoriser votre rôle de OpenSearch service dans le service à obtenir un classement personnalisé à partir de votre campagne Amazon Personalize :
+ La politique de confiance du rôle doit accorder `AssumeRole` des autorisations pour le OpenSearch service. Pour un exemple de politique de confiance, voir[Exemple de politique de confiance](#opensearch-granting-access-managed-trust-policy).
+ Le rôle doit être autorisé à obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Pour un exemple de stratégie, consultez [Exemple de politique d'autorisations](#opensearch-granting-access-managed-permissions-policy).
Pour plus d'informations sur la création d'un rôle IAM, consultez la section [Création de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) dans le Guide de l'utilisateur *IAM*. Pour plus d'informations sur l'attachement d'une politique IAM à un rôle, consultez la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'utilisateur *IAM*.
Après avoir créé un rôle de service IAM pour le OpenSearch service, vous devez accorder à l'utilisateur ou au rôle qui accède à votre domaine de OpenSearch service `PassRole` des autorisations pour le rôle de OpenSearch service de service. Pour de plus amples informations, veuillez consulter [Configuration de la sécurité OpenSearch du domaine Amazon Service](domain-user-managed.md).
**Topics**
+ [Exemple de politique de confiance](#opensearch-granting-access-managed-trust-policy)
+ [Exemple de politique d'autorisations](#opensearch-granting-access-managed-permissions-policy)
## Exemple de politique de confiance
L'exemple de politique de confiance suivant accorde des `AssumeRole` autorisations pour le OpenSearch service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"Service": [
"es.amazonaws.com"
]
}
}]
}
```
------
## Exemple de politique d'autorisations
L'exemple de politique suivant accorde au rôle les autorisations minimales nécessaires pour obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Pour`Campaign ARN`, spécifiez le nom de ressource Amazon (ARN) de votre campagne Amazon Personalize.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:GetPersonalizedRanking"
],
"Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
}
]
}
```
------
# Configuration des autorisations lorsque les ressources se trouvent dans des comptes différents
Si vos ressources OpenSearch Service et Amazon Personalize se trouvent dans des comptes distincts, vous créez un rôle IAM dans chaque compte et vous accordez au rôle l'accès aux ressources du compte.
**Pour configurer des autorisations pour plusieurs comptes**
1. Dans le compte sur lequel existe votre campagne Amazon Personalize, créez un rôle IAM autorisé à obtenir un classement personnalisé à partir de votre campagne Amazon Personalize. Lorsque vous configurez le plug-in, vous spécifiez l'ARN pour ce rôle dans le `external_account_iam_role_arn` paramètre du processeur de `personalized_search_ranking` réponse. Pour de plus amples informations, veuillez consulter [Création d'un pipeline dans Amazon OpenSearch Service](managed-opensearch-plugin-pipeline-example.md).
Pour un exemple de stratégie, consultez [Exemple de politique d'autorisations](service-role-managed.md#opensearch-granting-access-managed-permissions-policy).
1. Dans le compte où se trouve votre domaine de OpenSearch service, créez un rôle doté d'une politique de confiance qui accorde des `AssumeRole` autorisations OpenSearch de service. Lorsque vous configurez le plug-in, vous spécifiez l'ARN pour ce rôle dans le `iam_role_arn` paramètre du processeur de `personalized_search_ranking` réponse. Pour de plus amples informations, veuillez consulter [Création d'un pipeline dans Amazon OpenSearch Service](managed-opensearch-plugin-pipeline-example.md).
Pour un exemple de politique de confiance, voir[Exemple de politique de confiance](service-role-managed.md#opensearch-granting-access-managed-trust-policy).
1. Modifiez chaque rôle pour accorder des `AssumeRole` autorisations à l'autre rôle. Par exemple, pour le rôle qui a accès à vos ressources Amazon Personalize, sa politique IAM accordera au rôle dans le compte avec le domaine OpenSearch Service les autorisations d'assumer le rôle comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/roleName"
}]
}
```
------
1. Dans le compte où se trouve votre domaine de OpenSearch service, accordez à l'utilisateur ou au rôle qui accède à votre domaine de OpenSearch service `PassRole` des autorisations pour le rôle de OpenSearch service de service que vous venez de créer. Pour de plus amples informations, veuillez consulter [Configuration de la sécurité OpenSearch du domaine Amazon Service](domain-user-managed.md).
# Configuration de la sécurité OpenSearch du domaine Amazon Service
Pour utiliser le plug-in avec OpenSearch Service, l'utilisateur ou le rôle qui accède à votre domaine doit disposer d'`PassRole`autorisations pour le [rôle de service IAM pour le OpenSearch service](service-role-managed.md) que vous venez de créer. En outre, l'utilisateur ou le rôle doit être autorisé à effectuer les `es:ESHttpPut` actions `es:ESHttpGet` et.
Pour plus d'informations sur la configuration de l'accès au OpenSearch service, consultez [la section Sécurité d'Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html) dans le manuel *Amazon OpenSearch Service Developer Guide*. Pour obtenir des exemples de stratégie, consultez [Exemples de politiques pour l'utilisateur ou le rôle du OpenSearch service](#opensearch-domain-user-policy-examples).
## Exemples de politiques pour l'utilisateur ou le rôle du OpenSearch service
L'exemple de politique IAM suivant accorde à un utilisateur ou à un rôle `PassRole` des autorisations pour le rôle de service IAM que vous avez créé pour OpenSearch Service in. [Configuration des autorisations lorsque les ressources se trouvent dans le même compte](service-role-managed.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
La politique IAM suivante accorde les autorisations minimales pour créer des pipelines et des requêtes de recherche avec OpenSearch Service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}
]
}
```
------