Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyiapkan izin OpenSearch Layanan Amazon
<a name="opensearch-granting-access-managed"></a>

Jika Anda menggunakan OpenSearch Layanan Amazon, Anda harus dapat mengakses sumber daya Amazon Personalisasi dari domain OpenSearch Layanan Anda. 

**Untuk mengatur izin**

1. Bergantung pada apakah sumber daya Anda berada di akun yang sama atau berbeda, buat satu atau beberapa peran layanan IAM dengan izin untuk mengakses sumber daya Anda.
   +  Jika sumber daya OpenSearch Layanan dan Amazon Personalisasi berada di akun yang sama, Anda membuat peran layanan IAM untuk OpenSearch Layanan dan memberinya izin untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalisasi Anda. Untuk informasi selengkapnya, lihat [Mengkonfigurasi izin saat sumber daya berada di akun yang sama](service-role-managed.md).
   + Jika sumber daya OpenSearch Layanan dan Amazon Personalisasi berada di akun terpisah, Anda membuat dua peran layanan IAM. Anda membuatnya di akun dengan sumber daya OpenSearch Layanan Anda dan memberikannya akses ke sumber daya OpenSearch Layanan Anda. Dan Anda membuatnya di akun dengan sumber daya Amazon Personalisasi dan memberinya izin untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalisasi Anda. Untuk informasi selengkapnya, lihat [Mengkonfigurasi izin saat sumber daya berada di akun yang berbeda](configuring-multiple-accounts.md). 

1. Berikan pengguna atau peran yang mengakses `PassRole` izin domain OpenSearch Layanan Anda untuk peran layanan IAM yang Anda buat untuk Layanan. OpenSearch Untuk informasi selengkapnya, lihat [Mengkonfigurasi keamanan domain OpenSearch Layanan Amazon](domain-user-managed.md).

Setelah Anda mengatur izin, Anda siap untuk menginstal plugin di domain Anda. Untuk informasi selengkapnya, lihat [Menginstal plugin](open-search-install-managed.md).

**Topics**
+ [Mengkonfigurasi izin saat sumber daya berada di akun yang sama](service-role-managed.md)
+ [Mengkonfigurasi izin saat sumber daya berada di akun yang berbeda](configuring-multiple-accounts.md)
+ [Mengkonfigurasi keamanan domain OpenSearch Layanan Amazon](domain-user-managed.md)

# Mengkonfigurasi izin saat sumber daya berada di akun yang sama
<a name="service-role-managed"></a>

Jika sumber daya OpenSearch Layanan dan Amazon Personalisasi berada di akun yang sama, Anda harus membuat peran layanan IAM untuk Layanan. OpenSearch Peran ini harus memiliki izin untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalize Anda. Berikut ini diperlukan untuk memberikan izin peran OpenSearch layanan Layanan Anda untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalize Anda:
+ Kebijakan kepercayaan peran harus memberikan `AssumeRole` izin untuk OpenSearch Layanan. Untuk contoh kebijakan kepercayaan, lihat[Contoh kebijakan kepercayaan](#opensearch-granting-access-managed-trust-policy). 
+ Peran tersebut harus memiliki izin untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalize Anda. Untuk contoh kebijakan, lihat[Contoh kebijakan izin](#opensearch-granting-access-managed-permissions-policy). 

Untuk informasi tentang membuat peran IAM, lihat [Membuat peran IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) Pengguna *IAM*. *Untuk informasi tentang melampirkan kebijakan IAM ke peran, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*

Setelah membuat peran layanan IAM untuk OpenSearch Layanan, Anda harus memberikan pengguna atau peran yang mengakses `PassRole` izin domain OpenSearch Layanan Anda untuk peran OpenSearch layanan Layanan. Untuk informasi selengkapnya, lihat [Mengkonfigurasi keamanan domain OpenSearch Layanan Amazon](domain-user-managed.md).

**Topics**
+ [Contoh kebijakan kepercayaan](#opensearch-granting-access-managed-trust-policy)
+ [Contoh kebijakan izin](#opensearch-granting-access-managed-permissions-policy)

## Contoh kebijakan kepercayaan
<a name="opensearch-granting-access-managed-trust-policy"></a>

Contoh kebijakan kepercayaan berikut memberikan `AssumeRole` izin untuk OpenSearch Layanan. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Principal": {
            "Service": [
                "es.amazonaws.com"
            ]
        }
    }]
}
```

------

## Contoh kebijakan izin
<a name="opensearch-granting-access-managed-permissions-policy"></a>

Contoh kebijakan berikut memberi peran izin minimum untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalize Anda. Untuk`Campaign ARN`, tentukan Nama Sumber Daya Amazon (ARN) dari kampanye Amazon Personalize Anda. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}
```

------

# Mengkonfigurasi izin saat sumber daya berada di akun yang berbeda
<a name="configuring-multiple-accounts"></a>

Jika OpenSearch Layanan dan Amazon Personalisasi sumber daya berada di akun terpisah, Anda membuat peran IAM di setiap akun dan memberikan akses peran ke sumber daya di akun. 

**Untuk mengatur izin untuk beberapa akun**

1. Di akun tempat kampanye Amazon Personalisasi Anda ada, buat peran IAM yang memiliki izin untuk mendapatkan peringkat yang dipersonalisasi dari kampanye Amazon Personalize Anda. Saat Anda mengkonfigurasi plugin, Anda menentukan ARN untuk peran ini dalam `external_account_iam_role_arn` parameter prosesor `personalized_search_ranking` respons. Untuk informasi selengkapnya, lihat [Membuat pipeline di Amazon OpenSearch Service](managed-opensearch-plugin-pipeline-example.md). 

   Untuk contoh kebijakan, lihat[Contoh kebijakan izin](service-role-managed.md#opensearch-granting-access-managed-permissions-policy).

1. Di akun tempat domain OpenSearch Layanan Anda ada, buat peran dengan kebijakan kepercayaan yang memberikan `AssumeRole` izin OpenSearch Layanan. Saat Anda mengkonfigurasi plugin, Anda menentukan ARN untuk peran ini dalam `iam_role_arn` parameter prosesor `personalized_search_ranking` respons. Untuk informasi selengkapnya, lihat [Membuat pipeline di Amazon OpenSearch Service](managed-opensearch-plugin-pipeline-example.md). 

   Untuk contoh kebijakan kepercayaan, lihat[Contoh kebijakan kepercayaan](service-role-managed.md#opensearch-granting-access-managed-trust-policy). 

1. Ubah setiap peran untuk memberikan `AssumeRole` izin peran lainnya. Misalnya, untuk peran yang memiliki akses ke sumber daya Amazon Personalisasi Anda, kebijakan IAM akan memberikan peran dalam akun dengan domain OpenSearch Layanan mengambil izin peran sebagai berikut: 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
           "Sid": "",
           "Effect": "Allow",
           "Action": "sts:AssumeRole",
           "Resource": "arn:aws:iam::111122223333:role/roleName"
            
       }]
   }
   ```

------

1. Di akun tempat domain OpenSearch Layanan Anda ada, berikan pengguna atau peran yang mengakses `PassRole` izin domain OpenSearch Layanan Anda untuk peran layanan OpenSearch Layanan yang baru saja Anda buat. Untuk informasi selengkapnya, lihat [Mengkonfigurasi keamanan domain OpenSearch Layanan Amazon](domain-user-managed.md).

# Mengkonfigurasi keamanan domain OpenSearch Layanan Amazon
<a name="domain-user-managed"></a>

Untuk menggunakan plugin dengan OpenSearch Layanan, pengguna atau peran yang mengakses domain Anda harus memiliki `PassRole` izin untuk [peran layanan IAM untuk Layanan yang baru saja Anda buat OpenSearch ](service-role-managed.md). Juga, pengguna atau peran harus memiliki izin untuk melakukan `es:ESHttpGet` dan `es:ESHttpPut` tindakan.

Untuk informasi tentang mengonfigurasi akses ke OpenSearch Layanan, lihat [Keamanan di OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html) di *Panduan Pengembang OpenSearch Layanan Amazon*. Untuk contoh kebijakan, lihat[Contoh kebijakan untuk pengguna atau peran OpenSearch Layanan](#opensearch-domain-user-policy-examples). 

## Contoh kebijakan untuk pengguna atau peran OpenSearch Layanan
<a name="opensearch-domain-user-policy-examples"></a>

Contoh kebijakan IAM berikut memberikan `PassRole` izin pengguna atau peran untuk peran layanan IAM yang Anda buat untuk Layanan. OpenSearch [Mengkonfigurasi izin saat sumber daya berada di akun yang sama](service-role-managed.md)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
        }
    ]
}
```

------

Kebijakan IAM berikut memberikan izin minimum untuk membuat pipeline dan kueri penelusuran dengan Service. OpenSearch 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPut"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": [
                        "production"
                    ]
                }
            }
        }
    ]
}
```

------