

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# オープンソースの OpenSearch アクセス許可のセットアップ
<a name="opensearch-granting-access"></a>

オープンソースの OpenSearch を使用する場合は、オープンサーチクラスターから Amazon Personalize リソースにアクセスできる必要があります。アクセス許可を付与するには、次の手順を実行します。
+ OpenSearch を最初からセットアップする場合は、[クイックスタート Bash スクリプト](https://github.com/opensearch-project/search-processor/blob/main/helpers/personalized_search_ranking_quickstart.sh)を使用して OpenSearch クラスターを Docker コンテナで実行できます。スクリプトは、 AWS プロファイルのデフォルトの認証情報を使用します。スクリプトを実行するときに、代替プロファイルを指定できます。

  これらの認証情報は、Amazon Personalize キャンペーンの GetPersonalizedRanking アクションを実行するアクセス許可を持つユーザーまたはロールに関連付けられている必要があります。IAM ポリシーの例については、「[IAM ポリシーの例](#opensearch-role-policy-example)」を参照してください。または、認証情報にはこれらのアクセス許可を持つロールを引き受けるアクセス許可が必要です。Amazon Personalize Search Ranking プラグインのパイプラインを作成するときに、このロールの Amazon リソースネーム (ARN) を指定できます。
+ [クイックスタート Bash スクリプト](https://github.com/opensearch-project/search-processor/blob/main/helpers/personalized_search_ranking_quickstart.sh)を使用しない場合は、OpenSearch キーストアに認証情報を手動で追加できます。これらの認証情報は、Amazon Personalize キャンペーンの GetPersonalizedRanking アクションを実行する権限を持つユーザーまたはロールと一致している必要があります。

  OpenSearch キーストアに AWS 認証情報を手動で追加するには、OpenSearch クラスターが実行されている (Docker コンテナなど) 次のコマンドを実行します。次に、各認証情報を入力します。セッショントークンを使用しない場合は、コマンドの最後の行を省略できます。

  ```
  opensearch-keystore add \
  personalized_search_ranking.aws.access_key \
  personalized_search_ranking.aws.secret_key \
  personalized_search_ranking.aws.session_token
  ```
+ Amazon EC2 インスタンスで OpenSearch クラスターを実行する場合、IAM インスタンスプロファイルを使用してアクセス許可を付与できます。ロールにアタッチされたポリシーは、Amazon Personalize キャンペーンの GetPersonalizedRanking アクションを実行するアクセス許可をロールに付与する必要があります。また、ロールを引き受けるためのアクセス許可を Amazon EC2 に付与する必要があります｡ 

  Amazon EC2 インスタンスプロファイルについては、「[インスタンスプロファイルの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)」を参照してください。ポリシーの例については「[IAM ポリシーの例](#opensearch-role-policy-example)」を参照してください。

## IAM ポリシーの例
<a name="opensearch-role-policy-example"></a>

次のポリシー例では、Amazon Personalize キャンペーンからパーソナライズされたランキングを取得するための最低限のアクセス許可をユーザーまたはロールに付与します。`Campaign ARN` には、Amazon Personalize キャンペーンの Amazon リソースネーム (ARN) を指定します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}
```

------

さらに、OpenSearch クラスターを Amazon EC2 インスタンスで実行し、IAM インスタンスプロファイルを使用してアクセス許可を付与する場合、ロールの信頼ポリシーは、次のように Amazon EC2 に `AssumeRole` アクセス許可を付与する必要があります。Amazon EC2 インスタンスプロファイルについては、「[インスタンスプロファイルの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------