기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon OpenSearch Service 권한 설정
Amazon OpenSearch Service를 사용하는 경우 OpenSearch 서비스 도메인에서 Personalize 리소스에 액세스할 수 있어야 합니다.
**권한을 설정하려면**
1. 리소스가 동일한 계정 또는 다른 계정에 있는지에 따라 리소스에 액세스할 수 있는 권한을 가진 하나 이상의 IAM 서비스 역할을 생성합니다.
+ OpenSearch Service 및 Amazon Personalize 리소스가 동일한 계정에 있는 경우, OpenSearch Service에 대한 IAM 서비스 역할을 생성하고 여기에 Amazon Personalize 캠페인에서 개인 맞춤형 순위를 얻을 수 있는 권한을 부여합니다. 자세한 내용은 [리소스가 동일한 계정에 있을 경우 권한 구성](service-role-managed.md) 단원을 참조하십시오.
+ OpenSearch Service 및 Amazon Personalize 리소스가 별도의 계정에 있는 경우 두 개의 IAM 서비스 역할을 생성합니다. OpenSearch Service 리소스로 계정에 하나를 생성하고 OpenSearch Service 리소스에 대한 액세스 권한을 부여합니다. Amazon Personalize 리소스로 계정에 하나를 생성하고 Amazon Personalize 캠페인에서 개인화된 순위를 가져올 수 있는 권한을 부여합니다. 자세한 내용은 [리소스가 다른 계정에 있을 경우 권한 구성](configuring-multiple-accounts.md) 단원을 참조하십시오.
1. OpenSearch Service 도메인에 액세스하는 사용자 또는 역할에 OpenSearch Service에 대해 생성한 IAM 서비스 역할에 대한 `PassRole` 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service 도메인 보안 구성](domain-user-managed.md) 단원을 참조하십시오.
권한을 설정하면 도메인에 플러그인을 설치할 준비가 된 것입니다. 자세한 내용은 [플러그인 설치](open-search-install-managed.md) 단원을 참조하십시오.
**Topics**
+ [리소스가 동일한 계정에 있을 경우 권한 구성](service-role-managed.md)
+ [리소스가 다른 계정에 있을 경우 권한 구성](configuring-multiple-accounts.md)
+ [Amazon OpenSearch Service 도메인 보안 구성](domain-user-managed.md)
# 리소스가 동일한 계정에 있을 경우 권한 구성
OpenSearch Service 및 Amazon Personalize 리소스가 동일한 계정에 있는 경우 OpenSearch Service에 대해 IAM 서비스 역할을 생성해야 합니다. 이 역할에 Personalize 캠페인에서 개인 맞춤형 순위를 얻을 수 있는 권한이 있어야 합니다. Personalize 캠페인에서 개인 맞춤형 순위를 얻을 수 있는 권한을 OpenSearch 서비스 역할에 부여하려면 다음이 필요합니다.
+ 역할의 신뢰 정책이 OpenSearch 서비스에 대한 `AssumeRole`권한을 부여해야만 합니다. 신뢰 정책 예제는 [신뢰 정책 예제](#opensearch-granting-access-managed-trust-policy)단원을 참조하세요.
+ 역할에 Personalize 캠페인에서 개인 맞춤형 순위를 얻을 수 있는 권한이 있어야 합니다. 정책 예제는 [권한 정책 예제](#opensearch-granting-access-managed-permissions-policy)단원을 참조하세요.
IAM 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) 단원을 참조하세요.** 역할에 정책을 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) 단원을 참조하세요.**
OpenSearch Service에 대한 IAM 서비스 역할을 생성한 후 OpenSearch Service 도메인에 액세스하는 사용자 또는 역할에 OpenSearch Service 서비스 역할에 대한 `PassRole` 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service 도메인 보안 구성](domain-user-managed.md) 단원을 참조하십시오.
**Topics**
+ [신뢰 정책 예제](#opensearch-granting-access-managed-trust-policy)
+ [권한 정책 예제](#opensearch-granting-access-managed-permissions-policy)
## 신뢰 정책 예제
다음 신뢰 정책 예에서는 OpenSearch 서비스에 대한 `AssumeRole`권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"Service": [
"es.amazonaws.com"
]
}
}]
}
```
------
## 권한 정책 예제
다음 정책 예제에서는 Personalize 캠페인에서 개인 맞춤형 순위를 얻을 수 있는 최소 권한을 역할에 부여합니다. `Campaign ARN`에 Personalize 캠페인의 Amazon 리소스 이름(ARN)을 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:GetPersonalizedRanking"
],
"Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
}
]
}
```
------
# 리소스가 다른 계정에 있을 경우 권한 구성
OpenSearch Service 및 Amazon Personalize 리소스가 별도의 계정에 있는 경우 각 계정에 IAM 역할을 생성하고 계정의 리소스에 대한 액세스 권한을 역할에 부여합니다.
**여러 계정에 대한 권한을 설정하려면**
1. Amazon Personalize 캠페인이 있는 계정에서 Amazon Personalize 캠페인에서 개인화된 순위를 가져올 수 있는 권한이 있는 IAM 역할을 생성합니다. 플러그인을 구성할 때 `personalized_search_ranking` 응답 프로세서의 `external_account_iam_role_arn` 파라미터에 이 역할에 대한 ARN을 지정합니다. 자세한 내용은 [Amazon OpenSearch Service를 사용하여 파이프라인 생성](managed-opensearch-plugin-pipeline-example.md) 단원을 참조하십시오.
정책 예제는 [권한 정책 예제](service-role-managed.md#opensearch-granting-access-managed-permissions-policy) 섹션을 참조하세요.
1. OpenSearch Service 도메인이 있는 계정에서 OpenSearch Service `AssumeRole` 권한을 부여하는 신뢰 정책이 있는 역할을 생성합니다. 플러그인을 구성할 때 `personalized_search_ranking` 응답 프로세서의 `iam_role_arn` 파라미터에 이 역할에 대한 ARN을 지정합니다. 자세한 내용은 [Amazon OpenSearch Service를 사용하여 파이프라인 생성](managed-opensearch-plugin-pipeline-example.md) 단원을 참조하십시오.
신뢰 정책 예제는 [신뢰 정책 예제](service-role-managed.md#opensearch-granting-access-managed-trust-policy)단원을 참조하세요.
1. 각 역할을 수정하여 다른 역할 `AssumeRole` 권한을 부여합니다. 예를 들어 Amazon Personalize 리소스에 액세스할 수 있는 역할의 경우 IAM 정책은 다음과 같이 OpenSearch Service 도메인 수임 역할 권한을 계정의 역할에 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/roleName"
}]
}
```
------
1. OpenSearch 서비스 도메인이 있는 계정에서 OpenSearch 서비스 도메인에 액세스하는 사용자 또는 역할에 방금 생성한 OpenSearch Service 서비스 역할에 대한 `PassRole` 권한을 부여합니다. 자세한 내용은 [Amazon OpenSearch Service 도메인 보안 구성](domain-user-managed.md) 단원을 참조하십시오.
# Amazon OpenSearch Service 도메인 보안 구성
플러그인을 OpenSearch 서비스와 함께 사용하려면 도메인에 액세스하는 사용자 또는 역할에 방금 생성한 [OpenSearch Service의 IAM 서비스 역할](service-role-managed.md)에 대한 `PassRole`권한이 있어야 합니다. 또한 사용자 또는 역할에 `es:ESHttpGet`및 `es:ESHttpPut`작업을 수행할 권한이 있어야 합니다.
OpenSearch 서비스에 대한 액세스를 구성하는 방법에 대한 자세한 내용은 Amazon OpenSearch Service 개발자 안내서의 [Amazon OpenSearch Service의 보안](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html) 단원을 참조하세요.** 정책 예제는 [OpenSearch 서비스 사용자 또는 역할에 대한 정책 예제](#opensearch-domain-user-policy-examples)단원을 참조하세요.
## OpenSearch 서비스 사용자 또는 역할에 대한 정책 예제
다음 IAM 정책 예제에서는 [리소스가 동일한 계정에 있을 경우 권한 구성](service-role-managed.md)에서 OpenSearch Service에 대해 생성한 IAM 서비스 역할에 대한 `PassRole` 권한을 사용자 또는 역할에 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
다음 IAM 정책은 OpenSearch 서비스를 사용하여 파이프라인 및 검색 쿼리를 생성할 수 있는 최소 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}
]
}
```
------