Como configurar permissões do OpenSearch de código aberto - Amazon Personalize
Exemplos de política do IAM

Como configurar permissões do OpenSearch de código aberto

Se você usa o OpenSearch de código aberto, você precisa ser capaz de acessar seus recursos do Amazon Personalize a partir do cluster de código aberto. Para conceder acesso, faça o seguinte:

  • Se você estiver configurando o OpenSearch do zero, use um script em bash de início rápido para executar um cluster do OpenSearch em um contêiner do Docker. O script usa as credenciais padrão no seu perfil da AWS. Você pode especificar um perfil alternativo quando for rodar o script.

    Essas credenciais precisam estar associadas a um usuário ou função que tenha permissão para realizar a ação GetPersonalizedRanking para sua campanha do Amazon Personalize. Para ver um exemplo de uma política do IAM, consulte Exemplos de política do IAM. Como alternativa, as credenciais precisam ter permissão para assumir um perfil que tenha essas permissões. Você pode fornecer o nome do recurso da Amazon (ARN) para essa função na hora de criar um pipeline para o plug-in Classificação de pesquisas do Amazon Personalize.

  • Se você não usar o script em bash de início rápido, adicione manualmente suas credenciais ao seu repositório de chaves do OpenSearch. Essas credenciais precisam estar associadas a um usuário ou função que tenha permissão para realizar a ação GetPersonalizedRanking para sua campanha do Amazon Personalize.

    Para adicionar manualmente suas credenciais da AWS ao repositório de chaves do OpenSearch, execute o comando a seguir onde seu cluster do OpenSearch está sendo executado (como um contêiner do Docker). Em seguida, informe cada credencial. Se não usar um token de sessão, você pode omitir a linha final no comando. 

    opensearch-keystore add \
personalized_search_ranking.aws.access_key \
personalized_search_ranking.aws.secret_key \
personalized_search_ranking.aws.session_token

  • Se você rodar o cluster do OpenSearch em uma instância do Amazon EC2, é possível conceder permissões com um perfil de instância do IAM. A política anexada ao perfil deve conceder a ele permissão para realizar a ação GetPersonalizedRanking para sua campanha do Amazon Personalize. além de permissões para o Amazon EC2 assumir o perfil.

    Para mais informações sobre os perfis de instância do Amazon EC2, consulte Como usar perfis de instância. Para ver um exemplo de política, consulte Exemplos de política do IAM.

Exemplos de política do IAM

O exemplo de política a seguir fornece a um usuário ou perfil as permissões mínimas para obter uma classificação personalizada da sua campanha do Amazon Personalize. Para Campaign ARN, especifique o nome do recurso da Amazon (ARN) da sua campanha do Amazon Personalize.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}

Além disso, se você executar seu cluster do OpenSearch em uma instância do Amazon EC2 e conceder permissões com um perfil de instância do IAM, a política de confiança para o perfil deve conceder permissões de AssumeRole ao Amazon EC2 conforme mostrado abaixo. Para mais informações sobre os perfis de instância do Amazon EC2, consulte Como usar perfis de instância.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}