当资源位于同一账户时配置权限 - Amazon Personalize
信任策略示例权限策略示例

当资源位于同一账户时配置权限

如果您的 OpenSearch Service 和 Amazon Personalize 资源位于同一个账户中,则必须为 OpenSearch Service 创建一个 IAM 服务角色。此角色必须拥有权限才能从 Amazon Personalize 市场活动中获得个性化排名。要向 OpenSearch Service 服务角色授予从 Amazon Personalize 市场活动中获得个性化排名的权限,需要执行以下操作:

  • 该角色的信任策略必须授予 OpenSearch Service 的 AssumeRole 权限。有关信任策略示例,请参阅信任策略示例

  • 此角色必须拥有权限才能从 Amazon Personalize 市场活动中获得个性化排名。有关策略示例,请参阅权限策略示例

有关创建 IAM 角色的信息,请参阅《IAM 用户指南》中的创建 IAM 角色。有关将 IAM 策略附加到角色的信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限

为 OpenSearch Service 创建 IAM 服务角色后,必须向访问 OpenSearch Service 域的用户或角色授予 OpenSearch Service 服务角色的 PassRole 权限。有关更多信息,请参阅 配置 Amazon OpenSearch Service 域安全性

信任策略示例

以下信任策略示例授予 OpenSearch Service 的 AssumeRole 权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Principal": {
            "Service": [
                "es.amazonaws.com"
            ]
        }
    }]
}

权限策略示例

以下策略示例向该角色授予从 Amazon Personalize 市场活动中获得个性化排名的最低权限。对于 Campaign ARN,为 Amazon Personalize 市场活动指定 Amazon 资源名称 (ARN)。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}