當資源位於不同帳戶時設定許可 - Amazon Personalize

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

當資源位於不同帳戶時設定許可

如果您的 OpenSearch Service 和 Amazon Personalize 資源位於不同的帳戶中,您可以在每個帳戶中建立 IAM 角色,並授予該角色對帳戶中資源的存取權。

設定多個帳戶的許可

  1. 在存在 Amazon Personalize 行銷活動的帳戶中,建立具有從您的 Amazon Personalize 行銷活動取得個人化排名之許可的 IAM 角色。當您設定外掛程式時,您可以在personalized_search_ranking回應處理器的 external_account_iam_role_arn 參數中指定此角色的 ARN。如需詳細資訊,請參閱在 Amazon OpenSearch Service 中建立管道

    如需政策範例,請參閱許可政策範例

  2. 在存在 OpenSearch Service 網域的帳戶中,建立具有授予 OpenSearch Service AssumeRole許可之信任政策的角色。當您設定外掛程式時,您可以在personalized_search_ranking回應處理器的 iam_role_arn 參數中指定此角色的 ARN。如需詳細資訊,請參閱在 Amazon OpenSearch Service 中建立管道

    如需信任政策範例,請參閱 信任政策範例

  3. 修改每個角色以授予其他角色AssumeRole許可。例如,對於可存取 Amazon Personalize 資源的角色,其 IAM 政策會授予具有 OpenSearch Service 網域之帳戶中的角色擔任角色許可,如下所示:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::<Account number for role with access to OpenSearch Service domain>:role/roleName"
         
    }]
}

  4. 在存在 OpenSearch Service 網域的帳戶中,授予使用者或角色存取您剛建立之 OpenSearch Service 服務角色的 OpenSearch Service 網域PassRole許可。如需詳細資訊,請參閱設定 Amazon OpenSearch Service 網域安全性