本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 當資源位於不同帳戶時設定許可 如果您的 OpenSearch Service 和 Amazon Personalize 資源位於不同的帳戶中,您可以在每個帳戶中建立 IAM 角色,並授予該角色對帳戶中資源的存取權。 **設定多個帳戶的許可** 1. 在存在 Amazon Personalize 行銷活動的帳戶中,建立具有從您的 Amazon Personalize 行銷活動取得個人化排名之許可的 IAM 角色。當您設定外掛程式時,您可以在`personalized_search_ranking`回應處理器的 `external_account_iam_role_arn` 參數中指定此角色的 ARN。如需詳細資訊,請參閱[在 Amazon OpenSearch Service 中建立管道](managed-opensearch-plugin-pipeline-example.md)。 如需政策範例,請參閱[許可政策範例](service-role-managed.md#opensearch-granting-access-managed-permissions-policy)。 1. 在存在 OpenSearch Service 網域的帳戶中,建立具有授予 OpenSearch Service `AssumeRole`許可之信任政策的角色。當您設定外掛程式時,您可以在`personalized_search_ranking`回應處理器的 `iam_role_arn` 參數中指定此角色的 ARN。如需詳細資訊,請參閱[在 Amazon OpenSearch Service 中建立管道](managed-opensearch-plugin-pipeline-example.md)。 如需信任政策範例,請參閱 [信任政策範例](service-role-managed.md#opensearch-granting-access-managed-trust-policy)。 1. 修改每個角色以授予其他角色`AssumeRole`許可。例如,對於可存取 Amazon Personalize 資源的角色,其 IAM 政策會授予具有 OpenSearch Service 網域之帳戶中的角色擔任角色許可,如下所示: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/roleName" }] } ``` ------ 1. 在存在 OpenSearch Service 網域的帳戶中,授予使用者或角色存取您剛建立之 OpenSearch Service 服務角色的 OpenSearch Service 網域`PassRole`許可。如需詳細資訊,請參閱[設定 Amazon OpenSearch Service 網域安全性](domain-user-managed.md)。