翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# リソースが同じアカウントにある場合のアクセス許可の設定
<a name="service-role-managed"></a>

OpenSearch Service リソースと Amazon Personalize リソースが同じアカウントにある場合、OpenSearch Service 用の IAM サービスロールを作成する必要があります。このロールには、Amazon Personalize キャンペーンからパーソナライズされたランキングを取得するためのアクセス許可が必要です。Amazon Personalize キャンペーンからパーソナライズされたランキングを取得する許可を OpenSearch Service サービスロールに付与するには、以下が必要です。
+ ロールの信頼ポリシーは OpenSearch Service への `AssumeRole` アクセス許可を付与する必要があります。信頼ポリシーの例については、「[信頼ポリシーの例](#opensearch-granting-access-managed-trust-policy)」を参照してください。
+ ロールには、Amazon Personalize キャンペーンからパーソナライズされたランキングを取得する許可が必要です。ポリシーの例については「[アクセス許可ポリシーの例](#opensearch-granting-access-managed-permissions-policy)」を参照してください。

IAM ロールの作成の詳細については、「*IAM ユーザーガイド*」の「[IAM ロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。ロールへの IAM ポリシーのアタッチについては、**「IAM ユーザーガイド」の「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

OpenSearch Service 用の IAM サービスロールを作成したら、OpenSearch Service ドメインにアクセスするユーザーまたはロールに、OpenSearch Service サービスロールの `PassRole` アクセス許可を付与する必要があります。詳細については、「[Amazon OpenSearch Service のドメインセキュリティの設定](domain-user-managed.md)」を参照してください。

**Topics**
+ [信頼ポリシーの例](#opensearch-granting-access-managed-trust-policy)
+ [アクセス許可ポリシーの例](#opensearch-granting-access-managed-permissions-policy)

## 信頼ポリシーの例
<a name="opensearch-granting-access-managed-trust-policy"></a>

以下の信頼ポリシーの例では、OpenSearch Service に `AssumeRole` アクセス許可を付与しています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Principal": {
            "Service": [
                "es.amazonaws.com"
            ]
        }
    }]
}
```

------

## アクセス許可ポリシーの例
<a name="opensearch-granting-access-managed-permissions-policy"></a>

次のポリシー例では、Amazon Personalize キャンペーンからパーソナライズされたランキングを取得するための最低限のアクセス許可をロールに付与しています。`Campaign ARN` には、Amazon Personalize キャンペーンの Amazon リソースネーム (ARN) を指定します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:GetPersonalizedRanking"
            ],
            "Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
        }
    ]
}
```

------