本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 当资源位于不同账户时配置权限 如果您的 S OpenSearch ervice 和 Amazon Personalize 资源位于不同的账户中,则您可以在每个账户中创建一个 IAM 角色并向该角色授予对账户中资源的访问权限。 **设置多个账户的权限** 1. 在 Amazon Personalize 市场活动所在的账户中,创建一个有权从 Amazon Personalize 市场活动中获取个性化排名的 IAM 角色。配置插件时,可以在 `personalized_search_ranking` 响应处理器的 `external_account_iam_role_arn` 参数中指定此角色的 ARN。有关更多信息,请参阅 [在 Amazon OpenSearch Service 中创建管道](managed-opensearch-plugin-pipeline-example.md)。 有关策略示例,请参阅[权限策略示例](service-role-managed.md#opensearch-granting-access-managed-permissions-policy)。 1. 在您的 OpenSearch 服务域所在的账户中,创建一个具有授予 OpenSearch 服务`AssumeRole`权限的信任策略的角色。配置插件时,可以在 `personalized_search_ranking` 响应处理器的 `iam_role_arn` 参数中指定此角色的 ARN。有关更多信息,请参阅 [在 Amazon OpenSearch Service 中创建管道](managed-opensearch-plugin-pipeline-example.md)。 有关信任策略示例,请参阅[信任策略示例](service-role-managed.md#opensearch-granting-access-managed-trust-policy)。 1. 修改每个角色以向其他角色授予 `AssumeRole` 权限。例如,对于有权访问您的 Amazon Personalize 资源的角色,其 IAM 策略将向账户中具有 OpenSearch 服务域的角色授予担任角色的权限,如下所示: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/roleName" }] } ``` ------ 1. 在您的 OpenSearch 服务域所在的账户中,向访问您的 OpenSearch 服务域的用户或角色授予您刚刚创建的 OpenSearch 服务角色的`PassRole`权限。有关更多信息,请参阅 [配置亚马逊 OpenSearch 服务域安全](domain-user-managed.md)。