本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 当资源位于同一账户时配置权限
如果您的 OpenSearch 服务和 Amazon Personalize 资源位于同一个账户中,则必须为服务创建 IAM OpenSearch 服务角色。此角色必须拥有权限才能从 Amazon Personalize 市场活动中获得个性化排名。要向您的 OpenSearch 服务服务角色授予权限,才能从您的 Amazon Personalize 活动中获得个性化排名,需要满足以下条件:
+ 角色的信任策略必须授予 OpenSearch 服务`AssumeRole`权限。有关信任策略示例,请参阅[信任策略示例](#opensearch-granting-access-managed-trust-policy)。
+ 此角色必须拥有权限才能从 Amazon Personalize 市场活动中获得个性化排名。有关策略示例,请参阅[权限策略示例](#opensearch-granting-access-managed-permissions-policy)。
有关创建 IAM 角色的信息,请参阅《IAM 用户指南》**中的[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。有关将 IAM 策略附加到角色的信息,请参阅《IAM 用户指南》**中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
为服务创建 IAM OpenSearch 服务角色后,您必须向访问您的 OpenSearch 服务域的用户或角色授予该 OpenSearch 服务角色的`PassRole`权限。有关更多信息,请参阅 [配置亚马逊 OpenSearch 服务域安全](domain-user-managed.md)。
**Topics**
+ [信任策略示例](#opensearch-granting-access-managed-trust-policy)
+ [权限策略示例](#opensearch-granting-access-managed-permissions-policy)
## 信任策略示例
以下信任策略示例授予 OpenSearch 服务`AssumeRole`权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"Service": [
"es.amazonaws.com"
]
}
}]
}
```
------
## 权限策略示例
以下策略示例向该角色授予从 Amazon Personalize 市场活动中获得个性化排名的最低权限。对于 `Campaign ARN`,为 Amazon Personalize 市场活动指定 Amazon 资源名称 (ARN)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"personalize:GetPersonalizedRanking"
],
"Resource": "arn:aws:personalize:us-east-1:111122223333:campaign/YourResourceId"
}
]
}
```
------