使用云搜索服务前，您需要先进行跨服务访问授权以允许云搜索服务访问其他服务（如 VPC、EIP 等）。本文介绍跨服务访问授权的相关操作步骤。

背景信息

火山引擎访问控制（IAM）支持策略管理功能，您可以为云搜索服务账号关联 ServiceRoleForESCloud 角色，并将该角色关联 ServiceRoleForESCloud 策略来访问其他服务。
ServiceRoleForESCloud 访问策略的定义语句如下：

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "tos:*",
        "vpc:DescribeVpcs",
        "vpc:DescribeSubnets",
        "vpc:DescribeSecurityGroups",
        "vpc:CreateNetworkInterface",
        "vpc:DeleteNetworkInterface",
        "vpc:DescribeNetworkInterfaces",
        "vpc:CreateNetworkInterfacePermission",
        "vpc:DeleteNetworkInterfacePermission",
        "vpc:DescribeNetworkInterfacePermissions",
        "vpc:AssociateEipAddress",
        "vpc:DisassociateEipAddress",
        "vpc:DescribeEipAddressAttributes"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

访问控制角色和策略的更多信息，请参见角色管理和策略管理。

注意事项

如果您需要使用子用户（IAM用户）进行跨服务授权，子用户必须拥有 IAMFullAccess 权限，否则授权时会产生相应错误，为子账号授权的具体步骤，请参见管理用户。

使用控制台授权

1. 登录云搜索服务控制台。
2. 在弹出的跨服务访问请求页面，确认访问角色和关联策略信息，单击授权。

   说明

   • 授权完成后，您可以登录访问控制控制台，如果角色中存在 ServiceRoleForESCloud 角色，说明授权成功。
   • 如果您之前已经授权过，无需重复授权。

使用API授权

您可以调用访问控制的 CreateServiceLinkedRole 接口完成跨服务授权，授权时 ServiceName 为 ESCloud。

后续步骤

完成服务授权后，您可以继续完成云搜索服务的其他操作。