Amazon Amazon OpenSearch 服务的托管政策 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Amazon OpenSearch 服务的托管政策

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

AmazonOpenSearchDirectQueryGlueCreateAccess

授予亚马逊 OpenSearch 服务直接查询服务访问CreateDatabaseCreatePartitionCreateTable、和BatchCreatePartition Amazon Glue API。

您可以在 IAM 控制台中找到该AmazonOpenSearchDirectQueryGlueCreateAccess策略。

AmazonOpenSearchServiceFullAccess

授予对的 OpenSearch 服务配置 API 操作和资源的完全访问权限 Amazon Web Services 账户。

您可以在 IAM 控制台中找到该AmazonOpenSearchServiceFullAccess策略。

AmazonOpenSearchServiceReadOnlyAccess

授予对所有 OpenSearch 服务资源的只读访问权限 Amazon Web Services 账户。

您可以在 IAM 控制台中找到该AmazonOpenSearchServiceReadOnlyAccess策略。

AmazonOpenSearchServiceRolePolicy

您不能将 AmazonOpenSearchServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到允许服务访问账户资源的 OpenSearch 服务相关角色。有关更多信息,请参阅 权限

您可以在 IAM 控制台中找到该AmazonOpenSearchServiceRolePolicy策略。

AmazonOpenSearchServiceCognitoAccess

提供必要的最低 Amazon Cognito 权限,以便启用 Cognito 身份验证

您可以在 IAM 控制台中找到该AmazonOpenSearchServiceCognitoAccess策略。

AmazonOpenSearchIngestionServiceRolePolicy

您不能将 AmazonOpenSearchIngestionServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到服务相关角色,该角色允许 OpenSearch Ingestion 为摄取管道启用 VPC 访问权限、创建标签以及向您的账户发布与摄取 CloudWatch 相关的指标。有关更多信息,请参阅 在 Amazon OpenSearch 服务中使用服务相关角色

您可以在 IAM 控制台中找到该AmazonOpenSearchIngestionServiceRolePolicy策略。

OpenSearchIngestionSelfManagedVpcePolicy

您不能将 OpenSearchIngestionSelfManagedVpcePolicy 附加到自己的 IAM 实体。此策略附加到服务相关角色,该角色允许 OpenSearch Ingestion 为摄取管道启用自我管理 VPC 访问权限、创建标签以及向您的账户发布与摄取相关的指标。 CloudWatch 有关更多信息,请参阅 在 Amazon OpenSearch 服务中使用服务相关角色

您可以在 IAM 控制台中找到该OpenSearchIngestionSelfManagedVpcePolicy策略。

AmazonOpenSearchIngestionFullAccess

授予对 OpenSearch Ingestion API 操作和资源的完全访问权限。 Amazon Web Services 账户

您可以在 IAM 控制台中找到该AmazonOpenSearchIngestionFullAccess策略。

AmazonOpenSearchIngestionReadOnlyAccess

授予对所有 OpenSearch Ingestion 资源的只读访问权限。 Amazon Web Services 账户

您可以在 IAM 控制台中找到该AmazonOpenSearchIngestionReadOnlyAccess策略。

AmazonOpenSearchServerlessServiceRolePolicy

提供向其发送 OpenSearch 无服务器指标数据所需的最低 Amazon CloudWatch 权限。 CloudWatch

您可以在 IAM 控制台中找到该AmazonOpenSearchServerlessServiceRolePolicy策略。

OpenSearch Amazon 托管策略的服务更新

查看自该服务开始跟踪变更以来 OpenSearch 服务的 Amazon 托管策略更新的详细信息。

更改 描述 日期

新增了 OpenSearchIngestionSelfManagedVpcePolicy

一项新政策,允许 OpenSearch Ingestion 为摄取管道启用自我管理 VPC 访问权限、创建标签以及向您的账户发布与 CloudWatch 摄取相关的指标。

有关策略 JSON,请参阅 IAM 控制台

2024 年 6 月 12 日

已添加 AmazonOpenSearchDirectQueryGlueCreateAccess

授予亚马逊 OpenSearch 服务直接查询服务访问CreateDatabaseCreatePartitionCreateTable、和BatchCreatePartition Amazon Glue API。

2024 年 5 月 6 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

添加服务相关角色分配和取消分配 IPv6 地址所需的权限。

已弃用的 Elasticsearch 策略 也已更新,以确保向后兼容。

2023 年 10 月 18 日

新增了 AmazonOpenSearchIngestionServiceRolePolicy

一项新政策,允许 OpenSearch Ingestion 为摄取管道启用 VPC 访问权限、创建标签以及向您的账户发布与摄取相关的指标 CloudWatch 。

有关策略 JSON,请参阅 IAM 控制台

2023 年 4 月 26 日

新增了 AmazonOpenSearchIngestionFullAccess

一项新政策,授予对 OpenSearch Ingestion API 操作和资源的完全访问权限。 Amazon Web Services 账户

有关策略 JSON,请参阅 IAM 控制台

2023 年 4 月 26 日

新增了 AmazonOpenSearchIngestionReadOnlyAccess

一项新策略,授予对所有 OpenSearch Ingestion 资源的只读访问权限。 Amazon Web Services 账户

有关策略 JSON,请参阅 IAM 控制台

2023 年 4 月 26 日

新增了 AmazonOpenSearchServerlessServiceRolePolicy

一项新策略,提供向其发送 OpenSearch 无服务器指标数据所需的最低权限。 Amazon CloudWatch

有关策略 JSON,请参阅 IAM 控制台

2022 年 11 月 29 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

增加了服务相关角色创建OpenSearch 服务托管 VPC 终端节点所需的权限。某些操作只能在请求包含标签 OpenSearchManaged=true 时执行。

已弃用的 Elasticsearch 策略 也已更新,以确保向后兼容。

2022 年 11 月 7 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

增加了对该操作的支持,该PutMetricData操作是向 Amazon 发布 OpenSearch 集群指标所必需的 CloudWatch。

已弃用的 Elasticsearch 策略 也已更新,以确保向后兼容。

有关策略 JSON,请参阅 IAM 控制台

2022 年 9 月 12 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

增加了对 acm 资源类型的支持。该策略为服务相关角色提供了验证和验证 ACM 资源所需的最低 Amazon Certificate Manager (ACM) 只读权限,以便创建和更新启用了自定义终端节点的域。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

2022 年 7 月 28 日

更新了AmazonOpenSearchServiceCognitoAccessAmazonESCognitoAccess

增加了对该操作的支持,该UpdateUserPoolClient操作是从 Elasticsearch 升级到期间设置 Cognito 用户池配置所必需的。 OpenSearch

纠正了 SetIdentityPoolRoles 操作的权限,以允许访问所有资源。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

2021 年 12 月 20 日

更新了 AmazonOpenSearchServiceRolePolicy

增加了对 security-group 资源类型的支持。该策略提供了最低 Amazon EC2 和 Elastic Load Balancing 权限,以便服务相关角色启用 VPC 访问

2021 年 9 月 9 日

  • 新增了 AmazonOpenSearchServiceFullAccess

  • 已弃用 AmazonESFullAccess

此新策略旨在取代旧策略。这两个策略都提供对 OpenSearch 服务配置 API 和所有 HTTP 方法的 OpenSearch 完全访问权限。精细访问权限基于资源的策略仍然可以限制访问。

2021 年 9 月 7 日

  • 新增了 AmazonOpenSearchServiceReadOnlyAccess

  • 已弃用 AmazonESReadOnlyAccess

此新策略旨在取代旧策略。这两个策略都提供对 OpenSearch 服务配置 API(es:Describe*、和es:Get*)的只读访问权限es:List*,并且提供对这 OpenSearch 些 API 的 HTTP 方法的访问权限。

2021 年 9 月 7 日

  • 新增了 AmazonOpenSearchServiceCognitoAccess

  • 已弃用 AmazonESCognitoAccess

此新策略旨在取代旧策略。两个策略都提供了最低 Amazon Cognito 权限,以便启用 Cognito 身份验证

2021 年 9 月 7 日

此新策略旨在取代旧策略。两个策略提供了最低 Amazon EC2 和 Elastic Load Balancing 权限,以便服务相关角色启用 VPC 访问

2021 年 9 月 7 日

已开启跟踪更改

Amazon OpenSearch 服务现在可以跟踪 Amazon托管策略的更改。

2021 年 9 月 7 日