适用于 Amazon OpenSearch Service 的 Amazon 托管策略 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon OpenSearch Service 的 Amazon 托管策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

AmazonOpenSearchServiceFullAccess

授予 Amazon Web Services 账户对 OpenSearch Service 配置 API 操作和资源的完全访问权限。

您可以在 IAM 控制台中找到 AmazonOpenSearchServiceFullAccess 策略。

AmazonOpenSearchServiceReadOnlyAccess

授予 Amazon Web Services 账户对所有 OpenSearch Service 资源的只读访问权限。

您可以在 IAM 控制台中找到 AmazonOpenSearchServiceReadOnlyAccess 策略。

AmazonOpenSearchServiceRolePolicy

您不能将 AmazonOpenSearchServiceRolePolicy 附加到自己的 IAM 实体。将此策略附加至服务相关的角色,该角色允许 OpenSearch Service 访问账户资源。有关更多信息,请参阅权限

您可以在 IAM 控制台中找到 AmazonOpenSearchServiceRolePolicy 策略。

AmazonOpenSearchServiceCognitoAccess

提供必要的最低 Amazon Cognito 权限,以便启用 Cognito 身份验证

您可以在 IAM 控制台中找到 AmazonOpenSearchServiceCognitoAccess 策略。

AmazonOpenSearchIngestionServiceRolePolicy

您不能将 AmazonOpenSearchIngestionServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到服务相关角色,此角色允许 OpenSearch Ingestion 对摄取管道启用 VPC 访问权限、创建标签以及向您的账户发布摄取相关 CloudWatch 指标。有关更多信息,请参阅使用 Amazon OpenSearch Service 的服务相关角色

您可以在 IAM 控制台中找到 AmazonOpenSearchIngestionServiceRolePolicy 策略。

AmazonOpenSearchIngestionFullAccess

授予对 Amazon Web Services 账户 的 OpenSearch Ingestion API 操作和资源的完全访问权限。

您可以在 IAM 控制台中找到 AmazonOpenSearchIngestionFullAccess 策略。

AmazonOpenSearchIngestionReadOnlyAccess

授予对 Amazon Web Services 账户 的所有 OpenSearch Ingestion 资源的只读访问权限。

您可以在 IAM 控制台中找到 AmazonOpenSearchIngestionReadOnlyAccess 策略。

AmazonOpenSearchServerlessServiceRolePolicy

提供将 OpenSearch 无服务器指标数据发送到 CloudWatch 所需的最低 Amazon CloudWatch 权限。

您可以在 IAM 控制台中找到 AmazonOpenSearchServerlessServiceRolePolicy 策略。

OpenSearch Service 的 Amazon 托管策略更新

查看有关适用于 OpenSearch Service 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪更改开始)。

更改 说明 日期

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

添加服务相关角色分配和取消分配 IPv6 地址所需的权限。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

2023 年 10 月 18 日

添加了 AmazonOpenSearchIngestionServiceRolePolicy

这是一项新策略,用于允许 OpenSearch Ingestion 对摄取管道启用 VPC 访问权限、创建标签以及向您的账户发布摄取相关 CloudWatch 指标。

有关策略 JSON,请参阅 IAM 控制台

2023 年 4 月 26 日

添加了 AmazonOpenSearchIngestionFullAccess

这是一项新策略,用于授予对 Amazon Web Services 账户 的 OpenSearch Ingestion API 操作和资源的完全访问权限。

有关策略 JSON,请参阅 IAM 控制台

2023 年 4 月 26 日

添加了 AmazonOpenSearchIngestionReadOnlyAccess

这是一项新策略,用于授予对 Amazon Web Services 账户 的所有 OpenSearch Ingestion 资源的只读访问权限。

有关策略 JSON,请参阅 IAM 控制台

2023 年 4 月 26 日

添加了 AmazonOpenSearchServerlessServiceRolePolicy

这是一项新策略,用于提供将 OpenSearch 无服务器指标数据发送到 Amazon CloudWatch 所需的最低权限。

有关策略 JSON,请参阅 IAM 控制台

2022 年 11 月 29 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

添加了服务相关角色创建 OpenSearch Service 托管的 VPC 端点所需的权限。某些操作只能在请求包含标签 OpenSearchManaged=true 时执行。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

2022 年 11 月 7 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

添加了对 PutMetricData 操作的支持,这是向 Amazon CloudWatch 发布 OpenSearch 集群指标所必需的。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

有关策略 JSON,请参阅 IAM 控制台

2022 年 9 月 12 日

更新了AmazonOpenSearchServiceRolePolicyAmazonElasticsearchServiceRolePolicy

增加了对 acm 资源类型的支持。此策略提供了服务相关角色核实和验证 ACM 资源所需的最低 Amazon Certificate Manager(ACM)只读权限,以便创建和更新启用了自定义端点的域。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

2022 年 7 月 28 日

更新了AmazonOpenSearchServiceCognitoAccessAmazonESCognitoAccess

添加了对 UpdateUserPoolClient 操作的支持,需要此支持来在从 Elasticsearch 升级到 OpenSearch 的过程中设置 Cognito 用户池配置。

纠正了 SetIdentityPoolRoles 操作的权限,以允许访问所有资源。

已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。

2021 年 12 月 20 日

更新了 AmazonOpenSearchServiceRolePolicy

增加了对 security-group 资源类型的支持。该策略提供了最低 Amazon EC2 和 Elastic Load Balancing 权限,以便服务相关角色启用 VPC 访问

2021 年 9 月 9 日

  • 添加了 AmazonOpenSearchServiceFullAccess

  • 已弃用 AmazonESFullAccess

此新策略旨在取代旧策略。两个策略都提供了对 OpenSearch Service 配置 API 和 OpenSearch API 的所有 HTTP 方法的完全访问权限。精细访问权限基于资源的策略仍然可以限制访问。

2021 年 9 月 7 日

  • 添加了 AmazonOpenSearchServiceReadOnlyAccess

  • 已弃用 AmazonESReadOnlyAccess

此新策略旨在取代旧策略。两个策略提供了对 OpenSearch Service 配置 API(es:Describe*es:List*es:Get*)的只读访问权限,而无法访问 OpenSearch API 的 HTTP 方法。

2021 年 9 月 7 日

  • 添加了 AmazonOpenSearchServiceCognitoAccess

  • 已弃用 AmazonESCognitoAccess

此新策略旨在取代旧策略。两个策略都提供了最低 Amazon Cognito 权限,以便启用 Cognito 身份验证

2021 年 9 月 7 日

此新策略旨在取代旧策略。两个策略提供了最低 Amazon EC2 和 Elastic Load Balancing 权限,以便服务相关角色启用 VPC 访问

2021 年 9 月 7 日

已开启跟踪更改

Amazon OpenSearch Service 现在跟踪Amazon托管策略更改。

2021 年 9 月 7 日