Amazon OpenSearch Service 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon OpenSearch Service 的操作、资源和条件键

Amazon OpenSearch Service(服务前缀:es)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

由 Amazon OpenSearch Service 定义的操作

您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptInboundConnection 授予目标域拥有者接受入站跨集群搜索连接请求的权限 Write
AcceptInboundCrossClusterSearchConnection 授予目标域拥有者权限以接受入站跨集群搜索连接请求。此权限已弃用。请改用 AcceptInboundConnection Write
AddDataSource 授予为 OpenSearch Service 域添加数据来源的权限 Write

domain*

AddTags 授予权限以将资源标签附加到 OpenSearch 服务域 Tagging

domain*

aws:RequestTag/${TagKey}

aws:TagKeys

AssociatePackage 授予权限以将程序包与 OpenSearch 服务域关联 Write

domain*

AuthorizeVpcEndpointAccess 授予通过使用接口 VPC 端点提供访问 Amazon OpenSearch Service 域的权限 Write
CancelDomainConfigChange 授予取消 OpenSearch Service 域更改的权限 Write

domain*

CancelElasticsearchServiceSoftwareUpdate 授予权限以取消域的服务软件更新。此权限已弃用。请改用 CancelServiceSoftwareUpdate Write

domain*

CancelServiceSoftwareUpdate 授予权限以取消域的服务软件更新 Write

domain*

CreateDomain 授予权限以创建 Amazon OpenSearch Service 域 Write

domain

aws:RequestTag/${TagKey}

aws:TagKeys

CreateElasticsearchDomain 授予权限以创建 OpenSearch 服务域。此权限已弃用。请改用 CreateDomain Write

domain

aws:RequestTag/${TagKey}

aws:TagKeys

CreateElasticsearchServiceRole 授予权限以创建使用 VPC 访问的 OpenSearch 服务域所需的服务相关角色。此权限已弃用。OpenSearch Service 会为您创建服务相关角色 Write
CreateOutboundConnection 授予新建从源域到目标域的跨集群搜索连接的权限 Write

domain*

CreateOutboundCrossClusterSearchConnection 授予权限以新建从源域到目标域的跨集群搜索连接。此权限已弃用。请改用 CreateOutboundConnection Write

domain*

CreatePackage 授予权限以添加用于 OpenSearch 服务域的程序包 Write
CreateServiceRole 授予权限以创建使用 VPC 访问的 Amazon OpenSearch Service 域所需的服务相关角色 Write
CreateVpcEndpoint 授予创建 Amazon OpenSearch Service 管理的 VPC 端点的权限 Write
DeleteDataSource 授予删除 OpenSearch Service 域的数据来源的权限 Write

domain*

DeleteDomain 授予权限以删除 Amazon OpenSearch Service 域及其所有数据 Write

domain*

DeleteElasticsearchDomain 授予权限以删除 OpenSearch 服务域及其所有数据。此权限已弃用。请改用 DeleteDomain Write

domain*

DeleteElasticsearchServiceRole 授予权限以删除使用 VPC 访问的 OpenSearch 服务域所需的服务相关角色。此权限已弃用。您可以使用 IAM API 删除服务相关角色 Write
DeleteInboundConnection 授予目标域拥有者删除现有入站跨集群搜索连接的权限 Write
DeleteInboundCrossClusterSearchConnection 授予目标域拥有者权限以删除现有入站跨集群搜索连接。此权限已弃用。请改用 DeleteInboundConnection Write
DeleteOutboundConnection 授予源域拥有者删除现有出站跨集群搜索连接的权限 Write
DeleteOutboundCrossClusterSearchConnection 授予源域拥有者权限以删除现有出站跨集群搜索连接。此权限已弃用。请改用 DeleteOutboundConnection Write
DeletePackage 授予权限以从 OpenSearch 服务删除程序包。程序包不能与任何域关联 Write
DeleteVpcEndpoint 授予删除 Amazon OpenSearch Service 托管的接口 VPC 端点的权限 Write
DescribeDomain 授予权限以查看指定 OpenSearch 服务域的域配置(包括域 ID、服务终端节点和 ARN)的描述 Read

domain*

DescribeDomainAutoTunes 授予权限以查看指定 OpenSearch 服务域的域的自动调整配置(包括自动调整状态和维护计划)的配置 Read

domain*

DescribeDomainChangeProgress 授予查看 OpenSearch 服务域的详细信息阶段进度的权限 Read

domain*

DescribeDomainConfig 授予权限以查看 OpenSearch 服务域的配置选项和状态的描述 Read

domain*

DescribeDomainHealth 授予权限以查看有关以下方面的信息:域和节点运行状况、备用可用区、每个可用区的节点数以及每个节点的分片数量 Read

domain*

DescribeDomainNodes 授予权限以查看为域及其配置(包括节点 ID、节点类型、节点状态、可用区、实例类型和存储)创建的节点的相关信息 Read

domain*

DescribeDomains 授予权限以查看最多 5 个指定 OpenSearch 服务域的域配置的描述 List

domain*

DescribeDryRunProgress 授予描述 OpenSearch Service 域上更新前验证检查状态的权限 Read

domain*

DescribeElasticsearchDomain 授予权限以查看指定 OpenSearch 服务域的域配置(包括域 ID、服务终端节点和 ARN)的描述。此权限已弃用。请改用 DescribeDomain Read

domain*

DescribeElasticsearchDomainConfig 授予权限以查看 OpenSearch 服务域的配置和状态的描述。此权限已弃用。请改用 DescribeDomainConfig Read

domain*

DescribeElasticsearchDomains 授予权限以查看最多 5 个指定 Amazon OpenSearch 域的域配置的描述。此权限已弃用。请改用 DescribeDomain List

domain*

DescribeElasticsearchInstanceTypeLimits 授予权限以查看给定 OpenSearch 版本和实例类型的实例计数、存储和主节点 (master node) 限制。此权限已弃用。请改用 DescribeInstanceTypeLimits List
DescribeInboundConnections 授予列出目标域的所有入站跨集群搜索连接的权限 List
DescribeInboundCrossClusterSearchConnections 授予权限以列出目标域的所有入站跨集群搜索连接。此权限已弃用。请改用 DescribeInboundConnections List
DescribeInstanceTypeLimits 授予权限以查看给定引擎版本和实例类型的实例计数、存储和主节点 (master node) 限制 List
DescribeOutboundConnections 授予列出源域的所有出站跨集群搜索连接的权限 List
DescribeOutboundCrossClusterSearchConnections 授予权限以列出源域的所有出站跨集群搜索连接。此权限已弃用。请改用 DescribeOutboundConnections List
DescribePackages 授予权限以描述 OpenSearch 服务域可用的所有软件包 Read
DescribeReservedElasticsearchInstanceOfferings 授予权限以获取 Amazon OpenSearch Service 的预留实例产品。此权限已弃用。请改用 DescribeReservedInstanceOfferings List
DescribeReservedElasticsearchInstances 授予权限以获取已购买的 OpenSearch 服务预留实例。此权限已弃用。请改用 DescribeReservedInstances List
DescribeReservedInstanceOfferings 授予权限以获取 OpenSearch 服务的预留实例产品 List
DescribeReservedInstances 授予权限以获取已购买的 OpenSearch 服务预留实例 List
DescribeVpcEndpoints 授予描述 Amazon OpenSearch Service 托管的一个或多个 VPC 端点的权限 List
DissociatePackage 授予权限以取消程序包与指定 OpenSearch 服务域的关联 Write

domain*

ESCrossClusterGet 授予权限以向目标域发送跨集群请求 Read

domain

ESHttpDelete 授予权限以将 HTTP DELETE 请求发送到 OpenSearch API Write

domain

ESHttpGet 授予权限以将 HTTP GET 请求发送到 OpenSearch API Read

domain

ESHttpHead 授予权限以将 HTTP HEAD 请求发送到 OpenSearch API Read

domain

ESHttpPatch 授予权限以将 HTTP PATCH 请求发送到 OpenSearch API Write

domain

ESHttpPost 授予权限以将 HTTP POST 请求发送到 OpenSearch API Write

domain

ESHttpPut 授予权限以将 HTTP PUT 请求发送到 OpenSearch API Write

domain

GetCompatibleElasticsearchVersions 授予权限以获取可以将 OpenSearch 服务域升级到的兼容 OpenSearch 和 Elasticsearch 版本列表。此权限已弃用。请改用 GetCompatibleVersions List

domain*

GetCompatibleVersions 授予权限以获取可以将 OpenSearch 服务域升级到的兼容引擎版本列表 List

domain*

GetDataSource 授予获取 OpenSearch Service 域的数据来源的权限 Read

domain*

GetDomainMaintenanceStatus 授予权限以检索节点的维护操作状态 Read

domain*

GetPackageVersionHistory 授予获取软件包版本历史记录的权限 Read
GetUpgradeHistory 授予权限以获取给定 OpenSearch 服务域的升级历史记录 Read

domain*

GetUpgradeStatus 授予权限以获取给定 OpenSearch 服务域的升级状态 Read

domain*

ListDataSources 授予检索 OpenSearch Service 域的数据来源列表的权限 List

domain*

ListDomainMaintenances 授予权限以检索 OpenSearch 服务域的维护操作列表 List

domain*

ListDomainNames 授予权限以显示当前用户拥有的所有 OpenSearch 服务域的名称 List
ListDomainsForPackage 授予权限以列出与程序包关联的所有 OpenSearch Service 域 List
ListElasticsearchInstanceTypeDetails 授予权限以列出给定 OpenSearch 版本的所有实例类型和可用功能。此权限已弃用。请改用 ListInstanceTypeDetails List
ListElasticsearchInstanceTypes 授予权限以列出给定 OpenSearch 版本支持的所有 EC2 实例类型 List
ListElasticsearchVersions 授予权限以列出 Amazon OpenSearch Service 上所有受支持的 OpenSearch 版本。此权限已弃用。请改用 ListVersions List
ListInstanceTypeDetails 授予权限以列出给定 OpenSearch 或 Elasticsearch 版本的所有实例类型和可用功能 List
ListPackagesForDomain 授予权限以列出与 OpenSearch 服务域关联的所有程序包 List

domain*

ListScheduledActions 授予权限以检索为 OpenSearch 服务域计划的配置更改列表 List

domain*

ListTags 授予权限以显示 OpenSearch 服务域的所有资源标签 Read

domain*

ListVersions 授予权限以列出 Amazon OpenSearch Service 中所有受支持的 OpenSearch 和 Elasticsearch 版本 List
ListVpcEndpointAccess 授予检索有关每个Amazon主体的信息的权限,该主体可以通过使用接口 VPC 端点访问给定的 Amazon OpenSearch Service 域 List
ListVpcEndpoints 授予检索当前Amazon Web Services 账户和区域中所有 Amazon OpenSearch Service 托管的 VPC 端点的权限 List
ListVpcEndpointsForDomain 授予检索与特定域关联的所有 Amazon OpenSearch Service 托管的 VPC 端点的权限 List
PurchaseReservedElasticsearchInstanceOffering 授予权限以购买 OpenSearch 服务预留实例。此权限已弃用。请改用 PurchaseReservedInstanceOffering Write
PurchaseReservedInstanceOffering 授予权限以购买 OpenSearch 预留实例 Write
RejectInboundConnection 授予目标域拥有者拒绝入站跨集群搜索连接请求的权限 Write
RejectInboundCrossClusterSearchConnection 授予目标域拥有者权限以拒绝入站跨集群搜索连接请求。此权限已弃用。请改用 RejectInboundConnection Write
RemoveTags 授予权限以从 OpenSearch 服务域删除资源标签 Tagging

domain*

aws:TagKeys

RevokeVpcEndpointAccess 授予撤销对通过接口 VPC 端点提供的 Amazon OpenSearch Service 域的访问权限的权限 Write
StartDomainMaintenance 授予权限以启动节点维护操作 Write

domain*

StartElasticsearchServiceSoftwareUpdate 授予权限以开启域的服务软件更新。此权限已弃用。请改用 StartServiceSoftwareUpdate Write

domain*

StartServiceSoftwareUpdate 授予权限以开启域的服务软件更新 Write

domain*

UpdateDataSource 授予更新 OpenSearch Service 域的数据来源的权限 Write

domain*

UpdateDomainConfig 授予权限以修改 OpenSearch 服务域的配置(如实例类型或实例数量) Write

domain*

UpdateElasticsearchDomainConfig 授予权限以修改 OpenSearch 服务域的配置(如实例类型或实例数量)。此权限已弃用。请改用 UpdateDomainConfig instead Write

domain*

UpdatePackage 授予权限以更新用于 OpenSearch 服务域的程序包 Write
UpdateScheduledAction 授予权限以稍后重新安排计划的 OpenSearch 服务域配置更改 Write

domain*

UpdateVpcEndpoint 授予修改 Amazon OpenSearch Service 托管的接口 VPC 端点的权限 Write
UpgradeDomain 授予权限以启动将 OpenSearch 服务域升级到给定版本的过程 Write

domain*

UpgradeElasticsearchDomain 授予权限以启动将 OpenSearch 服务域升级到指定版本的过程。此权限已弃用。请改用 UpgradeDomain Write

domain*

由 Amazon OpenSearch Service 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
domain arn:${Partition}:es:${Region}:${Account}:domain/${DomainName}

aws:ResourceTag/${TagKey}

es_role arn:${Partition}:iam::${Account}:role/aws-service-role/es.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService

aws:ResourceTag/${TagKey}

opensearchservice_role arn:${Partition}:iam::${Account}:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService

aws:ResourceTag/${TagKey}

Amazon OpenSearch Service 的条件键

Amazon OpenSearch Service 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中传递的标签筛选访问 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签筛选访问 字符串
aws:TagKeys 根据在请求中传递的标签键筛选访问 字符串数组