为集合配置权限 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为集合配置权限

OpenSearch Serverless 使用以下 Amazon Identity and Access Management (IAM) 权限来创建和管理集合。您可以指定 IAM 条件,以将用户限制到特定集合。

  • aoss:CreateCollection:创建集合。

  • aoss:ListCollections:列出当前账户中的集合。

  • aoss:BatchGetCollection:获取有关一个或多个集合的详细信息。

  • aoss:UpdateCollection:修改集合。

  • aoss:DeleteCollection:删除集合。

以下基于身份的示例访问策略将为用户提供管理名为 Logs 的单个集合所需的最低权限:

[
   {
      "Sid":"Allows managing logs collections",
      "Effect":"Allow",
      "Action":[
         "aoss:CreateCollection",
         "aoss:ListCollections",
         "aoss:BatchGetCollection",
         "aoss:UpdateCollection",
         "aoss:DeleteCollection",
         "aoss:CreateAccessPolicy",
         "aoss:CreateSecurityPolicy"
      ],
      "Resource":"*",
      "Condition":{
         "StringEquals":{
            "aoss:collection":"Logs"
         }
      }
   }
]

之所以包括 aoss:CreateAccessPolicyaoss:CreateSecurityPolicy,是因为需要加密、网络和数据访问策略才能使集合正常运行。有关更多信息,请参阅 适用于 Amazon OpenSearch Serverless 的身份和访问管理

注意

如果您要在账户中创建第一个集合,则还需要 iam:CreateServiceLinkedRole 权限。有关更多信息,请参阅 使用服务相关角色创建 OpenSearch 无服务器集合