Mengkonfigurasi Akses untuk Amazon CloudSearch - Amazon CloudSearch
Menulis Kebijakan Akses untuk Amazon CloudSearchContoh CloudSearch Kebijakan AmazonMengkonfigurasi Akses untuk Amazon CloudSearch Menggunakan KonsolMengkonfigurasi Akses untuk Amazon CloudSearch dengan AWS CLIMengonfigurasi Akses ke Endpoint Domain Menggunakan AWS SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi Akses untuk Amazon CloudSearch

Anda menggunakan kebijakan akses AWS Identity and Access Management (IAM) untuk mengontrol akses ke layanan CloudSearch konfigurasi Amazon dan setiap layanan dokumen, pencarian, dan saran domain pencarian. Kebijakan akses IAM adalah dokumen JSON yang secara eksplisit mencantumkan izin yang menentukan tindakan apa yang diizinkan dilakukan orang atau proses. Untuk pengenalan kebijakan akses IAM, lihat Gambaran Umum Kebijakan AWS IAM.

Anda mengontrol akses ke API layanan CloudSearch konfigurasi Amazon dan API layanan domain secara independen. Misalnya, Anda dapat memilih untuk membatasi siapa yang dapat memodifikasi konfigurasi domain produksi Anda, tetapi mengizinkan anggota tim untuk membuat dan mengelola domain mereka sendiri untuk pengembangan dan pengujian. Demikian pula, Anda dapat mengonfigurasi domain pengembangan dan pengujian untuk menerima permintaan anonim ke layanan upload, pencarian, dan saran, tetapi mengunci domain produksi Anda sehingga hanya menerima permintaan yang diautentikasi dari aplikasi Anda.

Ketika AWS menerima permintaan, AWS mengautentikasi bahwa permintaan tersebut berasal dari pengguna AWS yang dikenal, dan kemudian memeriksa kebijakan yang relevan untuk menentukan apakah pengguna berwenang untuk melakukan tindakan yang diminta menggunakan sumber daya yang diminta. Jika pengguna belum secara eksplisit diberikan izin untuk melakukan tindakan, permintaan ditolak. Selama evaluasi kebijakan, jika AWS menemukan penolakan eksplisit, efek penolakan lebih diutamakan daripada efek izin eksplisit apa pun yang berlaku.

penting

Untuk mengaktifkan otentikasi, CloudSearch permintaan Amazon harus ditandatangani dengan kunci akses. Satu-satunya pengecualian adalah jika Anda mengizinkan akses anonim ke layanan upload, pencarian, atau saran domain. Untuk informasi selengkapnya, lihat Menandatangani Permintaan.

Menulis Kebijakan Akses untuk Amazon CloudSearch

Amazon CloudSearch mendukung kebijakan berbasis pengguna dan kebijakan berbasis sumber daya:

  • Kebijakan berbasis pengguna dilampirkan ke peran, grup, atau pengguna IAM tertentu. Kebijakan berbasis pengguna menentukan domain pencarian akun mana yang dapat diakses seseorang atau proses dan tindakan apa yang dapat mereka lakukan. Untuk melampirkan kebijakan berbasis pengguna ke pengguna, grup, atau peran, Anda menggunakan konsol IAM, AWS CLI atau AWS SDK. Anda harus menentukan kebijakan berbasis pengguna untuk mengontrol akses ke tindakan layanan CloudSearch konfigurasi Amazon. (Pengguna dalam konteks ini belum tentu seseorang, itu hanya identitas dengan izin terkait. Misalnya, Anda dapat membuat pengguna untuk mewakili aplikasi yang perlu memiliki kredensional untuk mengirimkan permintaan penelusuran ke domain Anda.)

  • Kebijakan berbasis sumber daya untuk Amazon CloudSearch dilampirkan ke domain pencarian tertentu. Kebijakan berbasis sumber daya menentukan siapa yang memiliki akses ke domain pencarian dan layanan domain mana yang dapat mereka gunakan. Kebijakan berbasis sumber daya hanya mengontrol akses ke dokumen, pencarian, dan layanan saran domain tertentu; kebijakan tersebut tidak dapat digunakan untuk mengonfigurasi akses ke tindakan layanan konfigurasi Amazon CloudSearch . Untuk melampirkan kebijakan berbasis sumber daya ke domain, Anda menggunakan konsol Amazon CloudSearch , atau AWS CLI AWS SDK.

Secara umum, kami menyarankan untuk mengelola akses ke Amazon CloudSearch API dengan mengonfigurasi kebijakan berbasis pengguna. Ini memungkinkan Anda untuk mengelola semua izin Anda di satu tempat dan setiap perubahan yang perlu Anda lakukan segera berlaku. Namun, untuk mengizinkan akses publik ke layanan pencarian domain atau membatasi akses berdasarkan alamat IP, Anda harus mengonfigurasi kebijakan berbasis sumber daya untuk domain tersebut. (Sebaiknya ganti kebijakan akses berbasis IP lama Anda dengan kebijakan berbasis pengguna secepatnya.) Anda juga dapat menggunakan kebijakan berbasis sumber daya untuk mengizinkan akun lain mengakses domain dengan mudah. Perlu diingat bahwa memproses perubahan pada kebijakan berbasis sumber daya domain membutuhkan waktu lebih lama daripada menerapkan perubahan pada kebijakan berbasis pengguna.

Konsol IAM dapat membantu Anda menulis kebijakan berbasis pengguna dan sumber daya untuk Amazon. CloudSearch Untuk informasi selengkapnya, lihat Mengelola Kebijakan IAM.

Isi Kebijakan Akses untuk Amazon CloudSearch

Anda menentukan informasi berikut dalam kebijakan akses Anda untuk Amazon CloudSearch:

  • Versionmenentukan versi bahasa kebijakan yang kompatibel dengan pernyataan tersebut. Versi selalu diatur ke2012-10-17.

  • Resourceadalah ARN (Nama Sumber Daya Amazon) untuk domain tempat kebijakan berbasis pengguna berlaku. Resourcetidak ditentukan dalam kebijakan berbasis sumber daya yang dikonfigurasi melalui layanan CloudSearch konfigurasi Amazon, karena kebijakan dilampirkan langsung ke sumber daya. Untuk informasi selengkapnya tentang Amazon CloudSearch ARN, lihatAmazon CloudSearch ARN.

  • Effectmenentukan apakah pernyataan mengotorisasi atau memblokir akses ke tindakan tertentu. Itu harus Allow atau Deny

  • Sidadalah string opsional yang dapat Anda gunakan untuk memberikan nama deskriptif untuk pernyataan kebijakan.

  • Actionmenentukan CloudSearch tindakan Amazon mana yang berlaku untuk pernyataan tersebut. Untuk tindakan yang didukung, lihat CloudSearch Tindakan Amazon. Anda dapat menggunakan wildcard (*) sebagai tindakan untuk mengonfigurasi akses untuk semua tindakan saat Anda perlu memberikan akses administratif untuk memilih pengguna. (Dalam hal ini, Anda mungkin juga ingin mengaktifkan otorisasi multi-faktor untuk keamanan tambahan. Untuk informasi selengkapnya, lihat Mengonfigurasi Akses API yang dilindungi MFA.) Wildcard juga didukung dalam nama tindakan. Misalnya, "Action":["cloudsearch:Describe*] cocok dengan semua Describe tindakan layanan konfigurasi, seperti DescribeDomains danDescribeServiceAccessPolicies.

  • Conditionmenentukan kondisi kapan kebijakan berlaku. Saat mengonfigurasi akses berbasis IP anonim, Anda akan menentukan alamat IP yang diterapkan aturan akses, misalnya. "IpAddress": {"aws:SourceIp": ["192.0.2.0/32"]}

  • Principalmenentukan siapa yang diizinkan mengakses domain dalam kebijakan berbasis sumber daya. Principaltidak ditentukan dalam kebijakan berbasis pengguna yang dikonfigurasi melalui IAM. PrincipalNilai untuk kebijakan berbasis sumber daya dapat menentukan akun AWS atau pengguna lain di akun Anda sendiri. Misalnya, untuk memberikan akses ke akun 555555555555, Anda akan menentukan. "Principal":{"AWS":["arn:aws:iam::555555555555:root"]} Menentukan wildcard (*) memungkinkan akses anonim ke domain. Akses anonim tidak disarankan. Jika Anda mengaktifkan akses anonim, Anda setidaknya harus menentukan kondisi untuk membatasi alamat IP mana yang dapat mengirimkan permintaan ke domain. Untuk informasi selengkapnya, lihat Memberikan Akses ke Domain dari Alamat IP Terpilih.

Untuk contoh kebijakan akses untuk Amazon CloudSearch, lihatContoh CloudSearch Kebijakan Amazon.

Amazon CloudSearch ARN

Nama Sumber Daya Amazon (ARN) kebijakan secara unik menentukan domain tempat kebijakan tersebut berlaku. ARN adalah format standar yang digunakan AWS untuk mengidentifikasi sumber daya. Nomor 12 digit di ARN adalah ID akun AWS Anda. Amazon CloudSearch ARN adalah dari bentukarn:aws:cloudsearch:REGION:ACCOUNT-ID:domain/DOMAIN-NAME.

Daftar berikut menjelaskan elemen variabel dalam ARN:

  • REGIONadalah wilayah AWS tempat CloudSearch domain Amazon tempat Anda mengonfigurasi izin berada. Anda dapat menggunakan wildcard (*) REGION untuk semua wilayah.

  • ACCOUNT-IDadalah ID akun AWS Anda tanpa tanda hubung; misalnya, 111122223333.

  • DOMAIN-NAMEmengidentifikasi domain pencarian tertentu. Anda dapat menggunakan wildcard (*) DOMAIN-NAME untuk semua domain akun Anda di wilayah yang ditentukan. Jika Anda memiliki beberapa domain yang namanya dimulai dengan awalan yang sama, Anda dapat menggunakan wildcard untuk mencocokkan semua domain tersebut. Misalnya, dev-* korek api dev-testdev-movies,dev-sandbox,, dan sebagainya. Perhatikan bahwa jika Anda memberi nama domain baru dengan awalan yang sama, kebijakan ini juga berlaku untuk domain baru tersebut.

Misalnya, ARN berikut mengidentifikasi movies domain di us-east-1 wilayah yang dimiliki oleh akun 111122223333:

arn:aws:cloudsearch:us-east-1:111122223333:domain/movies

Contoh berikut menunjukkan bagaimana ARN digunakan untuk menentukan sumber daya dalam kebijakan berbasis pengguna.

{
  "Version":"2012-10-17",           
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cloudsearch:search"],
      "Resource": "arn:aws:cloudsearch:us-east-1:111122223333:domain/movies"
    }
  ]
}

ARN domain ditampilkan di dasbor domain di CloudSearch konsol Amazon dan juga tersedia dengan menelepon. DescribeDomains

penting

Saat menentukan ARN untuk domain yang dibuat dengan API 2011-02-01, Anda harus menggunakan nama layanan Amazon sebelumnya,. CloudSearch cs Misalnya, arn:aws:cs:us-east-1:111122223333:domain/movies. Jika Anda perlu menentukan kebijakan yang mengonfigurasi akses untuk domain 2011 dan 2013, pastikan untuk menentukan format ARN yang benar untuk setiap domain. Untuk informasi selengkapnya, lihat Konfigurasi Kebijakan Akses Layanan Tidak Berfungsi.

CloudSearch Tindakan Amazon

Tindakan yang Anda tentukan mengontrol CloudSearch API Amazon mana yang berlaku untuk pernyataan tersebut. Semua CloudSearch tindakan Amazon diawali dengancloudsearch:, seperticloudsearch:search. Daftar berikut menunjukkan tindakan yang didukung:

  • cloudsearch:documentmemungkinkan akses ke API layanan dokumen. Izin untuk menggunakan document tindakan diperlukan untuk mengunggah dokumen ke domain pencarian untuk pengindeksan.

  • cloudsearch:searchmemungkinkan akses ke API pencarian. Izin untuk menggunakan search tindakan diperlukan untuk mengirimkan permintaan pencarian ke domain.

  • cloudsearch:suggestmemungkinkan akses ke API yang disarankan. Izin untuk menggunakan suggest tindakan diperlukan untuk mendapatkan saran dari domain.

  • cloudsearch:CONFIGURATION-ACTIONmemungkinkan akses ke tindakan layanan konfigurasi yang ditentukan. Izin untuk menggunakan tindakan ListDomainNames konfigurasi DescribeDomains dan diperlukan untuk mengakses CloudSearch konsol Amazon. Tindakan konfigurasi hanya dapat ditentukan dalam kebijakan berbasis pengguna. Untuk daftar lengkap tindakan, lihatTindakan.

Contoh CloudSearch Kebijakan Amazon

Bagian ini menyajikan beberapa contoh kebijakan CloudSearch akses Amazon.

Memberikan Akses Hanya Baca ke Layanan Konfigurasi Amazon CloudSearch

Anda dapat memberikan akses hanya-baca ke layanan konfigurasi dengan hanya mengizinkan tindakan berikut. Ini mungkin berguna jika Anda ingin mengizinkan pengguna untuk melihat konfigurasi domain produksi tanpa dapat membuat perubahan.

  • cloudsearch:DescribeAnalysisSchemes

  • cloudsearch:DescribeAvailabilityOptions

  • cloudsearch:DescribeDomains

  • cloudsearch:DescribeExpressions

  • cloudsearch:DescribeIndexFields

  • cloudsearch:DescribeScalingParameters

  • cloudsearch:DescribeServiceAccessPolicies

  • cloudsearch:DescribeSuggesters

  • cloudsearch:ListDomainNames

Kebijakan berbasis pengguna berikut memberikan akses hanya-baca ke layanan konfigurasi untuk movies domain yang dimiliki oleh akun 555555555555. Kebijakan menggunakan wildcard untuk tindakan, karena memberikan akses ke semua tindakan yang dimulai dengan Deskripsikan atau Daftar. Perhatikan bahwa ini juga akan memberikan akses ke tindakan deskripsi atau daftar apa pun yang mungkin ditambahkan ke API di masa mendatang.

{
  "Version":"2012-10-17",           
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cloudsearch:Describe*", 
                 "cloudsearch:List*"],
      "Resource": "arn:aws:cloudsearch:us-east-1:555555555555:domain/movies"
    }
  ]
}

Memberikan Akses ke Semua Tindakan Layanan CloudSearch Konfigurasi Amazon

Anda dapat memberikan akses ke semua tindakan layanan CloudSearch konfigurasi Amazon dengan menyertakan Allow pernyataan yang memberikan akses ke semua tindakan layanan konfigurasi, tetapi bukan tindakan layanan domain. Ini memungkinkan Anda untuk memberikan akses administratif tanpa mengizinkan pengguna untuk mengunggah atau mengambil data dari domain. Salah satu cara untuk melakukannya adalah dengan menggunakan wildcard untuk memberikan akses ke semua CloudSearch tindakan Amazon, dan kemudian menyertakan pernyataan penolakan yang memblokir akses ke tindakan layanan domain. Kebijakan berbasis pengguna berikut memberikan akses ke layanan konfigurasi untuk semua domain yang dimiliki oleh akun 111122223333 di wilayah tersebut. us-west-2 

{
  "Version":"2012-10-17",           
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cloudsearch:*"],
      "Resource": "arn:aws:cloudsearch:us-west-2:111122223333:domain/*"
    },
    {
      "Effect": "Deny",
      "Action": ["cloudsearch:document", 
                 "cloudsearch:search", 
                 "cloudsearch:suggest"],
      "Resource": "arn:aws:cloudsearch:us-west-2:111122223333:domain/*"
    }
  ]  
}

Memberikan Akses Tanpa Batas ke Semua Layanan Amazon CloudSearch

Anda dapat memberikan akses tak terbatas ke semua CloudSearch layanan Amazon, termasuk semua tindakan layanan konfigurasi dan semua layanan domain dengan kebijakan berbasis pengguna. Untuk melakukan ini, Anda menentukan wildcard untuk tindakan, wilayah, dan nama domain. Kebijakan berikut memungkinkan pengguna untuk mengakses semua CloudSearch tindakan Amazon untuk domain apa pun di wilayah mana pun yang dimiliki oleh akun 111122223333.

{
  "Version":"2012-10-17",           
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cloudsearch:*"],
      "Resource": "arn:aws:cloudsearch:*:111122223333:domain/*"
    }
  ]
}

Memberikan Izin untuk Mengunggah Dokumen ke Domain Amazon CloudSearch

Anda dapat memberikan izin kepada pengguna untuk mengunggah dokumen ke domain penelusuran dengan menentukan cloudsearch:document tindakan. Misalnya, kebijakan berbasis pengguna berikut memungkinkan pengguna untuk mengunggah dokumen ke movies domain yang us-east-1 dimiliki oleh akun 111122223333. 

{
  "Version":"2012-10-17",           
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cloudsearch:document"],
      "Resource": "arn:aws:cloudsearch:us-east-1:111122223333:domain/movies"
    }
  ]
}

Memberikan Amazon CloudSearch Akses ke Akun AWS Lain

Anda memiliki dua opsi untuk mengonfigurasi akses lintas akun untuk CloudSearch domain:

Opsi Deskripsi
Konfigurasikan peran IAM untuk akses lintas akun. Peningkatan keamanan, tetapi membutuhkan penandatanganan permintaan yang kompleks. Untuk informasi selengkapnya, lihat Akses API Lintas Akun Menggunakan Peran IAM dalam dokumentasi IAM.
Lampirkan kebijakan berbasis sumber daya ke CloudSearch domain dan lampirkan kebijakan terkelola berbasis pengguna ke peran IAM. Lebih mudah diimplementasikan. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin kepada Pengguna IAM dan Panduan: Mendelegasikan Akses di Seluruh Akun AWS Untuk Akun yang Anda Miliki Menggunakan Peran IAM dalam dokumentasi IAM.

Topik ini memberikan contoh opsi kedua, menambahkan kebijakan berbasis sumber daya ke domain. CloudSearch Asumsikan bahwa akun #1 dimiliki oleh id akun 111111111111 dan akun #2 dimiliki oleh id akun999999999999. Akun #1 ingin memberikan akses ke akun #2 untuk menggunakan layanan pencarian movies domain, yang memerlukan dua langkah:

  1. Akun #1 melampirkan kebijakan berbasis sumber daya ke domain menggunakan CloudSearch konsol Amazon yang memberikan akses ke akun #2.

    {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"search_only",
      "Effect":"Allow",
      "Action":["cloudsearch:search"],
      "Principal":{"AWS":["arn:aws:iam::999999999999:root"]}
    }
  ]
}

  2. Akun #2 melampirkan kebijakan terkelola berbasis pengguna ke peran IAM yang dimiliki oleh akun tersebut menggunakan konsol IAM.

    {
  "Version":"2012-10-17",           
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["cloudsearch:search"],
      "Resource": "arn:aws:cloudsearch:us-east-1:111111111111:domain/movies"
    }
  ]
}
penting

Untuk mengonfigurasi kebijakan berbasis sumber daya untuk Amazon CloudSearch, Anda harus memiliki izin untuk menggunakan tindakan tersebut. cloudsearch:UpdateServiceAccessPolicies

Memberikan Akses ke CloudSearch Domain Amazon dari Alamat IP Terpilih

Kebijakan akses berbasis sumber daya yang ditetapkan melalui layanan CloudSearch konfigurasi Amazon mendukung akses anonim, yang memungkinkan Anda mengirimkan permintaan yang tidak ditandatangani ke layanan domain penelusuran. Untuk mengizinkan akses anonim dari alamat IP yang dipilih, gunakan wildcard untuk Principal nilai dan tentukan alamat IP yang diizinkan sebagai Condition elemen dalam kebijakan.

penting

Mengizinkan akses anonim dari alamat IP yang dipilih secara inheren kurang aman daripada memerlukan kredensi pengguna untuk mengakses domain pencarian Anda. Kami menyarankan agar tidak mengizinkan akses anonim meskipun hanya diizinkan dari alamat IP tertentu. Jika saat ini Anda mengizinkan akses anonim, Anda harus memutakhirkan aplikasi Anda untuk mengirimkan permintaan yang ditandatangani dan mengontrol akses dengan mengonfigurasi kebijakan berbasis pengguna atau berbasis sumber daya.

Jika Anda membuat kebijakan berbasis sumber daya yang memberikan akses ke permintaan yang berasal dari instans Amazon EC2, Anda harus menentukan alamat IP publik instans tersebut.

Alamat IP ditentukan dalam format Classless Inter-Domain Routing (CIDR) standar. Misalnya 10.24.34.0/24 menentukan rentang 10.24.34.0 - 10.24.34.255, sedangkan 10.24.34.0/32 menentukan alamat IP tunggal 10.24.34.0. Untuk informasi selengkapnya tentang notasi CIDR, lihat RFC 4632.

Misalnya, kebijakan berikut memberikan akses ke tindakan pencarian untuk movies domain yang dimiliki oleh akun AWS 111122223333 dari alamat IP 192.0.2.0/32.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"search_only",
      "Effect":"Allow",
      "Principal":"*",
      "Action":["cloudsearch:search"],
      "Condition":{"IpAddress":{"aws:SourceIp":"192.0.2.0/32"}}
    }
  ]
}

Memberikan Akses Publik ke Layanan Pencarian CloudSearch Domain Amazon

Jika Anda perlu mengizinkan akses publik ke titik akhir penelusuran domain, Anda dapat mengonfigurasi kebijakan berbasis sumber daya tanpa syarat. Ini memungkinkan permintaan yang tidak ditandatangani untuk dikirim dari alamat IP apa pun.

penting

Mengizinkan akses publik ke domain pencarian berarti Anda tidak memiliki kendali atas volume permintaan yang dikirimkan ke domain. Pengguna jahat dapat membanjiri domain dengan permintaan, memengaruhi pengguna yang sah serta biaya pengoperasian Anda.

Misalnya, kebijakan berikut memberikan akses publik ke tindakan penelusuran untuk movies domain yang dimiliki oleh akun AWS 111122223333.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"public_search",
      "Effect":"Allow",
      "Principal":"*",
      "Action":["cloudsearch:search"]
    }
  ]
}

Mengonfigurasi Akses untuk Amazon CloudSearch Menggunakan AWS Management Console

Untuk mengonfigurasi kebijakan berbasis pengguna

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Konfigurasikan CloudSearch izin Amazon dengan melampirkan kebijakan ke pengguna, grup, atau peran. Untuk informasi selengkapnya, lihat Mengelola Kebijakan (AWS Management Console). Untuk informasi selengkapnya tentang kebijakan berbasis pengguna untuk Amazon CloudSearch , lihat. Menulis Kebijakan Akses untuk Amazon CloudSearch

Untuk mengonfigurasi kebijakan berbasis sumber daya

  1. Masuk ke AWS Management Console dan buka CloudSearch konsol Amazon di https://console.aws.amazon.com/cloudsearch/home.

  2. Pilih nama domain yang ingin Anda konfigurasikan.

  3. Pada tab Konfigurasi domain, pilih Edit di samping Kebijakan akses.

  4. Setelah selesai membuat perubahan pada kebijakan akses domain, pilih Kirim.

Domain Anda tetap dalam Processing keadaan sementara Amazon CloudSearch memperbarui kebijakan akses.

Mengkonfigurasi Akses untuk Amazon CloudSearch dengan AWS CLI

Anda dapat mengonfigurasi kebijakan berbasis pengguna dan kebijakan berbasis sumber daya untuk Amazon dengan. CloudSearch AWS CLI Untuk informasi tentang menginstal dan menyiapkan AWS CLI, lihat AWS Command Line InterfacePanduan Pengguna.

Untuk mengonfigurasi kebijakan berbasis pengguna
Untuk mengonfigurasi kebijakan berbasis sumber daya

  • Jalankan aws cloudsearch update-service-access-policies perintah dan tentukan kebijakan akses dengan --access-policies opsi. Kebijakan akses harus dilampirkan dalam tanda kutip dan semua kutipan dalam kebijakan akses harus diloloskan dengan garis miring terbalik. Untuk informasi selengkapnya tentang kebijakan berbasis sumber daya untuk Amazon, lihat. CloudSearch Menulis Kebijakan Akses untuk Amazon CloudSearch

    Contoh berikut mengkonfigurasi movies domain untuk menerima permintaan pencarian dari alamat 192.0.2.0 IP. 

    aws cloudsearch update-service-access-policies --domain-name movies 
--access-policies "{\"Version\":\"2012-10-17\",\"Statement\":[{
  \"Sid\":\"search_only\",
  \"Effect\":\"Allow\",
  \"Principal\": \"*\",
  \"Action\":\"cloudsearch:search\",
  \"Condition\":{\"IpAddress\":{\"aws:SourceIp\":\"192.0.2.0/32\"}}}
]}"
{
  "AccessPolicies": {
    "Status": {
      "PendingDeletion": false, 
      "State": "Processing", 
      "CreationDate": "2014-04-30T22:07:30Z", 
      "UpdateVersion": 9, 
      "UpdateDate": "2014-04-30T22:07:30Z"
    }, 
    "Options":  
      "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",
        \"Effect\":\"Allow\",\"Principal\":\"*\",
        \"Action\":\"cloudsearch:search\",
        \"Condition\":{\"IpAddress\":{\"aws:SourceIp\":
        \"192.0.2.0/32\"}}}]}"
    }
}

Memperbarui kebijakan akses berbasis sumber daya membutuhkan waktu untuk diselesaikan. Anda dapat memeriksa status kebijakan dengan aws cloudsearch describe-service-access-policies perintah. Setelah kebijakan diterapkan, keadaan kebijakan berubah menjadiActive.

Anda dapat mengambil kebijakan domain Anda menggunakan aws cloudsearch describe-service-access-policies perintah.

Mengonfigurasi Akses ke Endpoint Domain Menggunakan AWS SDK

AWS SDK (kecuali SDK Android dan iOS) mendukung semua CloudSearch tindakan Amazon yang ditentukan dalam API CloudSearch Konfigurasi Amazon, termasuk. UpdateServiceAccessPolicies Untuk informasi selengkapnya tentang menginstal dan menggunakan AWS SDK, lihat AWS Software Development Kits.