コレクションのアクセス許可の設定 - Amazon OpenSearch Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コレクションのアクセス許可の設定

OpenSearch Serverless は、コレクションを作成および管理するために次の AWS Identity and Access Management (IAM) アクセス許可を使用します。IAM 条件を指定して、ユーザーを特定のコレクションに制限できます。

  • aoss:CreateCollection – コレクションを作成します。

  • aoss:ListCollections – 現在のアカウントのコレクションを一覧表示します。

  • aoss:BatchGetCollection – 1 つまたは複数のコレクションに関する詳細情報を取得します。

  • aoss:UpdateCollection – コレクションを変更します。

  • aoss:DeleteCollection – コレクションを削除します。

次の ID ベースのアクセスポリシーのサンプルでは、ユーザーが Logs という名前の 1 つのコレクションを管理するのに必要な最小限のアクセス許可が付与されています。

[
   {
      "Sid":"Allows managing logs collections",
      "Effect":"Allow",
      "Action":[
         "aoss:CreateCollection",
         "aoss:ListCollections",
         "aoss:BatchGetCollection",
         "aoss:UpdateCollection",
         "aoss:DeleteCollection",
         "aoss:CreateAccessPolicy",
         "aoss:CreateSecurityPolicy"
      ],
      "Resource":"*",
      "Condition":{
         "StringEquals":{
            "aoss:collection":"Logs"
         }
      }
   }
]

コレクションを正常に機能させるには、暗号化、ネットワーク、およびデータアクセスポリシーが必要なため、aoss:CreateAccessPolicyaoss:CreateSecurityPolicy が含まれています。詳細については、「Amazon OpenSearch Serverless 向けの アイデンティティとアクセス管理」を参照してください。

注記

アカウントで最初のコレクションを作成する場合は、iam:CreateServiceLinkedRole アクセス許可も必要です。詳細については、「サービスにリンクされたロールを使用して OpenSearch Serverless コレクションを作成する」を参照してください。