設定集合的許可 - Amazon OpenSearch Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定集合的許可

OpenSearch Serverless 使用下列 AWS Identity and Access Management (IAM) 許可來建立和管理集合。您可以指定 IAM 條件,將使用者限制在特定集合內。

  • aoss:CreateCollection :建立集合。

  • aoss:ListCollections :列出目前帳戶中的集合。

  • aoss:BatchGetCollection :取得有關一個或多個集合的詳細資訊。

  • aoss:UpdateCollection :修改集合。

  • aoss:DeleteCollection :刪除集合。

下列身分型存取政策範例提供使用者管理名為 Logs 的單一集合所需的最低許可:

[
   {
      "Sid":"Allows managing logs collections",
      "Effect":"Allow",
      "Action":[
         "aoss:CreateCollection",
         "aoss:ListCollections",
         "aoss:BatchGetCollection",
         "aoss:UpdateCollection",
         "aoss:DeleteCollection",
         "aoss:CreateAccessPolicy",
         "aoss:CreateSecurityPolicy"
      ],
      "Resource":"*",
      "Condition":{
         "StringEquals":{
            "aoss:collection":"Logs"
         }
      }
   }
]

需要加密、網路和資料存取政策,才能讓集合正常運作,因此要將 aoss:CreateAccessPolicyaoss:CreateSecurityPolicy 包含在內。如需詳細資訊,請參閱Amazon OpenSearch Serverless 的身分和存取管理

注意

如果您要在帳戶中建立第一個集合,您也需要 iam:CreateServiceLinkedRole 許可。如需詳細資訊,請參閱使用服務連結角色建立 OpenSearch Serverless 集合