AWS Amazon OpenSearch Service の マネージドポリシー - Amazon OpenSearch Service
AmazonOpenSearchDirectQueryGlueCreateAccessAmazonOpenSearchServiceFullAccessAmazonOpenSearchServiceReadOnlyAccessAmazonOpenSearchServiceRolePolicyAmazonOpenSearchServiceCognitoAccessAmazonOpenSearchIngestionServiceRolePolicyOpenSearchIngestionSelfManagedVpcePolicyAmazonOpenSearchIngestionFullAccessAmazonOpenSearchIngestionReadOnlyAccessAmazonOpenSearchServerlessServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon OpenSearch Service の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AmazonOpenSearchDirectQueryGlueCreateAccess

Amazon OpenSearch Service Direct Query Service に CreateDatabaseCreatePartitionCreateTable、および へのアクセスを許可しますBatchCreatePartition AWS Glue API。

AmazonOpenSearchDirectQueryGlueCreateAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceFullAccess

AWS アカウントのために OpenSearch Service 設定 API オペレーションとリソースへのフルアクセス権を付与します。

AmazonOpenSearchServiceFullAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceReadOnlyAccess

のすべての OpenSearch Service リソースへの読み取り専用アクセスを許可します AWS アカウント。

AmazonOpenSearchServiceReadOnlyAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceRolePolicy

IAM エンティティに AmazonOpenSearchServiceRolePolicy をアタッチすることはできません。このポリシーは、OpenSearch Service がアカウントリソースにアクセスすることを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「アクセス許可」を参照してください。

AmazonOpenSearchServiceRolePolicy ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceCognitoAccess

Cognito 認証を有効にするために必要な最小限の Amazon Cognito の許可を提供します。

AmazonOpenSearchServiceCognitoAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchIngestionServiceRolePolicy

IAM エンティティに AmazonOpenSearchIngestionServiceRolePolicy をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon OpenSearch Service 用のサービスにリンクされたロールの使用」を参照してください。

AmazonOpenSearchServerlessServiceRolePolicy ポリシーは、IAM コンソールにあります。

OpenSearchIngestionSelfManagedVpcePolicy

IAM エンティティに OpenSearchIngestionSelfManagedVpcePolicy をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの セルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon OpenSearch Service 用のサービスにリンクされたロールの使用」を参照してください。

OpenSearchIngestionSelfManagedVpcePolicy ポリシーは IAM コンソールにあります。

AmazonOpenSearchIngestionFullAccess

AWS アカウントのために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可します。

AmazonOpenSearchIngestionFullAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchIngestionReadOnlyAccess

AWS アカウントのためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可します。

AmazonOpenSearchIngestionReadOnlyAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServerlessServiceRolePolicy

OpenSearch Serverless メトリクスデータを CloudWatch に送信するために必要な最小限の Amazon CloudWatch アクセス許可を提供します。 CloudWatch

AmazonOpenSearchServerlessServiceRolePolicy ポリシーは、IAM コンソールにあります。

AWS 管理ポリシーに対する OpenSearch Service の更新

このサービスが変更の追跡を開始してからの OpenSearch Service の AWS マネージドポリシーの更新に関する詳細を表示します。

変更 説明 日付

を更新しました AmazonOpenSearchServiceRolePolicy

ポリシーに次のステートメントを追加しました。Amazon OpenSearch Service がAWSServiceRoleForAmazonOpenSearchServiceサービスにリンクされたロールを引き受けると、ポリシー内のこの新しいステートメントにより、OpenSearch は OpenSearch によってのみ管理されるアプリケーションの AWS IAM Identity Center アクセス範囲を更新できます。

{
      "Effect": "Allow",
      "Action": "sso:PutApplicationAccessScope",
      "Resource": "arn:aws:sso::*:application/*/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
        }
      }
    }
 2025 年 3 月 31 日

AmazonOpenSearchServerlessServiceRolePolicy の更新

ポリシー AmazonOpenSearchServerlessServiceRolePolicy に SID AllowAOSSCloudwatchMetrics を追加しました。SID は、ポリシーステートメントのオプションの識別子として機能するステートメント ID です。

 2024 年 7 月 12 日

OpenSearchIngestionSelfManagedVpcePolicy」を追加

OpenSearch Ingestion が、インジェストパイプラインへのセルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

 2024 年 6 月 12 日

AmazonOpenSearchDirectQueryGlueCreateAccess を追加

Amazon OpenSearch Service Direct Query Service に CreateDatabaseCreatePartitionCreateTable、および へのアクセスを許可しますBatchCreatePartition AWS Glue API。

 2024 年 5 月 6 日

AmazonOpenSearchServiceRolePolicy」および「AmazonElasticsearchServiceRolePolicy」を更新しました。

サービスにリンクされたロールが IPv6 アドレスの割り当てと割り当て解除を行うために必要なアクセス許可が追加されました。

廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。

2023 年 10 月 18 日

AmazonOpenSearchIngestionServiceRolePolicy」を追加

OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2023 年 4 月 26 日

AmazonOpenSearchIngestionFullAccess」を追加

AWS アカウントのために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可する新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2023 年 4 月 26 日

AmazonOpenSearchIngestionReadOnlyAccess」を追加

AWS アカウントのためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可する新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2023 年 4 月 26 日

AmazonOpenSearchServerlessServiceRolePolicy」を追加

OpenSearch Serverless のメトリクスデータを Amazon CloudWatchに送信するために必要な最小限のアクセス許可を提供する新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2022 年 11 月 29 日

AmazonOpenSearchServiceRolePolicy」および「AmazonElasticsearchServiceRolePolicy」を更新しました。

サービスにリンクされたロールOpenSearch Service で管理される VPC エンドポイントを作成するために必要なアクセス許可を追加しました。アクションには、リクエストにタグ OpenSearchManaged=true が含まれていないと実行できないものがあります。

廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。

2022 年 11 月 7 日

AmazonOpenSearchServiceRolePolicy」および「AmazonElasticsearchServiceRolePolicy」を更新しました。

OpenSearch クラスターメトリクスを Amazon CloudWatch に発行するために必要な PutMetricData アクションのサポートが追加されました。

廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2022 年 9 月 12 日

AmazonOpenSearchServiceRolePolicy」および「AmazonElasticsearchServiceRolePolicy」を更新しました。

acm リソースタイプのサポートを追加しました。このポリシーは、カスタムエンドポイントが有効なドメインを作成および更新するために、サービスにリンクされたロールが ACM リソースを検証および検証するために必要な最小限の AWS Certificate Manager (ACM) 読み取り専用アクセス許可を提供します。

非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。

2022 年 7 月 28 日

AmazonOpenSearchServiceCognitoAccess」および「AmazonESCognitoAccess」を更新しました。

UpdateUserPoolClientアクション用のサポートを追加します。Elasticsearch から OpenSearch へのアップグレード時に、Cognito user pool を設定するために必要です。

SetIdentityPoolRolesすべてのリソースへのアクセスを許可するアクションの権限を修正しました。

非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。

2021 年 12 月 20 日

AmazonOpenSearchServiceRolePolicy の更新

security-group リソースタイプのサポートを追加しました。このポリシーは、VPC アクセスを有効にするために、サービスにリンクされたロールで必要な最小限の Amazon EC2 および Elastic Load Balancing の許可を提供します。

2021 年 9 月 9 日

  • AmazonOpenSearchServiceFullAccess」を追加

  • AmazonESFullAccess」を廃止

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API および OpenSearch API のすべての HTTP メソッドへのフルアクセスを提供します。きめ細かなアクセスコントロールおよびリソースベースのポリシーは引き続きアクセスを制限できます。

2021 年 9 月 7 日

  • AmazonOpenSearchServiceReadOnlyAccess」を追加

  • AmazonESReadOnlyAccess」を廃止

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API (es:Describe*es:List*、およびes:Get*) への読み取り専用アクセスを許可しますが、OpenSearch API の HTTP メソッドへのアクセスは許可しません

2021 年 9 月 7 日

  • AmazonOpenSearchServiceCognitoAccess」を追加

  • AmazonESCognitoAccess」を廃止

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、Cognito 認証を有効にするために必要な最小限の Amazon Cognito の許可を提供します。

2021 年 9 月 7 日

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、VPC アクセスを有効にするために、サービスにリンクされたロールで必要な最小限の Amazon EC2 および Elastic Load Balancing の許可を提供します。

2021 年 9 月 7 日

変更の追跡を開始しました

Amazon OpenSearch Service は、 AWS管理ポリシーの変更を追跡するようになりました。

2021 年 9 月 7 日