AWSAmazon OpenSearch Service の マネージドポリシー - Amazon OpenSearch Service
AmazonOpenSearchDirectQueryGlueCreateAccessAmazonOpenSearchServiceFullAccessAmazonOpenSearchServiceReadOnlyAccessAmazonOpenSearchServiceRolePolicyAmazonOpenSearchServiceCognitoAccessAmazonOpenSearchIngestionServiceRolePolicyOpenSearchIngestionSelfManagedVpcePolicyAmazonOpenSearchIngestionFullAccessAmazonOpenSearchIngestionReadOnlyAccessAmazonOpenSearchServerlessServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAmazon OpenSearch Service の マネージドポリシー

AWS管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーですAWS。 AWS管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS管理ポリシーは、すべてのAWSお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS管理ポリシーで定義されているアクセス許可は変更できません。がAWS マネージドポリシーで定義されたアクセス許可AWSを更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWSは、新しい が起動されるか、新しい API オペレーションAWS のサービスが既存のサービスで使用できるようになったときに、 AWSマネージドポリシーを更新する可能性が高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AmazonOpenSearchDirectQueryGlueCreateAccess

Amazon OpenSearch Service Direct Query Service に CreateDatabaseCreatePartitionCreateTable、および へのアクセスを許可しますBatchCreatePartitionAWS Glue API。

AmazonOpenSearchDirectQueryGlueCreateAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceFullAccess

AWS アカウント のために OpenSearch Service 設定 API オペレーションとリソースへのフルアクセス権を付与します。

AmazonOpenSearchServiceFullAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceReadOnlyAccess

のすべての OpenSearch Service リソースへの読み取り専用アクセスを許可しますAWS アカウント。

AmazonOpenSearchServiceReadOnlyAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceRolePolicy

IAM エンティティに AmazonOpenSearchServiceRolePolicy をアタッチすることはできません。このポリシーは、OpenSearch Service がアカウントリソースにアクセスすることを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「権限」を参照してください。

AmazonOpenSearchServiceRolePolicy ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServiceCognitoAccess

Cognito 認証を有効にするために必要な最小限の Amazon Cognito の許可を提供します。

AmazonOpenSearchServiceCognitoAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchIngestionServiceRolePolicy

IAM エンティティに AmazonOpenSearchIngestionServiceRolePolicy をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon OpenSearch Service 用のサービスにリンクされたロールの使用」を参照してください。

AmazonOpenSearchServerlessServiceRolePolicy ポリシーは、IAM コンソールにあります。

OpenSearchIngestionSelfManagedVpcePolicy

IAM エンティティに OpenSearchIngestionSelfManagedVpcePolicy をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの セルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon OpenSearch Service 用のサービスにリンクされたロールの使用」を参照してください。

OpenSearchIngestionSelfManagedVpcePolicy ポリシーは IAM コンソールにあります。

AmazonOpenSearchIngestionFullAccess

AWS アカウント のために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可します。

AmazonOpenSearchIngestionFullAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchIngestionReadOnlyAccess

AWS アカウント のためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可します。

AmazonOpenSearchIngestionReadOnlyAccess ポリシーは、IAM コンソールにあります。

AmazonOpenSearchServerlessServiceRolePolicy

OpenSearch Serverless メトリクスデータを CloudWatch に送信するために必要な最小限のAmazon CloudWatchアクセス許可を提供します。

AmazonOpenSearchServerlessServiceRolePolicy ポリシーは、IAM コンソールにあります。

AWS管理ポリシーに対する OpenSearch Service の更新

このサービスが変更の追跡を開始してからの OpenSearch Service の AWSマネージドポリシーの更新に関する詳細を表示します。

変更 説明 日付

AmazonOpenSearchIngestionServiceRolePolicy を更新しました

この更新により、OpenSearch Ingestion に対して OpenSearch が作成した VPC エンドポイントを変更するアクセス許可が付与され、VPC 間でパイプラインを共有することができるようになります。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2025 年 8 月 28 日

AmazonOpenSearchServiceRolePolicy を更新しました

以下のステートメントをポリシーに追加しました。Amazon OpenSearch Service が AWSServiceRoleForAmazonOpenSearchService サービスにリンクされたロールを引き受けると、ポリシー内のこの新しいステートメントにより、OpenSearch は OpenSearch のみが管理する AWS IAM アイデンティティセンター アプリケーションのアクセス範囲を更新できます。

{
      "Effect": "Allow",
      "Action": "sso:PutApplicationAccessScope",
      "Resource": "arn:aws:sso::*:application/*/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
        }
      }
    }
 2025 年 3 月 31 日

AmazonOpenSearchServerlessServiceRolePolicy を更新

ポリシー AmazonOpenSearchServerlessServiceRolePolicy に SID AllowAOSSCloudwatchMetrics を追加しました。SID は、ポリシーステートメントのオプションの識別子として機能するステートメント ID です。

 2024 年 7 月 12 日

OpenSearchIngestionSelfManagedVpcePolicy」を追加

OpenSearch Ingestion が、インジェストパイプラインへのセルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

 2024 年 6 月 12 日

AmazonOpenSearchDirectQueryGlueCreateAccess を追加

Amazon OpenSearch Service Direct Query Service に CreateDatabaseCreatePartitionCreateTable、および へのアクセスを許可しますBatchCreatePartitionAWS Glue API。

 2024 年 5 月 6 日

AmazonOpenSearchServiceRolePolicy」と「AmazonElasticsearchServiceRolePolicy」の更新

サービスにリンクされたロールが IPv6 アドレスの割り当てと割り当て解除を行うために必要なアクセス許可が追加されました。

廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。

2023 年 10 月 18 日

AmazonOpenSearchIngestionServiceRolePolicy」を追加

OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2023 年 4 月 26 日

AmazonOpenSearchIngestionFullAccess」を追加

AWS アカウント のために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可する新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2023 年 4 月 26 日

AmazonOpenSearchIngestionReadOnlyAccess」を追加

AWS アカウント のためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可する新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2023 年 4 月 26 日

AmazonOpenSearchServerlessServiceRolePolicy」を追加

OpenSearch Serverless のメトリクスデータを Amazon CloudWatch に送信するために必要な最小限のアクセス許可を提供する新しいポリシーです。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2022 年 11 月 29 日

AmazonOpenSearchServiceRolePolicy」と「AmazonElasticsearchServiceRolePolicy」の更新

サービスにリンクされたロールOpenSearch Service で管理される VPC エンドポイントを作成するために必要なアクセス許可を追加しました。アクションには、リクエストにタグ OpenSearchManaged=true が含まれていないと実行できないものがあります。

廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。

2022 年 11 月 7 日

AmazonOpenSearchServiceRolePolicy」と「AmazonElasticsearchServiceRolePolicy」の更新

OpenSearch クラスターメトリクスを Amazon CloudWatch に発行するために必要な PutMetricData アクションのサポートが追加されました。

廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。

ポリシーの JSON については、「IAM コンソール」を参照してください。

2022 年 9 月 12 日

AmazonOpenSearchServiceRolePolicy」と「AmazonElasticsearchServiceRolePolicy」の更新

acm リソースタイプのサポートを追加しました。このポリシーは、カスタムエンドポイントが有効なドメインを作成および更新するために、サービスにリンクされたロールが ACM リソースを検証および検証するために必要な最小限の AWS Certificate Manager(ACM) 読み取り専用アクセス許可を提供します。

非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。

2022 年 7 月 28 日

AmazonOpenSearchServiceCognitoAccess」および「AmazonESCognitoAccess」を更新しました。

UpdateUserPoolClientアクション用のサポートを追加します。Elasticsearch から OpenSearch へのアップグレード時に、Cognito user pool を設定するために必要です。

SetIdentityPoolRolesすべてのリソースへのアクセスを許可するアクションの権限を修正しました。

非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。

2021 年 12 月 20 日

AmazonOpenSearchServiceRolePolicy を更新

security-group リソースタイプのサポートを追加しました。このポリシーは、サービスにリンクされたロールが VPC アクセスを有効にするために必要な最小限の Amazon EC2 および ELB アクセス許可を提供します。

2021 年 9 月 9 日

  • AmazonOpenSearchServiceFullAccess」を追加

  • AmazonESFullAccess」を廃止

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API および OpenSearch API のすべての HTTP メソッドへのフルアクセスを提供します。きめ細かなアクセスコントロールおよびリソースベースのポリシーは引き続きアクセスを制限できます。

2021 年 9 月 7 日

  • AmazonOpenSearchServiceReadOnlyAccess」を追加

  • AmazonESReadOnlyAccess」を廃止

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API (es:Describe*es:List*、およびes:Get*) への読み取り専用アクセスを許可しますが、OpenSearch API の HTTP メソッドへのアクセスは許可しません

2021 年 9 月 7 日

  • AmazonOpenSearchServiceCognitoAccess」を追加

  • AmazonESCognitoAccess」を廃止

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、Cognito 認証を有効にするために必要な最小限の Amazon Cognito の許可を提供します。

2021 年 9 月 7 日

この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、サービスにリンクされたロールが VPC アクセスを有効にするために必要な最小限の Amazon EC2 および ELB アクセス許可を提供します。

2021 年 9 月 7 日

変更の追跡を開始しました

Amazon OpenSearch Service は、AWS管理ポリシーの変更を追跡するようになりました。

2021 年 9 月 7 日