翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Amazon OpenSearch Service の マネージドポリシー
<a name="ac-managed"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## AmazonOpenSearchDirectQueryGlueCreateAccess
<a name="AmazonOpenSearchDirectQueryGlueCreateAccess"></a>

Amazon OpenSearch Service Direct Query Service に、`CreateDatabase`、`CreatePartition``CreateTable`、および へのアクセスを許可します`BatchCreatePartition` AWS Glue API。

[AmazonOpenSearchDirectQueryGlueCreateAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchDirectQueryGlueCreateAccess) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchServiceFullAccess
<a name="AmazonOpenSearchServiceFullAccess"></a>

 AWS アカウントのために OpenSearch Service 設定 API オペレーションとリソースへのフルアクセス権を付与します。

[AmazonOpenSearchServiceFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceFullAccess) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchServiceReadOnlyAccess
<a name="AmazonOpenSearchServiceReadOnlyAccess"></a>

のすべての OpenSearch Service リソースへの読み取り専用アクセスを許可します AWS アカウント。

[AmazonOpenSearchServiceReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceReadOnlyAccess) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchServiceRolePolicy
<a name="AmazonOpenSearchServiceRolePolicy"></a>

IAM エンティティに `AmazonOpenSearchServiceRolePolicy` をアタッチすることはできません。このポリシーは、OpenSearch Service がアカウントリソースにアクセスすることを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[アクセス許可](slr-aos.md#slr-permissions)」を参照してください。

[AmazonOpenSearchServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchServiceCognitoAccess
<a name="AmazonOpenSearchServiceCognitoAccess"></a>

[Cognito 認証](cognito-auth.md)を有効にするために必要な最小限の Amazon Cognito の許可を提供します。

[AmazonOpenSearchServiceCognitoAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceCognitoAccess) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchIngestionServiceRolePolicy
<a name="AmazonOpenSearchIngestionServiceRolePolicy"></a>

IAM エンティティに `AmazonOpenSearchIngestionServiceRolePolicy` をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[Amazon OpenSearch Service 用のサービスにリンクされたロールの使用](slr.md)」を参照してください。

[AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy) ポリシーは、IAM コンソールにあります。

## OpenSearchIngestionSelfManagedVpcePolicy
<a name="OpenSearchIngestionSelfManagedVpcePolicy"></a>

IAM エンティティに `OpenSearchIngestionSelfManagedVpcePolicy` をアタッチすることはできません。このポリシーは、OpenSearch Ingestion が、インジェストパイプラインへの セルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「[Amazon OpenSearch Service 用のサービスにリンクされたロールの使用](slr.md)」を参照してください。

[OpenSearchIngestionSelfManagedVpcePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/OpenSearchIngestionSelfManagedVpcePolicy) ポリシーは IAM コンソールにあります。

## AmazonOpenSearchIngestionFullAccess
<a name="AmazonOpenSearchIngestionFullAccess"></a>

 AWS アカウントのために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可します。

[AmazonOpenSearchIngestionFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchIngestionReadOnlyAccess
<a name="AmazonOpenSearchIngestionReadOnlyAccess"></a>

 AWS アカウントのためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可します。

[AmazonOpenSearchIngestionReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess) ポリシーは、IAM コンソールにあります。

## AmazonOpenSearchServerlessServiceRolePolicy
<a name="AmazonOpenSearchServerlessServiceRolePolicy"></a>

OpenSearch Serverless メトリクスデータを CloudWatch に送信するために必要な最小限の Amazon CloudWatch アクセス許可を提供します。

[AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy) ポリシーは、IAM コンソールにあります。

## AWS 管理ポリシーに対する OpenSearch Service の更新
<a name="ac-managed-updates"></a>

このサービスが変更の追跡を開始してからの OpenSearch Service の AWS マネージドポリシーの更新に関する詳細を表示します。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  `AmazonOpenSearchIngestionServiceRolePolicy` を更新しました  |  この更新により、OpenSearch Ingestion に対して OpenSearch が作成した VPC エンドポイントを変更するアクセス許可が付与され、VPC 間でパイプラインを共有することができるようになります。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)」を参照してください。  |  2025 年 8 月 28 日  | 
|  `AmazonOpenSearchServiceRolePolicy` を更新しました  |  以下のステートメントをポリシーに追加しました。Amazon OpenSearch Service が `AWSServiceRoleForAmazonOpenSearchService` サービスにリンクされたロールを引き受けると、ポリシー内のこの新しいステートメントにより、OpenSearch は OpenSearch のみが管理する AWS IAM アイデンティティセンター アプリケーションのアクセス範囲を更新できます。<pre>{<br />      "Effect": "Allow",<br />      "Action": "sso:PutApplicationAccessScope",<br />      "Resource": "arn:aws:sso::*:application/*/*",<br />      "Condition": {<br />        "StringEquals": {<br />          "aws:ResourceOrgID": "${aws:PrincipalOrgID}"<br />        }<br />      }<br />    }</pre>  | 2025 年 3 月 31 日 | 
|  `AmazonOpenSearchServerlessServiceRolePolicy` を更新  |  ポリシー `AmazonOpenSearchServerlessServiceRolePolicy` に SID `AllowAOSSCloudwatchMetrics` を追加しました。SID は、ポリシーステートメントのオプションの識別子として機能するステートメント ID です。  | 2024 年 7 月 12 日 | 
|  「`OpenSearchIngestionSelfManagedVpcePolicy`」を追加  |  OpenSearch Ingestion が、インジェストパイプラインへのセルフマネージド VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)」を参照してください。 | 2024 年 6 月 12 日 | 
|  `AmazonOpenSearchDirectQueryGlueCreateAccess` を追加  | Amazon OpenSearch Service Direct Query Service に、`CreateDatabase`、`CreatePartition``CreateTable`、および へのアクセスを許可します`BatchCreatePartition` AWS Glue API。 | 2024 年 5 月 6 日 | 
|  「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新  |  [サービスにリンクされたロール](slr-aos.md#slr-permissions)が IPv6 アドレスの割り当てと割り当て解除を行うために必要なアクセス許可が追加されました。 廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。  |  2023 年 10 月 18 日  | 
|  「`AmazonOpenSearchIngestionServiceRolePolicy`」を追加  |  OpenSearch Ingestion が、インジェストパイプラインへの VPC アクセスを有効にし、タグを作成し、インジェスト関連の CloudWatch メトリクスをアカウントに公開することを許可する、新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)」を参照してください。  |  2023 年 4 月 26 日  | 
|  「`AmazonOpenSearchIngestionFullAccess`」を追加  |   AWS アカウントのために、OpenSearch Ingestion API オペレーションとリソースへの完全なアクセスを許可する新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)」を参照してください。  |  2023 年 4 月 26 日  | 
|  「`AmazonOpenSearchIngestionReadOnlyAccess`」を追加  |   AWS アカウントのためにすべての OpenSearch Ingestion リソースへの読み取り専用アクセスを許可する新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)」を参照してください。  |  2023 年 4 月 26 日  | 
|  「`AmazonOpenSearchServerlessServiceRolePolicy`」を追加  |  OpenSearch Serverless のメトリクスデータを Amazon CloudWatchに送信するために必要な最小限のアクセス許可を提供する新しいポリシーです。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)」を参照してください。  |  2022 年 11 月 29 日  | 
|  「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新  |  [サービスにリンクされたロール](slr-aos.md#slr-permissions)が [OpenSearch Service で管理される VPC エンドポイント](slr-aos.md#slr-permissions)を作成するために必要なアクセス許可を追加しました。アクションには、リクエストにタグ `OpenSearchManaged=true` が含まれていないと実行できないものがあります。 廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。  |  2022 年 11 月 7 日  | 
|  「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新  |  OpenSearch クラスターメトリクスを Amazon CloudWatch に発行するために必要な `PutMetricData` アクションのサポートが追加されました。 廃止された Elasticsearch ポリシー も下位互換性を確保するために更新されました。 ポリシーの JSON については、「[IAM コンソール](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)」を参照してください。  |  2022 年 9 月 12 日  | 
|  「`AmazonOpenSearchServiceRolePolicy`」と「`AmazonElasticsearchServiceRolePolicy`」の更新  |  `acm` リソースタイプのサポートを追加しました。このポリシーは、[カスタムエンドポイント](customendpoint.md)が有効なドメインを作成および更新するために、[サービスにリンクされたロール](slr-aos.md#slr-permissions)が ACM リソースを検証および検証するために必要な最小限の AWS Certificate Manager (ACM) 読み取り専用アクセス許可を提供します。 非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。  |  2022 年 7 月 28 日  | 
|  「`AmazonOpenSearchServiceCognitoAccess`」および「`AmazonESCognitoAccess`」を更新しました。  |  `UpdateUserPoolClient`アクション用のサポートを追加します。Elasticsearch から OpenSearch へのアップグレード時に、Cognito user pool を設定するために必要です。 `SetIdentityPoolRoles`すべてのリソースへのアクセスを許可するアクションの権限を修正しました。 非推奨の Elasticsearch ポリシーも、下位互換性を確保するために更新されました。  |  2021 年 12 月 20 日  | 
|  `AmazonOpenSearchServiceRolePolicy` を更新  |  `security-group` リソースタイプのサポートを追加しました。このポリシーは、[VPC アクセス](cognito-auth.md)を有効にするために、[サービスにリンクされたロール](slr-aos.md#slr-permissions)で必要な最小限の Amazon EC2 および Elastic Load Balancing の許可を提供します。  |  2021 年 9 月 9 日  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html)  |  この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API および OpenSearch API のすべての HTTP メソッドへのフルアクセスを提供します。[きめ細かなアクセスコントロール](fgac.md)および[リソースベースのポリシー](ac.md#ac-types-resource)は引き続きアクセスを制限できます。  |  2021 年 9 月 7 日  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html)  |  この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、OpenSearch Service 設定 API (`es:Describe*`、`es:List*`、および`es:Get*`) への読み取り専用アクセスを許可しますが、OpenSearch API の HTTP メソッドへのアクセスは許可*しません*。  |  2021 年 9 月 7 日  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html)  |  この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、[Cognito 認証](cognito-auth.md)を有効にするために必要な最小限の Amazon Cognito の許可を提供します。  |  2021 年 9 月 7 日  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/ac-managed.html)  |  この新しいポリシーは、古いポリシーを置き換えるためのものです。どちらのポリシーも、[VPC アクセス](cognito-auth.md)を有効にするために、[サービスにリンクされたロール](slr-aos.md#slr-permissions)で必要な最小限の Amazon EC2 および Elastic Load Balancing の許可を提供します。  |  2021 年 9 月 7 日  | 
|  変更の追跡を開始しました  |  Amazon OpenSearch Service は、 AWS管理ポリシーの変更を追跡するようになりました。  |  2021 年 9 月 7 日  |