为集合配置权限 - 亚马逊 OpenSearch 服务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为集合配置权限

OpenSearch Serverless 使用以下 AWS Identity and Access Management (IAM) 权限来创建和管理集合。您可以指定 IAM 条件,以将用户限制到特定集合。

  • aoss:CreateCollection:创建集合。

  • aoss:ListCollections:列出当前账户中的集合。

  • aoss:BatchGetCollection:获取有关一个或多个集合的详细信息。

  • aoss:UpdateCollection:修改集合。

  • aoss:DeleteCollection:删除集合。

以下基于身份的示例访问策略将为用户提供管理名为 Logs 的单个集合所需的最低权限:

[
   {
      "Sid":"Allows managing logs collections",
      "Effect":"Allow",
      "Action":[
         "aoss:CreateCollection",
         "aoss:ListCollections",
         "aoss:BatchGetCollection",
         "aoss:UpdateCollection",
         "aoss:DeleteCollection",
         "aoss:CreateAccessPolicy",
         "aoss:CreateSecurityPolicy"
      ],
      "Resource":"*",
      "Condition":{
         "StringEquals":{
            "aoss:collection":"Logs"
         }
      }
   }
]

之所以包括 aoss:CreateAccessPolicyaoss:CreateSecurityPolicy,是因为需要加密、网络和数据访问策略才能使集合正常运行。有关更多信息,请参阅 适用于 Amazon OpenSearch Serverless 的身份和访问管理

注意

如果您要在账户中创建第一个集合,则还需要 iam:CreateServiceLinkedRole 权限。有关更多信息,请参阅 使用服务相关角色创建 OpenSearch 无服务器集合