本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置集合权限
<a name="serverless-collection-permissions"></a>

OpenSearch Serverless 使用以下 AWS Identity and Access Management (IAM) 权限来创建和管理集合。您可以指定 IAM 条件，以将用户限制到特定集合。
+ `aoss:CreateCollection`：创建集合。
+ `aoss:ListCollections`：列出当前账户中的集合。
+ `aoss:BatchGetCollection`：获取有关一个或多个集合的详细信息。
+ `aoss:UpdateCollection`：修改集合。
+ `aoss:DeleteCollection`：删除集合。

以下基于身份的示例访问策略将为用户提供管理名为 `Logs` 的单个集合所需的最低权限：

```
[
   {
      "Sid":"Allows managing logs collections",
      "Effect":"Allow",
      "Action":[
         "aoss:CreateCollection",
         "aoss:ListCollections",
         "aoss:BatchGetCollection",
         "aoss:UpdateCollection",
         "aoss:DeleteCollection",
         "aoss:CreateAccessPolicy",
         "aoss:CreateSecurityPolicy"
      ],
      "Resource":"*",
      "Condition":{
         "StringEquals":{
            "aoss:collection":"Logs"
         }
      }
   }
]
```

之所以包括 `aoss:CreateAccessPolicy` 和 `aoss:CreateSecurityPolicy`，是因为需要加密、网络和数据访问策略才能使集合正常运行。有关更多信息，请参阅 [适用于 Amazon OpenSearch Serverless 的身份和访问管理](security-iam-serverless.md)。

**注意**  
如果您要在账户中创建第一个集合，则还需要 `iam:CreateServiceLinkedRole` 权限。有关更多信息，请参阅 [使用服务相关角色创建 OpenSearch 无服务器集合](serverless-service-linked-roles.md)。