配置 Amazon OpenSearch Service 域安全性 - Amazon Personalize
OpenSearch Service 用户或角色的策略示例

配置 Amazon OpenSearch Service 域安全性

要将该插件与 OpenSearch Service 结合使用,访问您的域的用户或角色必须具有您刚创建的 OpenSearch Service 的 IAM 服务角色PassRole 权限。此外,此用户或角色必须具有执行 es:ESHttpGetes:ESHttpPut 操作的权限。

有关配置对 OpenSearch Service 的访问权限的信息,请参阅《Amazon OpenSearch Service 开发人员指南》中的 Amazon OpenSearch Service 中的安全性。有关策略示例,请参阅 OpenSearch Service 用户或角色的策略示例

OpenSearch Service 用户或角色的策略示例

以下 IAM 策略示例向用户或角色授予您在当资源位于同一账户时配置权限中为 OpenSearch Service 创建的 IAM 服务角色的 PassRole 权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
        }
    ]
}

以下 IAM 策略授予使用 OpenSearch Service 创建管道和搜索查询的最低权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "es:ESHttpGet",
                "es:ESHttpPut"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": [
                        "production"
                    ]
                }
            }
        }
    ]
}