本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置亚马逊 OpenSearch 服务域安全
要将插件与 S OpenSearch ervice 配合使用,访问您域的用户或角色必须拥有您刚刚创建的 Service [的 IAM OpenSearch 服务角色的`PassRole`](service-role-managed.md)权限。此外,此用户或角色必须具有执行 `es:ESHttpGet` 和 `es:ESHttpPut` 操作的权限。
有关配置 OpenSearch 服务访问权限的信息,请参阅《[亚马逊 OpenSearch 服务*开发者指南》中的 “亚马逊 OpenSearch 服务*安全](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html)”。有关策略示例,请参阅 [OpenSearch 服务用户或角色的策略示例](#opensearch-domain-user-policy-examples)。
## OpenSearch 服务用户或角色的策略示例
以下 IAM 策略示例向用户或角色`PassRole`授予您为服务创建的 IAM OpenSearch 服务角色的权限[当资源位于同一账户时配置权限](service-role-managed.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
以下 IAM 策略授予使用 S OpenSearch ervice 创建管道和搜索查询的最低权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}
]
}
```
------