本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Amazon OpenSearch Service 網域安全性
若要搭配 OpenSearch Service 使用外掛程式,存取網域的使用者或角色必須具有您剛建立之 [ OpenSearch Service 的 IAM 服務角色](service-role-managed.md)`PassRole`許可。此外,使用者或角色必須具有執行 `es:ESHttpGet`和 `es:ESHttpPut`動作的許可。
如需有關設定 OpenSearch Service 存取權的資訊,請參閱《[Amazon OpenSearch Service 開發人員指南》中的 Amazon OpenSearch Service 中的安全性](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security.html)。 * OpenSearch * 如需政策範例,請參閱[OpenSearch Service 使用者或角色的政策範例](#opensearch-domain-user-policy-examples)。
## OpenSearch Service 使用者或角色的政策範例
下列 IAM 政策範例會授予您在 中為 OpenSearch Service 建立之 IAM 服務角色的使用者或角色`PassRole`許可[當資源位於相同帳戶時設定許可](service-role-managed.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/opensearchservice.amazonaws.com/AWSServiceRoleForAmazonOpenSearchService"
}
]
}
```
------
下列 IAM 政策授予使用 OpenSearch Service 建立管道和搜尋查詢的最低許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}
]
}
```
------