本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊 OpenSearch 服务的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AmazonOpenSearchDirectQueryGlueCreateAccess
授予亚马逊 OpenSearch 服务直接查询服务访问`CreateDatabase``CreatePartition`、`CreateTable`、和`BatchCreatePartition` AWS Glue API。
您可以在 IAM 控制台中找到该[AmazonOpenSearchDirectQueryGlueCreateAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchDirectQueryGlueCreateAccess)策略。
## AmazonOpenSearchServiceFullAccess
授予对的 OpenSearch 服务配置 API 操作和资源的完全访问权限 AWS 账户。
您可以在 IAM 控制台中找到该[AmazonOpenSearchServiceFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceFullAccess)策略。
## AmazonOpenSearchServiceReadOnlyAccess
授予对所有 OpenSearch 服务资源的只读访问权限 AWS 账户。
您可以在 IAM 控制台中找到该[AmazonOpenSearchServiceReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceReadOnlyAccess)策略。
## AmazonOpenSearchServiceRolePolicy
您不能将 `AmazonOpenSearchServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到允许服务访问账户资源的 OpenSearch 服务相关角色。有关更多信息,请参阅 [Permissions](slr-aos.md#slr-permissions)。
您可以在 IAM 控制台中找到该[AmazonOpenSearchServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)策略。
## AmazonOpenSearchServiceCognitoAccess
提供必要的最低 Amazon Cognito 权限,以便启用 [Cognito 身份验证](cognito-auth.md)。
您可以在 IAM 控制台中找到该[AmazonOpenSearchServiceCognitoAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceCognitoAccess)策略。
## AmazonOpenSearchIngestionServiceRolePolicy
您不能将 `AmazonOpenSearchIngestionServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到服务相关角色,该角色允许 OpenSearch Ingestion 为摄取管道启用 VPC 访问权限、创建标签以及向您的账户发布与摄取 CloudWatch 相关的指标。有关更多信息,请参阅 [在 Amazon OpenSearch 服务中使用服务相关角色](slr.md)。
您可以在 IAM 控制台中找到该[AmazonOpenSearchIngestionServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)策略。
## OpenSearchIngestionSelfManagedVpcePolicy
您不能将 `OpenSearchIngestionSelfManagedVpcePolicy` 附加到自己的 IAM 实体。此策略附加到服务相关角色,该角色允许 OpenSearch Ingestion 为摄取管道启用自我管理 VPC 访问权限、创建标签以及向您的账户发布与摄取相关的指标。 CloudWatch 有关更多信息,请参阅 [在 Amazon OpenSearch 服务中使用服务相关角色](slr.md)。
您可以在 IAM 控制台中找到该[OpenSearchIngestionSelfManagedVpcePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/OpenSearchIngestionSelfManagedVpcePolicy)策略。
## AmazonOpenSearchIngestionFullAccess
授予对 OpenSearch Ingestion API 操作和资源的完全访问权限。 AWS 账户
您可以在 IAM 控制台中找到该[AmazonOpenSearchIngestionFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)策略。
## AmazonOpenSearchIngestionReadOnlyAccess
授予对所有 OpenSearch 摄取资源的只读访问权限。 AWS 账户
您可以在 IAM 控制台中找到该[AmazonOpenSearchIngestionReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)策略。
## AmazonOpenSearchServerlessServiceRolePolicy
提供向其发送 OpenSearch 无服务器指标数据所需的最低 Amazon CloudWatch 权限。 CloudWatch
您可以在 IAM 控制台中找到该[AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)策略。
## OpenSearch AWS 托管策略的服务更新
查看自该服务开始跟踪变更以来 OpenSearch 服务的 AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新了 `AmazonOpenSearchIngestionServiceRolePolicy` | 此更新授予 OpenSearch Ingestion 修改创建的 VPC 终端节点的权限 OpenSearch ,以便在其中共享管道。 VPCs 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)。 | 2025 年 8 月 28 日 |
| 更新了 `AmazonOpenSearchServiceRolePolicy` | 将以下语句添加到了策略中。当 Amazon S OpenSearch ervice 担任`AWSServiceRoleForAmazonOpenSearchService`服务相关角色时,策略中的这一新声明 OpenSearch 允许更新仅由 OpenSearch管理的任何 AWS IAM Identity Center 应用程序的访问范围。{
"Effect": "Allow",
"Action": "sso:PutApplicationAccessScope",
"Resource": "arn:aws:sso::*:application/*/*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
} | 2025 年 3 月 31 日 |
| 更新了 `AmazonOpenSearchServerlessServiceRolePolicy` | 在策略 `AmazonOpenSearchServerlessServiceRolePolicy` 中添加了 Sid `AllowAOSSCloudwatchMetrics`。Sid 是一种语句 ID,作为策略语句的可选标识符。 | 2024 年 7 月 12 日 |
| 添加了 `OpenSearchIngestionSelfManagedVpcePolicy` | 一项新政策,允许 OpenSearch Ingestion 为摄取管道启用自我管理 VPC 访问权限、创建标签以及向您的账户发布与 CloudWatch 摄取相关的指标。 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)。 | 2024 年 6 月 12 日 |
| 新增了 `AmazonOpenSearchDirectQueryGlueCreateAccess` | 授予亚马逊 OpenSearch 服务直接查询服务访问`CreateDatabase``CreatePartition`、`CreateTable`、和`BatchCreatePartition` AWS Glue API。 | 2024 年 5 月 6 日 |
| 更新了`AmazonOpenSearchServiceRolePolicy`和 `AmazonElasticsearchServiceRolePolicy` | 添加了[服务相关角色](slr-aos.md#slr-permissions)分配和取消分配 IPv6 地址所需的权限。 已弃用的 Elasticsearch 策略 也已更新,以确保向后兼容。 | 2023 年 10 月 18 日 |
| 添加了 `AmazonOpenSearchIngestionServiceRolePolicy` | 一项新政策,允许 OpenSearch Ingestion 为摄取管道启用 VPC 访问权限、创建标签以及向您的账户发布与摄取相关的指标 CloudWatch 。 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)。 | 2023 年 4 月 26 日 |
| 添加了 `AmazonOpenSearchIngestionFullAccess` | 一项新政策,授予对 OpenSearch Ingestion API 操作和资源的完全访问权限。 AWS 账户 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)。 | 2023 年 4 月 26 日 |
| 添加了 `AmazonOpenSearchIngestionReadOnlyAccess` | 一项新策略,授予对所有 OpenSearch Ingestion 资源的只读访问权限。 AWS 账户 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)。 | 2023 年 4 月 26 日 |
| 添加了 `AmazonOpenSearchServerlessServiceRolePolicy` | 一项新策略,提供向其发送 OpenSearch 无服务器指标数据所需的最低权限。 Amazon CloudWatch 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)。 | 2022 年 11 月 29 日 |
| 更新了`AmazonOpenSearchServiceRolePolicy`和 `AmazonElasticsearchServiceRolePolicy` | 增加了[服务相关角色创建OpenSearch 服务托管](slr-aos.md#slr-permissions) [VPC](slr-aos.md#slr-permissions) 终端节点所需的权限。某些操作只能在请求包含标签 `OpenSearchManaged=true` 时执行。 已弃用的 Elasticsearch 策略 也已更新,以确保向后兼容。 | 2022 年 11 月 7 日 |
| 更新了`AmazonOpenSearchServiceRolePolicy`和 `AmazonElasticsearchServiceRolePolicy` | 增加了对该操作的支持,该`PutMetricData`操作是向 Amazon 发布 OpenSearch 集群指标所必需的 CloudWatch。 已弃用的 Elasticsearch 策略 也已更新,以确保向后兼容。 有关策略 JSON,请参阅 [IAM 控制台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)。 | 2022 年 9 月 12 日 |
| 更新了`AmazonOpenSearchServiceRolePolicy`和 `AmazonElasticsearchServiceRolePolicy` | 增加了对 `acm` 资源类型的支持。该策略为[服务相关角色](slr-aos.md#slr-permissions)提供了验证和验证 ACM 资源所需的最低 AWS Certificate Manager (ACM) 只读权限,以便创建和更新启用了[自定义终端节点](customendpoint.md)的域。 已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。 | 2022 年 7 月 28 日 |
| 更新了`AmazonOpenSearchServiceCognitoAccess`和 `AmazonESCognitoAccess` | 增加了对该操作的支持,该`UpdateUserPoolClient`操作是从 Elasticsearch 升级到期间设置 Cognito 用户池配置所必需的。 OpenSearch 纠正了 `SetIdentityPoolRoles` 操作的权限,以允许访问所有资源。 已弃用的 Elasticsearch 策略也已更新,以确保向后兼容。 | 2021 年 12 月 20 日 |
| 更新了 `AmazonOpenSearchServiceRolePolicy` | 增加了对 `security-group` 资源类型的支持。该策略提供了最低 Amazon EC2 和 Elastic Load Balancing 权限,以便[服务相关角色](slr-aos.md#slr-permissions)启用 [VPC 访问](cognito-auth.md)。 | 2021 年 9 月 9 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/ac-managed.html) | 此新策略旨在取代旧策略。这两个策略都提供对 OpenSearch 服务配置 API 和所有 HTTP 方法的完全访问权限 OpenSearch APIs。[精细访问权限](fgac.md)和[基于资源的策略](ac.md#ac-types-resource)仍然可以限制访问。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/ac-managed.html) | 此新策略旨在取代旧策略。这两个策略都提供对 OpenSearch 服务配置 API(`es:Describe*``es:List*`、和`es:Get*`)的只读访问权限,并且*不*提供对 HTTP 方法的访问权限 OpenSearch APIs。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/ac-managed.html) | 此新策略旨在取代旧策略。两个策略都提供了最低 Amazon Cognito 权限,以便启用 [Cognito 身份验证](cognito-auth.md)。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/ac-managed.html) | 此新策略旨在取代旧策略。两个策略提供了最低 Amazon EC2 和 Elastic Load Balancing 权限,以便[服务相关角色](slr-aos.md#slr-permissions)启用 [VPC 访问](cognito-auth.md)。 | 2021 年 9 月 7 日 |
| 已开启跟踪更改 | Amazon OpenSearch 服务现在可以跟踪 AWS托管策略的更改。 | 2021 年 9 月 7 日 |