本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon OpenSearch Service 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AmazonOpenSearchDirectQueryGlueCreateAccess
授予 Amazon OpenSearch Service Direct Query Service 對 `CreateDatabase`、 `CreatePartition``CreateTable`和 的存取權`BatchCreatePartition` AWS Glue API。
您可以在 IAM 主控台中找到 [AmazonOpenSearchDirectQueryGlueCreateAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchDirectQueryGlueCreateAccess) 政策。
## AmazonOpenSearchServiceFullAccess
授予 AWS 帳戶對 OpenSearch Service 組態 API 操作和資源的完整存取權。
您可以在 IAM 主控台中尋找 [AmazonOpenSearchServiceFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceFullAccess) 政策。
## AmazonOpenSearchServiceReadOnlyAccess
授予 所有 OpenSearch Service 資源的唯讀存取權 AWS 帳戶。
您可以在 IAM 主控台中尋找 [AmazonOpenSearchServiceReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceReadOnlyAccess) 政策。
## AmazonOpenSearchServiceRolePolicy
您不得將 `AmazonOpenSearchServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,可讓 OpenSearch Service 存取帳戶資源。如需詳細資訊,請參閱[許可](slr-aos.md#slr-permissions)。
您可以在 IAM 主控台中尋找 [AmazonOpenSearchServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy) 政策。
## AmazonOpenSearchServiceCognitoAccess
提供啟用 [Cognito 身分驗證](cognito-auth.md)所必需的最低 Amazon Cognito 許可。
您可以在 IAM 主控台中尋找 [AmazonOpenSearchServiceCognitoAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceCognitoAccess) 政策。
## AmazonOpenSearchIngestionServiceRolePolicy
您不得將 `AmazonOpenSearchIngestionServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 OpenSearch Ingestion 為擷取管道啟用 VPC 存取、建立標籤,以及將擷取相關 CloudWatch 指標發佈至您的帳戶。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 的服務連結角色](slr.md)。
您可以在 IAM 主控台中找到 [AmazonOpenSearchIngestionServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy) 政策。
## OpenSearchIngestionSelfManagedVpcePolicy
您不得將 `OpenSearchIngestionSelfManagedVpcePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 OpenSearch Ingestion 為擷取管道啟用自我管理 VPC 存取、建立標籤,以及將擷取相關的 CloudWatch 指標發佈至您的帳戶。如需詳細資訊,請參閱[使用 Amazon OpenSearch Service 的服務連結角色](slr.md)。
您可以在 IAM 主控台中找到 [OpenSearchIngestionSelfManagedVpcePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/OpenSearchIngestionSelfManagedVpcePolicy) 政策。
## AmazonOpenSearchIngestionFullAccess
授予 對 OpenSearch Ingestion API 操作和資源的完整存取權 AWS 帳戶。
您可以在 IAM 主控台中找到 [AmazonOpenSearchIngestionFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess) 政策。
## AmazonOpenSearchIngestionReadOnlyAccess
授予 所有 OpenSearch Ingestion 資源的唯讀存取權 AWS 帳戶。
您可以在 IAM 主控台中找到 [AmazonOpenSearchIngestionReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess) 政策。
## AmazonOpenSearchServerlessServiceRolePolicy
提供將 OpenSearch Serverless 指標資料傳送至 CloudWatch 所需的最低 Amazon CloudWatch 許可。
您可以在 IAM 主控台中尋找 [AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy) 政策。
## AWS 受管政策的 OpenSearch Service 更新
檢視自此服務開始追蹤變更以來OpenSearch Service AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 已更新 `AmazonOpenSearchIngestionServiceRolePolicy` | 更新提供 OpenSearch Ingestion 許可,以修改 OpenSearch 建立的 VPC 端點,以便在 VPCs 之間共用管道。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)。 | 2025 年 8 月 28 日 |
| 已更新 `AmazonOpenSearchServiceRolePolicy` | 已將下列陳述式新增至政策。當 Amazon OpenSearch Service 擔任`AWSServiceRoleForAmazonOpenSearchService`服務連結角色時,政策中的這個新陳述式可讓 OpenSearch 更新僅由 OpenSearch 管理之任何 AWS IAM Identity Center 應用程式的存取範圍。{
"Effect": "Allow",
"Action": "sso:PutApplicationAccessScope",
"Resource": "arn:aws:sso::*:application/*/*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
} | 2025 年 3 月 31 日 |
| 已更新 `AmazonOpenSearchServerlessServiceRolePolicy` | 已將 Sid `AllowAOSSCloudwatchMetrics`新增至政策 `AmazonOpenSearchServerlessServiceRolePolicy`。Sid 是做為政策陳述式選用識別符的陳述式 ID。 | 2024 年 7 月 12 日 |
| 已新增 `OpenSearchIngestionSelfManagedVpcePolicy` | 允許 OpenSearch Ingestion 為擷取管道啟用自我管理 VPC 存取、建立標籤,以及將擷取相關 CloudWatch 指標發佈至您的帳戶的新政策。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)。 | 2024 年 6 月 12 日 |
| 已新增`AmazonOpenSearchDirectQueryGlueCreateAccess` | 授予 Amazon OpenSearch Service Direct Query Service 對 `CreateDatabase`、 `CreatePartition``CreateTable`和 的存取權`BatchCreatePartition` AWS Glue API。 | 2024 年 5 月 6 日 |
| 更新 `AmazonOpenSearchServiceRolePolicy` 和 `AmazonElasticsearchServiceRolePolicy` | 新增[服務連結角色](slr-aos.md#slr-permissions)指派和取消指派 IPv6 地址所需的許可。 已取代的 Elasticsearch 政策也已更新,以確保向後相容性。 | 2023 年 10 月 18 日 |
| 已新增 `AmazonOpenSearchIngestionServiceRolePolicy` | 允許 OpenSearch Ingestion 為擷取管道啟用 VPC 存取、建立標籤,以及將擷取相關 CloudWatch 指標發佈至您帳戶的新政策。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)。 | 2023 年 4 月 26 日 |
| 已新增 `AmazonOpenSearchIngestionFullAccess` | 新的政策,授予 對 OpenSearch Ingestion API 操作和資源的完整存取權 AWS 帳戶。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)。 | 2023 年 4 月 26 日 |
| 已新增 `AmazonOpenSearchIngestionReadOnlyAccess` | 授予 所有 OpenSearch Ingestion 資源唯讀存取權的新政策 AWS 帳戶。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)。 | 2023 年 4 月 26 日 |
| 已新增 `AmazonOpenSearchServerlessServiceRolePolicy` | 提供將 OpenSearch Serverless 指標資料傳送至 Amazon CloudWatch所需最低許可的新政策。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)。 | 2022 年 11 月 29 日 |
| 更新 `AmazonOpenSearchServiceRolePolicy` 和 `AmazonElasticsearchServiceRolePolicy` | 已新增[服務連結角色](slr-aos.md#slr-permissions)建立 [OpenSearch Service 受管 VPC 端點](slr-aos.md#slr-permissions)所需的許可。某些動作只能在請求包含標籤 `OpenSearchManaged=true` 時執行。 已取代的 Elasticsearch 政策也已更新,以確保向後相容性。 | 2022 年 11 月 7 日 |
| 更新 `AmazonOpenSearchServiceRolePolicy` 和 `AmazonElasticsearchServiceRolePolicy` | 已新增對 `PutMetricData` 動作的支援,這是將 OpenSearch 叢集指標發佈至 Amazon CloudWatch 所需的動作。 已取代的 Elasticsearch 政策也已更新,以確保向後相容性。 如需了解政策 JSON,請參閱 [IAM 主控台](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)。 | 2022 年 9 月 12 日 |
| 更新 `AmazonOpenSearchServiceRolePolicy` 和 `AmazonElasticsearchServiceRolePolicy` | 新增對 `acm` 資源類型的支援。此政策提供[服務連結角色](slr-aos.md#slr-permissions)驗證和驗證 ACM 資源所需的最低 AWS Certificate Manager (ACM) 唯讀許可,以建立和更新啟用[自訂端點](customendpoint.md)的網域。 已取代的 Elasticsearch 政策也已更新,以確保向後相容性。 | 2022 年 7 月 28 日 |
| 更新 `AmazonOpenSearchServiceCognitoAccess` 和 `AmazonESCognitoAccess` | 新增對 `UpdateUserPoolClient` 動作的支援,這是在從 Elasticsearch 升級至 OpenSearch 期間設定 Cognito 使用者集區設定所需的動作。 更正 `SetIdentityPoolRoles` 動作的許可,允許對所有資源的存取。 已取代的 Elasticsearch 政策也已更新,以確保向後相容性。 | 2021 年 12 月 20 日 |
| 已更新 `AmazonOpenSearchServiceRolePolicy` | 新增對 `security-group` 資源類型的支援。該政策提供[服務連結角色](slr-aos.md#slr-permissions)所必需的最低 Amazon EC2 和 Elastic Load Balancing 許可,以啟用 [VPC 存取](cognito-auth.md)。 | 2021 年 9 月 9 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/ac-managed.html) | 這項新政策旨在取代舊政策。這兩個原則提供對 OpenSearch Service 組態 API 以及 OpenSearch API 的所有 HTTP 方法的完整存取。[精細存取控制](fgac.md)和[以資源為基礎的政策](ac.md#ac-types-resource)仍然可以限制存取。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/ac-managed.html) | 這項新政策旨在取代舊政策。這兩個政策提供對 OpenSearch Service 組態 API (`es:Describe*`、`es:List*` 以及 `es:Get*`) 的唯讀存取,但是*不能*存取 OpenSearch API 的 HTTP 方法。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/ac-managed.html) | 這項新政策旨在取代舊政策。這兩個政策提供啟用 [Cognito 身分驗證](cognito-auth.md)所必需的最低 Amazon Cognito 許可。 | 2021 年 9 月 7 日 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/ac-managed.html) | 這項新政策旨在取代舊政策。兩個政策提供[服務連結角色](slr-aos.md#slr-permissions)所必需的最低 Amazon EC2 和 Elastic Load Balancing 許可,以啟用 [VPC 存取](cognito-auth.md)。 | 2021 年 9 月 7 日 |
| 開始追蹤變更 | Amazon OpenSearch Service 現在會追蹤 AWS受管政策的變更。 | 2021 年 9 月 7 日 |