Überlegungen Ändern der Domainzugriffsrichtlinie Konfiguration der IAM Identity Center-Authentifizierung und -Autorisierung (Konsole)Konfiguration einer detaillierten Zugriffskontrolle Konfiguration der IAM Identity Center-Authentifizierung und -Autorisierung (CLI)Deaktivierung der IAM Identity Center-Authentifizierung auf der Domain

Support für vertrauenswürdige Identitätsverbreitung durch IAM Identity Center für OpenSearch

Sie können jetzt Ihre zentral konfigurierten AWS IAM Identity Center-Prinzipale (Benutzer und Gruppen) über Trusted Identity Propagation verwenden, um über OpenSearch OpenSearch Serviceanwendungen auf Amazon Service-Domains zuzugreifen. Um die IAM Identity Center-Unterstützung für zu aktivieren OpenSearch, müssen Sie die Nutzung von IAM Identity Center aktivieren. Weitere Informationen dazu finden Sie unter Was ist IAM Identity Center? . Weitere Informationen finden Sie unter Wie ordnet man eine OpenSearch Domain als Datenquelle in OpenSearch Anwendungen zu? für Einzelheiten.

Sie können IAM Identity Center mithilfe der OpenSearch Servicekonsole, der AWS Command Line Interface (AWS CLI) oder der AWS SDKs konfigurieren.

Anmerkung

IAM Identity Center-Prinzipale werden nicht über Dashboards (zusammen mit dem Cluster) unterstützt. Sie werden nur über eine zentrale OpenSearch Benutzeroberfläche (Dashboards) unterstützt.

Überlegungen

Bevor Sie IAM Identity Center mit Amazon OpenSearch Service verwenden, müssen Sie Folgendes berücksichtigen:

IAM Identity Center ist im Konto aktiviert.
IAM Identity Center ist in Ihrer Region verfügbar.
Die OpenSearch Domain-Version ist 1.3 oder höher.
Fine Grained Access Control ist auf der Domain aktiviert.
Die Domäne befindet sich in derselben Region wie die IAM Identity Center-Instanz.
Domäne und OpenSearch Anwendung gehören zu demselben AWS Konto.

Ändern der Domainzugriffsrichtlinie

Bevor Sie IAM Identity Center konfigurieren, müssen Sie die Domänenzugriffsrichtlinie oder die Berechtigungen der IAM-Rolle aktualisieren, die in OpenSearch Anwendungen für Trusted Identity Propagation konfiguriert sind.

Konfiguration der IAM Identity Center-Authentifizierung und -Autorisierung (Konsole)

Sie können die IAM Identity Center-Authentifizierung und -Autorisierung während der Domainerstellung oder durch Aktualisierung einer vorhandenen Domain aktivieren. Die Einrichtungsschritte variieren geringfügig, je nachdem, welche Option Sie wählen.

In den folgenden Schritten wird erklärt, wie Sie eine bestehende Domain für die IAM Identity Center-Authentifizierung und -Autorisierung in der Amazon OpenSearch Service Console konfigurieren:

Navigieren Sie unter Domain-Konfiguration zu Sicherheitskonfiguration, wählen Sie Bearbeiten und navigieren Sie zum Abschnitt IAM Identity Center-Authentifizierung und wählen Sie API-Zugriff aktivieren, der mit IAM Identity Center authentifiziert ist aus.
Wählen Sie den Schlüssel SubjectKey und Rollen wie folgt aus.
- Betreff-Schlüssel — wählen Sie einen von UserId (Standard) UserName und E-Mail, um das entsprechende Attribut als Hauptbenutzer für den Zugriff auf die Domain zu verwenden.
- Rollenschlüssel — wählen Sie einen von GroupId (Standard) und verwenden Sie GroupName die entsprechenden Attributwerte als Backend-Rolle fine-grained-access-controlfür alle Gruppen, die dem IdC-Prinzipal zugeordnet sind.

Nachdem Sie Ihre Änderungen vorgenommen haben, speichern Sie Ihre Domain.

Konfiguration einer detaillierten Zugriffskontrolle

Sobald Sie die IAM Identity Center-Option für Ihre OpenSearch Domain aktiviert haben, können Sie den Zugriff auf IAM Identity Center-Prinzipale konfigurieren, indem Sie eine Rollenzuweisung zur Backend-Rolle erstellen. Der Wert der Back-End-Rolle für den Principal basiert auf der Gruppenmitgliedschaft des IdC-Prinzipals und der Konfiguration von oder. RolesKey GroupId GroupName

Anmerkung

Amazon OpenSearch Service kann bis zu 100 Gruppen für einen einzelnen Benutzer unterstützen. Wenn Sie versuchen, mehr als die zulässige Anzahl von Instances zu verwenden, kommt es zu Inkonsistenzen bei der fine-grained-access-control Autorisierungsverarbeitung und Sie erhalten eine 403-Fehlermeldung.

Konfiguration der IAM Identity Center-Authentifizierung und -Autorisierung (CLI)



	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Deaktivierung der IAM Identity Center-Authentifizierung auf der Domain

So deaktivieren Sie IAM Identity Center auf Ihrer Domain: OpenSearch

Klicken Sie auf die Domain, wählen Sie Aktionen und Sicherheitskonfiguration bearbeiten.
Deaktivieren Sie die Option API-Zugriff aktivieren, der mit IAM Identity Center authentifiziert wurde.
Wählen Sie Änderungen speichern aus.
Nachdem die Verarbeitung der Domain abgeschlossen ist, entfernen Sie die Rollenzuordnungen, die für IdC-Prinzipale hinzugefügt wurden

Um IAM Identity Center über CLI zu deaktivieren, können Sie Folgendes verwenden



	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SAML-Authentifizierung für Dashboards OpenSearch

Amazon Cognito Cognito-Authentifizierung für Dashboards OpenSearch