Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Support d'IAM Identity Center pour Amazon Serverless OpenSearch

PDF
RSS
Mode de mise au point
Support d'IAM Identity Center pour Amazon Serverless OpenSearch - Amazon OpenSearch Service
Support d'IAM Identity Center pour Amazon Serverless OpenSearch Création d'un fournisseur de centre d'identité IAM (console)Création d'un fournisseur de centre d'identité IAM ()AWS CLISupprimer un fournisseur de centre d'identité IAM Accorder à IAM Identity Center l'accès aux données de collecte

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support d'IAM Identity Center pour Amazon Serverless OpenSearch

Vous pouvez utiliser les principes du centre d'identité IAM (utilisateurs et groupes) pour accéder aux données Amazon OpenSearch Serverless via Amazon Applications. OpenSearch Afin d'activer la prise en charge d'IAM Identity Center pour Amazon OpenSearch Serverless, vous devez activer l'utilisation d'IAM Identity Center. Pour en savoir plus sur la procédure à suivre, consultez Qu'est-ce qu'IAM Identity Center ?

Une fois l'instance IAM Identity Center créée, l'administrateur du compte client doit créer une application IAM Identity Center pour le service Amazon OpenSearch Serverless. Cela peut être fait en appelant le CreateSecurityConfig:. L'administrateur du compte client peut spécifier les attributs qui seront utilisés pour autoriser la demande. Les attributs par défaut utilisés sont UserId et GroupId.

L'intégration du centre d'identité IAM pour Amazon OpenSearch Serverless utilise les autorisations AWS IAM Identity Center (IAM) suivantes :

  • aoss:CreateSecurityConfig— Créez un fournisseur de centre d'identité IAM

  • aoss:ListSecurityConfig— Répertoriez tous les fournisseurs IAM Identity Center du compte courant.

  • aoss:GetSecurityConfig— Afficher les informations du fournisseur IAM Identity Center.

  • aoss:UpdateSecurityConfig— Modifie une configuration IAM Identity Center donnée

  • aoss:DeleteSecurityConfig— Supprimez un fournisseur de centre d'identité IAM.

La politique d'accès basée sur l'identité suivante peut être utilisée pour gérer toutes les configurations d'IAM Identity Center :

{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Note

L'Resourceélément doit être un caractère générique.

Création d'un fournisseur de centre d'identité IAM (console)

Vous pouvez créer un fournisseur de centre d'identité IAM pour activer l'authentification avec l' OpenSearchapplication. Pour activer l'authentification IAM Identity Center pour les OpenSearch tableaux de bord, effectuez les opérations suivantes :

  1. Connectez-vous à la console Amazon OpenSearch Service.

  2. Dans le panneau de navigation de gauche, développez Serverless et choisissez Authentication.

  3. Choisissez l'authentification IAM Identity Center.

  4. Sélectionnez Modifier

  5. Cochez la case à côté de Authentifier auprès d'IAM Identity Center.

  6. Sélectionnez la clé d'attribut de l'utilisateur et du groupe dans le menu déroulant. Les attributs utilisateur seront utilisés pour autoriser les utilisateurs en fonction de UserNameUserId, etEmail. Les attributs de groupe seront utilisés pour authentifier les utilisateurs en fonction de GroupName etGroupId.

  7. Sélectionnez l'instance IAM Identity Center.

  8. Sélectionnez Enregistrer

Création d'un fournisseur de centre d'identité IAM ()AWS CLI

Pour créer un fournisseur de centre d'identité IAM à l'aide de AWS Command Line Interface (AWS CLI), utilisez la commande suivante :

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

Une fois qu'un centre d'identité IAM est activé, les clients peuvent uniquement modifier les attributs des utilisateurs et des groupes.

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

Pour afficher le fournisseur du centre d'identité IAM à l'aide de AWS Command Line Interface, utilisez la commande suivante :

aws opensearchserverless list-security-configs --type iamidentitycenter

Supprimer un fournisseur de centre d'identité IAM

IAM Identity Center propose deux instances de fournisseurs, l'une pour le compte de votre organisation et l'autre pour votre compte de membre. Si vous devez modifier votre instance IAM Identity Center, vous devez supprimer votre configuration de sécurité via l'DeleteSecurityConfigAPI et créer une nouvelle configuration de sécurité à l'aide de la nouvelle instance IAM Identity Center. La commande suivante peut être utilisée pour supprimer un fournisseur IAM Identity Center :

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Accorder à IAM Identity Center l'accès aux données de collecte

Une fois que votre fournisseur de centre d'identité IAM est activé, vous pouvez mettre à jour la politique d'accès aux données de collecte afin d'inclure les principes du centre d'identité IAM. Les principes du IAM Identity Center doivent être mis à jour dans le format suivant : 

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
Note

Amazon OpenSearch Serverless ne prend en charge qu'une seule instance IAM Identity Center pour toutes les collections de clients et peut prendre en charge jusqu'à 100 groupes pour un seul utilisateur. Si vous essayez d'utiliser un nombre d'instances supérieur au nombre autorisé, vous rencontrerez une incohérence dans le traitement des autorisations de votre politique d'accès aux données et vous recevrez un message 403 d'erreur.

Vous pouvez octroyer l'accès aux collections, aux index ou aux deux. Si vous souhaitez que différents utilisateurs disposent d'autorisations différentes, vous devez créer plusieurs règles. Pour obtenir la liste des autorisations disponibles, consultez Identity and Access Management in Amazon OpenSearch Service. Pour plus d'informations sur le formatage d'une politique d'accès, consultez la section Accorder aux identités SAML l'accès aux données de collecte.

IAM Identity Center propose deux instances de fournisseurs, l'une pour le compte de votre organisation et l'autre pour votre compte de membre. Si vous devez modifier votre instance IAM Identity Center, vous devez supprimer votre configuration de sécurité via l'DeleteSecurityConfigAPI et créer une nouvelle configuration de sécurité à l'aide de la nouvelle instance IAM Identity Center. La commande suivante peut être utilisée pour supprimer un fournisseur IAM Identity Center :

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Sur cette page

Related resources

Amazon OpenSearch Service Référence d'API
AWS CLI commandes pour Amazon OpenSearch Service
SDKs et outils 

Related resources

Amazon OpenSearch Service Référence d'API
AWS CLI commandes pour Amazon OpenSearch Service
SDKs et outils 

Rubrique suivante :

Chiffrement

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.