Identity and Access Management untuk Amazon OpenSearch Ingestion - OpenSearch Layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and Access Management untuk Amazon OpenSearch Ingestion

AWS Identity and Access Management(IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya secara aman. Administrator IAM mengontrol siapa yang dapat terautentikasi (masuk) dan berwenang (memiliki izin) untuk menggunakan OpenSearch sumber daya Tertelan. IAM adalah layanan Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

Kebijakan berbasis identitas untuk Tertelan OpenSearch

Hanya mendukung kebijakan berbasis identitas

Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke identitas, seperti pengguna IAM, grup pengguna, atau peran. Kebijakan ini mengontrol tipe tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan dalam syarat. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. Anda tidak dapat menentukan pelaku utama dalam kebijakan berbasis identitas karena itu berlaku untuk pengguna atau peran yang dilampiri kebijakan. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.

Contoh kebijakan berbasis identitas untuk Tertelan OpenSearch

Untuk melihat contoh kebijakan berbasis identitas OpenSearch tertelan, lihat. Contoh kebijakan berbasis identitas untuk Tertelan OpenSearch

Tindakan kebijakan untuk OpenSearch Tertelan

Mendukung tindakan kebijakan

Ya

Elemen Action dari kebijakan JSON menjelaskan tindakan-tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama sebagai operasi API AWS terkait. Ada beberapa pengecualian, misalnya tindakan hanya dengan izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi yang terkait.

Tindakan kebijakan di OpenSearch Penyerapan menggunakan prefiks berikut sebelum tindakan:

osis

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma.

"Action": [ "osis:action1", "osis:action2" ]

Anda dapat menentukan beberapa tindakan menggunakan karakter wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata List, sertakan tindakan berikut:

"Action": "osis:List*"

Untuk melihat contoh kebijakan berbasis identitas OpenSearch tertelan, lihat. Contoh kebijakan berbasis identitas untuk Tanpa Server OpenSearch

Sumber daya kebijakan untuk OpenSearch Penyerapan

Mendukung sumber daya kebijakan

Ya

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.

Elemen kebijakan JSON Resource menentukan objek atau objek-objek yang menjadi target penerapan tindakan. Pernyataan harus mencakup elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung tipe sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin tingkat sumber daya, misalnya operasi pencantuman, gunakan karakter wildcart (*) untuk menunjukkan bahwa pernyataan tersebut berlaku bagi semua sumber daya.

"Resource": "*"

Kunci ketentuan kebijakan untuk Amazon OpenSearch Ingestion

Mendukung kunci kondisi kebijakan khusus layanan

Tidak

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan menurut persyaratan apa.

Elemen Condition (atau Condition blok) memungkinkan Anda menentukan syarat di mana suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator syarat, seperti sama dengan atau kurang dari, untuk mencocokkan syarat dalam kebijakan dengan nilai dalam permintaan.

Jika Anda menentukan beberapa elemen Condition dalam pernyataan, atau beberapa kunci dalam satu elemen Condition, AWS akan mengevaluasinya denga menggunakan operasi logika AND. Jika Anda menetapkan beberapa nilai untuk kunci syarat tunggal, AWS akan mengevaluasi syarat tersebut dengan menggunakan operasi logika OR. Semua persyaratan harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan syarat. Sebagai contoh, Anda dapat memberikan izin pengguna IAM untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna IAM mereka. Untuk informasi lebih lanjut, lihat Elemen kebijakan IAM: variabel dan tag dalam Panduan Pengguna IAM.

AWS mendukung kunci syarat global dan kunci syarat khusus layanan. Untuk melihat semua kunci syarat global AWS, lihat Kunci konteks syarat global AWS dalam Panduan Pengguna IAM.

Untuk melihat daftar kunci syarat OpenSearch konsumsi, lihat Kunci syarat untuk Amazon OpenSearch Ingestion dalam Referensi Otorisasi Layanan. Untuk mempelajari dengan tindakan dan sumber daya mana Anda dapat menggunakan kunci syarat, lihat Tindakan yang ditentukan oleh Amazon OpenSearch Ingestion.

ABAC dengan OpenSearch Tertelan

Mendukung ABAC (tanda dalam kebijakan)

Ya

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Di AWS, atribut ini disebut tanda. Anda dapat melampirkan tanda ke entitas IAM (pengguna atau peran) dan ke banyak sumber daya AWS. Penandaan entitas dan sumber daya adalah langkah pertama dari ABAC. Kemudian Anda merancang kebijakan ABAC untuk mengizinkan operasi ketika tanda pelaku utama cocok dengan tanda di sumber daya yang ingin diakses.

ABAC sangat membantu di lingkungan yang berkembang dengan cepat dan membantu dalam situasi ketika manajemen kebijakan menjadi rumit.

Untuk mengontrol akses berdasarkan tandanya, Anda memberikan informasi tanda di elemen syarat kebijakan dengan menggunakan kunci syarat aws:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys.

Jika layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, maka nilainya adalah Ya untuk layanan. Jika layanan mendukung ketiga kunci kondisi hanya untuk beberapa jenis sumber daya, maka nilainya adalah Partial.

Untuk informasi lebih lanjut tentang ABAC, lihat Apa itu ABAC? dalam Panduan Pengguna IAM. Untuk melihat tutorial dengan langkah-langkah untuk menyiapkan ABAC, lihat Menggunakan kontrol akses berbasis atribut (ABAC) dalam Panduan Pengguna IAM.

Untuk informasi lebih lanjut tentang penandaan sumber daya OpenSearch Inestion, lihat. Menandai jaringan pipa Amazon OpenSearch Ingestion

Menggunakan kredensi sementara dengan Tertelan OpenSearch

Mendukung penggunaan kredensial sementara

Ya

Beberapa Layanan AWS tidak berfungsi saat Anda masuk menggunakan kredensial sementara. Untuk informasi tambahan, termasuk yang Layanan AWS bekerja dengan kredensia sementara, lihat informasi Layanan AWSyang bekerja dengan IAM di Panduan Pengguna IAM.

Anda menggunakan kredensial sementara jika Anda masuk ke AWS Management Console menggunakan metode apa pun kecuali nama pengguna dan kata sandi. Misalnya, saat Anda mengakses AWS dengan menggunakan tautan masuk tunggal (SSO) perusahaan Anda, proses tersebut akan membuat kredensial sementara secara otomatis. Anda juga secara otomatis membuat kredensial sementara ketika Anda masuk ke konsol sebagai pengguna dan kemudian beralih peran. Untuk informasi selengkapnya tentang beralih peran, lihat Beralih ke peran (konsol) dalam Panduan Pengguna IAM.

Anda dapat secara manual membuat kredensial sementara menggunakan AWS CLI atau API AWS. Anda kemudian dapat menggunakan kredensial sementara tersebut untuk mengakses AWS. AWS menyarankan agar Anda membuat kredensial sementara secara dinamis alih-alih menggunakan access key jangka panjang. Untuk informasi lebih lanjut, lihat Kredensial keamanan sementara di IAM.

Peran tertaut layanan untuk Tertelan OpenSearch

Mendukung peran yang terhubung dengan layanan

Ya

Peran tertaut layanan adalah jenis peran layanan yang tertaut dengan layanan yang tertaut dengan. Layanan AWS Layanan dapat menggunakan peran untuk melakukan tindakan atas nama Anda. Peran tertaut layanan muncul di peran tertaut layanan muncul di Anda Akun AWS dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

OpenSearchTertelan menggunakan peran terkait layanan yang disebut. AWSServiceRoleForAmazonOpenSearchIngestion Untuk detail tentang membuat dan mengelola peran tertaut layanan OpenSearch tertaut-layanan, lihat. Menggunakan peran terkait layanan untuk membuat OpenSearch saluran pipa Ingestion

Contoh kebijakan berbasis identitas untuk Tertelan OpenSearch

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya OpenSearch Penyerapan. Mereka juga tidak dapat melakukan tugas dengan menggunakanAWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada para pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM. Administrator kemudian dapat menambahkan kebijakan IAM ke peran, dan pengguna dapat mengambil peran.

Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Amazon OpenSearch Ingestion, termasuk format ARN untuk setiap jenis sumber daya, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon OpenSearch Ingestion dalam Referensi Otorisasi Layanan.

Praktik terbaik kebijakan

Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Kebijakan ini menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya OpenSearch Tertelan di akun Anda. Tindakan ini membuat Akun AWS Anda terkena biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya OpenSearch Tertelan di akun Anda. Tindakan ini membuat Akun AWS Anda terkena biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

  • Memulai kebijakan AWS terkelola dan beralih ke izin paling sedikit hak istimewa — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di AndaAkun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang spesifik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan AWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan Pengguna IAM.

  • Menerapkan izin hak akses terkecil — Saat Anda menetapkan izin dengan kebijakan IAM, berikan izin yang diperlukan untuk melaksanakan tugas. Anda melakukan ini dengan menentukan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, juga dikenal sebagai izin paling tidak memiliki hak istimewa. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin di IAM dalam Panduan Pengguna IAM.

  • Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi pada kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis ketentuan kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan kondisi untuk memberikan akses ke tindakan layanan jika digunakan melalui spesifikLayanan AWS, sepertiAWS CloudFormation. Untuk informasi lebih lanjut, lihat Elemen Kebijakan IAM JSON: Syarat dalam Panduan Pengguna IAM.

  • Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional - IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat validasi kebijakan IAM Access Analyzer di Panduan Pengguna IAM.

  • Memerlukan otentikasi multi-faktor (MFA) — Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di AndaAkun AWS, aktifkan MFA untuk keamanan tambahan. Untuk mewajibkan MFA saat operasi API dipanggil, tambahkan kondisi MFA ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA di Panduan Pengguna IAM.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat praktik terbaik keamanan di IAM dalam Panduan Pengguna IAM.

Menggunakan OpenSearch Tertelan di konsol

Untuk mengakses OpenSearch Penyerapan dalam konsol OpenSearch Layanan, Anda harus memiliki rangkaian izin minimum. Izin ini harus memperbolehkan Anda untuk membuat daftar dan melihat detail tentang sumber daya OpenSearch Tertelan di akun Anda. AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat dari izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksudkan untuk entitas (seperti peran IAM) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau API AWS. Alih-alih, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang Anda coba lakukan.

Kebijakan berikut memungkinkan pengguna untuk mengakses OpenSearch Penyerapan dalam konsol OpenSearch Layanan:

{ "Version": "2012-10-17", "Statement": [ { "Resource": "*", "Effect": "Allow", "Action": [ "osis:ListPipelines", "osis:GetPipeline", "osis:ListPipelineBlueprints", "osis:GetPipelineBlueprint", "osis:GetPipelineChangeProgress" ] } ] }

Sebagai alternatif, Anda dapat menggunakan kebijakan AmazonOpenSearchIngestionReadOnlyAccess AWS terkelola, yang memberikan akses hanya-baca ke semua OpenSearch sumber daya Penyerapan untuk sebuah. Akun AWS

Mengelola saluran OpenSearch pipa konsumsi

Kebijakan ini adalah contoh kebijakan “admin pipeline” yang memungkinkan pengguna mengelola dan mengelola pipeline Amazon OpenSearch Ingestion. Pengguna dapat membuat, melihat, dan menghapus jaringan pipa.

{ "Version": "2012-10-17", "Statement": [ { "Resource": "arn:aws:osis:region:123456789012:pipeline/*", "Action": [ "osis:CreatePipeline", "osis:DeletePipeline", "osis:UpdatePipeline", "osis:ValidatePipeline", "osis:StartPipeline", "osis:StopPipeline" ], "Effect": "Allow" }, { "Resource": "*", "Action": [ "osis:ListPipelines", "osis:GetPipeline", "osis:ListPipelineBlueprints", "osis:GetPipelineBlueprint", "osis:GetPipelineChangeProgress" ], "Effect": "Allow" } ] }

Menelan data ke dalam pipeline Ingestion OpenSearch

Kebijakan contoh ini memungkinkan pengguna atau entitas lain untuk menyerap data ke dalam pipeline Amazon OpenSearch Ingestion di akun mereka. Pengguna tidak dapat memodifikasi saluran pipa.

{ "Version": "2012-10-17", "Statement": [ { "Resource": "arn:aws:osis:region:123456789012:pipeline/*", "Action": [ "osis:Ingest" ], "Effect": "Allow" } ] }