Suporte confiável de propagação de identidade do IAM Identity Center para OpenSearch - OpenSearch Serviço Amazon
ConsideraçõesModificar a política de acesso ao domínioConfigurando a autenticação e autorização do IAM Identity Center (console)Configurando um controle de acesso refinadoConfigurando a autenticação e autorização (CLI) do IAM Identity CenterDesabilitando a autenticação do IAM Identity Center no domínio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Suporte confiável de propagação de identidade do IAM Identity Center para OpenSearch

Agora você pode usar os diretores AWS do IAM Identity Center configurados centralmente (usuários e grupos) por meio do Trusted Identity Propagation para acessar os domínios do Amazon OpenSearch Service por meio de aplicativos de serviço. OpenSearch Para habilitar o suporte do IAM Identity Center OpenSearch, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity Center? . Consulte Como associar OpenSearch domínio como fonte de dados em OpenSearch aplicativos? para obter detalhes.

Você pode configurar o IAM Identity Center usando o console de OpenSearch serviço, o AWS Command Line Interface (AWS CLI) ou AWS SDKs o.

nota

Os diretores do IAM Identity Center não são suportados por meio de painéis (co-localizados com o cluster). Eles só são suportados por meio de uma interface de OpenSearch usuário centralizada (painéis).

Considerações

Antes de usar o IAM Identity Center com o Amazon OpenSearch Service, você deve considerar o seguinte:

  • O IAM Identity Center está ativado na conta.

  • O IAM Identity Center está disponível em sua região.

  • A versão do OpenSearch domínio é 1.3 ou posterior.

  • O controle de acesso refinado está ativado no domínio.

  • O domínio está na mesma região da instância do IAM Identity Center.

  • O domínio e o OpenSearch aplicativo pertencem à mesma AWS conta.

Modificar a política de acesso ao domínio

Antes de configurar o IAM Identity Center, você deve atualizar a política de acesso ao domínio ou as permissões da função do IAM configurada nos OpenSearch aplicativos para o Trusted Identity Propagation.

JSON

	 {
	     "Version": "2012-10-17",
	     "Statement": [
	         {
	             "Effect": "Allow",
	             "Principal": {
	                 "AWS": "IAM Role configured in OpenSearch application"
	             },
	             "Action": "es:ESHttp*",
	             "Resource": "domain-arn/*"
	         },
	         {
	         ... // Any other permissions
	         }
	     ]
	 }

Configurando a autenticação e autorização do IAM Identity Center (console)

Você pode ativar a autenticação e autorização do IAM Identity Center durante o processo de criação do domínio ou atualizando um domínio existente. As etapas de configuração variam um pouco, dependendo de qual opção você escolher.

As etapas a seguir explicam como configurar um domínio existente para autenticação e autorização do IAM Identity Center no console do Amazon OpenSearch Service:

  1. Em Configuração do domínio, navegue até Configuração de segurança, escolha Editar e vá até a seção Autenticação do IAM Identity Center e selecione Habilitar acesso à API autenticado com o IAM Identity Center.

  2. Selecione a tecla SubjectKey and Roles da seguinte forma.

    • Chave de assunto - escolha uma das UserId (padrão) UserName e E-mail para usar o atributo correspondente como principal acessando o domínio.

    • Chave de funções - escolha uma das GroupId (padrão) e use GroupName os valores de atributos correspondentes como função de back-end fine-grained-access-controlpara todos os grupos associados ao principal do iDC.

Depois de fazer as alterações, salve o seu domínio.

Configurando um controle de acesso refinado

Depois de habilitar a opção IAM Identity Center em seu OpenSearch domínio, você pode configurar o acesso aos diretores do IAM Identity Center criando um mapeamento de funções para a função de back-end. O valor da função de back-end para o diretor é baseado na associação ao grupo do diretor do iDC e na RolesKey configuração de GroupId ou. GroupName

nota

O Amazon OpenSearch Service pode oferecer suporte a até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, ocorrerá uma inconsistência no processamento da fine-grained-access-control autorização e receberá uma mensagem de erro 403.

Configurando a autenticação e autorização (CLI) do IAM Identity Center


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Desabilitando a autenticação do IAM Identity Center no domínio

Para desativar o IAM Identity Center em seu OpenSearch domínio:

  1. Escolha o domínio, Ações, e Editar configuração de segurança.

  2. Desmarque a opção Ativar acesso à API autenticado com o IAM Identity Center.

  3. Escolha Salvar alterações.

  4. Depois que o domínio terminar o processamento, remova os mapeamentos de função adicionados aos diretores do IdC

Para desativar o IAM Identity Center por meio da CLI, você pode usar o seguinte


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'