IAMIdentity Center Trusted Identity Propagation Support para Amazon Service OpenSearch - OpenSearch Serviço Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IAMIdentity Center Trusted Identity Propagation Support para Amazon Service OpenSearch

Agora você pode usar os diretores do AWS IAM Identity Center configurados centralmente (usuários e grupos) por meio do Trusted Identity Propagation para acessar OpenSearch domínios por meio de aplicativos de serviço. OpenSearch Para habilitar o suporte do IAM Identity Center para o Amazon OpenSearch Service, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity Center? . Consulte Como associar OpenSearch domínio como fonte de dados em OpenSearch aplicativos? para obter detalhes.

Você pode configurar o IAM Identity Center usando o console de OpenSearch serviço, o AWS Command Line Interface (AWS CLI) ou AWS SDKs o.

nota

IAMOs diretores do Identity Center não são suportados por meio de painéis (co-localizados com o cluster). Eles só são suportados por meio de uma interface de OpenSearch usuário centralizada (painéis).

Considerações

Antes de usar o IAM Identity Center com o Amazon OpenSearch Service, você deve considerar o seguinte:

  • IAMO Identity Center está ativado na conta.

  • A versão do OpenSearch domínio é 1.3 ou posterior.

  • O controle de acesso refinado está ativado no domínio.

  • O domínio deve estar na mesma região da instância do IAM Identity Center.

  • O domínio e OpenSearch o aplicativo devem pertencer à mesma AWS conta.

Modificar a política de acesso ao domínio

Antes de configurar o IAM Identity Center, você deve atualizar a política de acesso ao domínio ou as permissões da IAM função configurada nos OpenSearch aplicativos para o Trusted Identity Propagation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "IAM Role configured in OpenSearch application" }, "Action": "es:ESHttp*", "Resource": "domain-arn/*" }, { ... // Any other permissions } ] }

Configurando a autenticação e autorização do IAM Identity Center (console)

Você pode ativar a autenticação e autorização do IAM Identity Center durante o processo de criação do domínio ou atualizando um domínio existente. As etapas de configuração variam um pouco, dependendo de qual opção você escolher.

As etapas a seguir explicam como configurar um domínio existente para autenticação e autorização do IAM Identity Center no console do Amazon OpenSearch Service:

  1. Em Configuração do domínio, navegue até Configuração de segurança, escolha Editar e navegue até a seção Autenticação do IAM Identity Center e selecione Habilitar API acesso autenticado com o IAM Identity Center.

  2. Selecione a tecla SubjectKey and Roles da seguinte forma.

    • Chave de assunto - escolha uma das UserId (padrão) UserName e E-mail para usar o atributo correspondente como principal acessando o domínio.

    • Chave de funções - escolha uma das GroupId (padrão) e use GroupName os valores de atributos correspondentes como função de back-end fine-grained-access-controlpara todos os grupos associados ao principal do iDC.

Depois de fazer as alterações, salve o seu domínio.

Configurando o controle de acesso refinado

Depois de habilitar a opção IAM Identity Center em seu OpenSearch domínio, você pode configurar o acesso aos diretores do IAM Identity Center criando um mapeamento de funções para a função de back-end. O valor da função de back-end para o diretor é baseado na associação ao grupo do diretor do iDC e na RolesKey configuração de GroupId ou. GroupName

nota

O Amazon OpenSearch Service pode oferecer suporte a até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, ocorrerá uma inconsistência no processamento da fine-grained-access-control autorização e receberá uma mensagem de erro 403.

Configurando a autenticação e autorização do IAM Identity Center () CLI

aws opensearch update-domain-config \ --domain-name my-domain \ --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn", "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Desabilitando a autenticação do IAM Identity Center no domínio

Para desativar o IAM Identity Center em seu OpenSearch domínio:

  1. Escolha o domínio, Ações, e Editar configuração de segurança.

  2. Desmarque a opção Ativar API acesso autenticado com o IAM Identity Center.

  3. Escolha Salvar alterações.

  4. Depois que o domínio terminar o processamento, remova os mapeamentos de função adicionados aos diretores do IdC

Para desativar o IAM Identity Center por meio deCLI, você pode usar o seguinte

aws opensearch update-domain-config \ --domain-name my-domain \ --identity-center-options '{"EnabledAPIAccess": false}'