As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
IAMIdentity Center Trusted Identity Propagation Support para Amazon Service OpenSearch
Agora você pode usar os diretores do AWS IAM Identity Center configurados centralmente (usuários e grupos) por meio do Trusted Identity Propagation para acessar OpenSearch domínios por meio de aplicativos de serviço. OpenSearch Para habilitar o suporte do IAM Identity Center para o Amazon OpenSearch Service, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity Center? . Consulte Como associar OpenSearch domínio como fonte de dados em OpenSearch aplicativos? para obter detalhes.
Você pode configurar o IAM Identity Center usando o console de OpenSearch serviço, o AWS Command Line Interface (AWS CLI) ou AWS SDKs o.
nota
IAMOs diretores do Identity Center não são suportados por meio de painéis (co-localizados com o cluster). Eles só são suportados por meio de uma interface de OpenSearch usuário centralizada (painéis).
Considerações
Antes de usar o IAM Identity Center com o Amazon OpenSearch Service, você deve considerar o seguinte:
-
IAMO Identity Center está ativado na conta.
-
A versão do OpenSearch domínio é 1.3 ou posterior.
-
O controle de acesso refinado está ativado no domínio.
-
O domínio deve estar na mesma região da instância do IAM Identity Center.
-
O domínio e OpenSearch o aplicativo devem pertencer à mesma AWS conta.
Modificar a política de acesso ao domínio
Antes de configurar o IAM Identity Center, você deve atualizar a política de acesso ao domínio ou as permissões da IAM função configurada nos OpenSearch aplicativos para o Trusted Identity Propagation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "IAM Role configured in OpenSearch application" }, "Action": "es:ESHttp*", "Resource": "domain-arn/*" }, { ... // Any other permissions } ] }
Configurando a autenticação e autorização do IAM Identity Center (console)
Você pode ativar a autenticação e autorização do IAM Identity Center durante o processo de criação do domínio ou atualizando um domínio existente. As etapas de configuração variam um pouco, dependendo de qual opção você escolher.
As etapas a seguir explicam como configurar um domínio existente para autenticação e autorização do IAM Identity Center no console do Amazon OpenSearch Service:
-
Em Configuração do domínio, navegue até Configuração de segurança, escolha Editar e navegue até a seção Autenticação do IAM Identity Center e selecione Habilitar API acesso autenticado com o IAM Identity Center.
-
Selecione a tecla SubjectKey and Roles da seguinte forma.
-
Chave de assunto - escolha uma das UserId (padrão) UserName e E-mail para usar o atributo correspondente como principal acessando o domínio.
-
Chave de funções - escolha uma das GroupId (padrão) e use GroupName os valores de atributos correspondentes como função de back-end fine-grained-access-controlpara todos os grupos associados ao principal do iDC.
-
Depois de fazer as alterações, salve o seu domínio.
Configurando o controle de acesso refinado
Depois de habilitar a opção IAM Identity Center em seu OpenSearch domínio, você pode configurar o acesso aos diretores do IAM Identity Center criando um mapeamento de funções para a função de back-end. O valor da função de back-end para o diretor é baseado na associação ao grupo do diretor do iDC e na RolesKey configuração de GroupId ou. GroupName
nota
O Amazon OpenSearch Service pode oferecer suporte a até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, ocorrerá uma inconsistência no processamento da fine-grained-access-control autorização e receberá uma mensagem de erro 403.
Configurando a autenticação e autorização do IAM Identity Center () CLI
aws opensearch update-domain-config \ --domain-name
my-domain
\ --identity-center-options '{"EnabledAPIAccess":true
, "IdentityCenterInstanceARN": "instance arn
", "SubjectKey": "UserId/UserName/UserEmail
" , "RolesKey": "GroupId/GroupName
"}'
Desabilitando a autenticação do IAM Identity Center no domínio
Para desativar o IAM Identity Center em seu OpenSearch domínio:
-
Escolha o domínio, Ações, e Editar configuração de segurança.
-
Desmarque a opção Ativar API acesso autenticado com o IAM Identity Center.
-
Escolha Salvar alterações.
-
Depois que o domínio terminar o processamento, remova os mapeamentos de função adicionados aos diretores do IdC
Para desativar o IAM Identity Center por meio deCLI, você pode usar o seguinte
aws opensearch update-domain-config \ --domain-name
my-domain
\ --identity-center-options '{"EnabledAPIAccess":false
}'