IAMSuporte do Identity Center para Amazon OpenSearch Serverless - OpenSearch Serviço Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IAMSuporte do Identity Center para Amazon OpenSearch Serverless

IAMSuporte do Identity Center para Amazon OpenSearch Serverless

Você pode usar os diretores do IAM Identity Center (usuários e grupos) para acessar dados do Amazon OpenSearch Serverless por meio dos Amazon Applications. OpenSearch Para habilitar o suporte do IAM Identity Center para o Amazon OpenSearch Serverless, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity Center?

Depois que a instância do IAM Identity Center é criada, o administrador da conta do cliente precisa criar um aplicativo do IAM Identity Center para o OpenSearch serviço Amazon Serverless. Isso pode ser feito chamando o CreateSecurityConfig:. O administrador da conta do cliente pode especificar quais atributos serão usados para autorizar a solicitação. Os atributos padrão usados são UserId e GroupId.

A integração do IAM Identity Center com o Amazon OpenSearch Serverless usa as seguintes permissões do AWS IAM Identity Center (IAM):

  • aoss:CreateSecurityConfig— Crie um provedor de IAM Identity Center

  • aoss:ListSecurityConfig— Liste todos os provedores do IAM Identity Center na conta atual.

  • aoss:GetSecurityConfig— Veja as informações do provedor do IAM Identity Center.

  • aoss:UpdateSecurityConfig— Modificar uma determinada configuração do IAM Identity Center

  • aoss:DeleteSecurityConfig— Exclua um provedor do IAM Identity Center.

A seguinte política de acesso baseada em identidade pode ser usada para gerenciar todas as configurações do IAM Identity Center:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aoss:CreateSecurityConfig", "aoss:DeleteSecurityConfig", "aoss:GetSecurityConfig", "aoss:UpdateSecurityConfig", "aoss:ListSecurityConfigs" ], "Effect": "Allow", "Resource": "*" } ] }
nota

O Resource elemento deve ser um curinga.

Criação de um provedor do IAM Identity Center (console)

Você pode criar um provedor do IAM Identity Center para habilitar a autenticação com o OpenSearch aplicativo. Para habilitar a autenticação do IAM Identity Center para OpenSearch painéis, execute as seguintes etapas:

  1. Faça login no console do Amazon OpenSearch Service.

  2. No painel de navegação esquerdo, expanda Sem servidor e escolha Autenticação.

  3. Escolha a autenticação do IAM Identity Center.

  4. Selecione Editar

  5. Marque a caixa ao lado de Autenticar com o IAM Identity Center.

  6. Selecione a chave de atributo do usuário e do grupo no menu suspenso. Os atributos do usuário serão usados para autorizar usuários com base em UserNameUserId, e. Email Os atributos do grupo serão usados para autenticar usuários com base em GroupName e. GroupId

  7. Selecione a instância do IAMIdentity Center.

  8. Selecione Salvar

Criando um provedor de IAM Identity Center (AWS CLI)

Para criar um provedor do IAM Identity Center usando o AWS Command Line Interface (AWS CLI), use o seguinte comando:

aws opensearchserverless create-security-config \ --region us-east-2 \ --name "iamidentitycenter-config" \ --description "description" \ --type "iamidentitycenter" \ --iam-identity-center-options '{ "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999", "userAttribute": "UserName", "groupAttribute": "GroupId" }'

Depois que uma Central de IAM Identidades é ativada, os clientes só podem modificar os atributos do usuário e do grupo.

aws opensearchserverless update-security-config \ --region us-east-1 \ --id <id_from_list_security_configs> \ --config-version <config_version_from_get_security_config> \ --iam-identity-center-options-updates '{ "userAttribute": "UserId", "groupAttribute": "GroupId" }'

Para visualizar o provedor do IAM Identity Center usando o AWS Command Line Interface, use o seguinte comando:

aws opensearchserverless list-security-configs --type iamidentitycenter

Excluindo um provedor do IAM Identity Center

IAMO Identity Center oferece duas instâncias de provedores, uma para a conta da sua organização e outra para a conta do membro. Se precisar alterar sua instância do IAM Identity Center, você precisará excluir sua configuração de segurança por meio do DeleteSecurityConfig API e criar uma nova configuração de segurança usando a nova instância do IAM Identity Center. O comando a seguir pode ser usado para excluir um provedor do IAM Identity Center:

aws opensearchserverless delete-security-config \ --region us-east-1 \ --id <id_from_list_security_configs>

Concedendo acesso ao IAM Identity Center aos dados da coleta

Depois que seu provedor do IAM Identity Center for ativado, você poderá atualizar a política de acesso aos dados de coleta para incluir os diretores do IAM Identity Center. IAM Os diretores do Identity Center precisam ser atualizados no seguinte formato:

[ { "Rules":[ ... ], "Principal":[ "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>", "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>" ] } ]
nota

O Amazon OpenSearch Serverless oferece suporte a apenas uma instância do IAM Identity Center para todas as coleções de clientes e pode suportar até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, você enfrentará uma inconsistência no processamento da autorização da sua política de acesso a dados e receberá uma mensagem de 403 erro.

É possível conceder acesso a coleções, índices ou ambos. Se você quiser que usuários diferentes tenham permissões diferentes, você precisará criar várias regras. Para obter uma lista das permissões disponíveis, consulte Identity and Access Management no Amazon OpenSearch Service. Para obter informações sobre como formatar uma política de acesso, consulte Conceder acesso às SAML identidades aos dados da coleção.

IAMO Identity Center oferece duas instâncias de provedores, uma para a conta da sua organização e outra para a conta do membro. Se precisar alterar sua instância do IAM Identity Center, você precisará excluir sua configuração de segurança por meio do DeleteSecurityConfig API e criar uma nova configuração de segurança usando a nova instância do IAM Identity Center. O comando a seguir pode ser usado para excluir um provedor do IAM Identity Center:

aws opensearchserverless delete-security-config \ --region us-east-1 \ --id <id_from_list_security_configs>