Amazon OpenSearch Service 中的 Identity and Access Management - Amazon OpenSearch Service

Amazon OpenSearch Service 中的 Identity and Access Management

Amazon OpenSearch Service 提供數種控制網域存取的方法。本主題涵蓋各種政策類型、它們如何彼此互動,以及如何建立自己的自訂政策。

重要

VPC 支援引入了對 OpenSearch Service 存取控制的一些其他考量。如需詳細資訊,請參閱 關於 VPC 網域上的存取政策

政策的類型

OpenSearch Service 支援三種類型的存取政策:

資源型政策

建立網域時,您可以新增以資源為基礎的政策 (通常稱為網域存取政策)。這些政策指定主體可以對域的子資源執行哪些操作 (跨叢集搜尋除外)。子資源包括 OpenSearch 索引和 API。Principal 元素指定允許存取的帳戶、使用者或角色。Resource 元素指定這些委託人可以存取哪些子資源。

以下以資源為基礎的政策向 test-user 授予 test-domain 上的子資源的完整存取權 (es:*):

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:*" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }

此政策適用兩個重要考量:

  • 這些權限只適用於此網域。除非您在其他網域上建立類似的政策,否則 test-user 只能存取 test-domain

  • Resource 元素中的結尾 /* 很重要,並指出以資源為基礎的政策僅適用於網域的子資源,不適用於網域本身。在以資源為基礎的政策中,es:* 動作相當於 es:ESHttp*

    例如,test-user 可以提出索引請求 (GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index),但不能更新網域的組態 (POST https://es.us-west-1.amazonaws.com/2021-01-01/opensearch/domain/test-domain/config)。請注意兩個端點之間的差異。存取組態 API 需要身分為基礎的政策

您可以新增萬用字元來指定部分索引名稱。此萬用字元可識別任何以 commerce 開頭的索引︰

arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce*

在此情況下,指定使用此萬用字元符意味着 test-user 可以向名稱以 commerce 開頭的 test-domain 網域的索引發出請求。

若要進一步限制 test-user,您可以套用以下政策:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/_search" } ] }

現在 test-user 可以執行一項操作:根據 commerce-data 搜尋。其他所有網域內的索引均無法存取,而且無使用 es:ESHttpPutes:ESHttpPost 動作的許可,因此 test-user 無法新增或修改文件。

接著,您可能會決定設定進階使用者角色。這個政策可授予 power-user-role 權限,以利其操作索引中全部 URI 適用的 HTTP GET 和 PUT 方法:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/power-user-role" ] }, "Action": [ "es:ESHttpGet", "es:ESHttpPut" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/*" } ] }

如果您的網域位於 VPC 或使用精細存取控制,您可以使用開放網域存取政策。否則,您的網域存取政策必須包含一些限制 (依委託人或 IP 地址)。

如需有關所有可行動作的詳細資訊,請參閱政策元素參考。若要更精細地控制您的資料,請搭配使用開放網域存取政策與精細存取控制

身分型政策

不同於屬於每個 OpenSearch Service 網域的以資源為基礎的政策,您可以使用 AWS Identity and Access Management (IAM) 服務,將以身分為基礎的政策連接到使用者或角色。就像以資源為基礎的政策一樣,以身分為基礎的政策會指定誰可以存取服務、可以執行哪些動作,以及可以在哪些資源執行那些動作 (如果適用)。

雖然他們不需要這麼做,但以身分為基礎的政策往往更加通用。它們通常只管理使用者可執行的組態 API 動作。準備好這些政策之後,您可以在 OpenSearch Service 中使用以資源為基礎的政策 (或精細存取控制),向使用者提供對 OpenSearch 索引和 API 的存取權。

注意

具有 AWS 受管 AmazonOpenSearchServiceReadOnlyAccess 政策的使用者無法在主控台上查看叢集運作狀態。若要允許其查看叢集運作狀態 (以及其他 OpenSearch 資料),請新增 es:ESHttpGet 動作至存取政策並連接至其帳戶或角色。

由於以身分為基礎的政策附加到使用者或角色 (委託人),JSON 不指定委託人。下列政策授與動作存取權,該動作的開頭是 DescribeList。這組動作提供的唯讀存取權限用於網域組態,而非儲存在網域本身的資料:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:Describe*", "es:List*" ], "Effect": "Allow", "Resource": "*" } ] }

管理員可能擁有 OpenSearch Service 及所有網域中所存放之全部資料的完整存取權:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:*" ], "Effect": "Allow", "Resource": "*" } ] }

身分型政策讓您能使用標籤來控制對組態 API (而非 OpenSearch API) 的存取。例如,如果網域具有 team:devops 標籤,下列政策可讓所連接的委託人檢視並更新網域的組態:

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "es:UpdateDomainConfig", "es:DescribeDomain", "es:DescribeDomainConfig" ], "Effect": "Allow", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/team": [ "devops" ] } } }] }

同樣,OpenSearch Service 支援組態 API (而非 OpenSearch API) 的 RequestTagTagKeys 全域條件金鑰。這些條件僅適用於在請求中包含標籤的 API 呼叫,例如 CreateDomainAddTags 以及 RemoveTags。下列政策可讓所連接的委託人建立網域,但前提是他們在請求中包含 team:it 標籤:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "es:CreateDomain", "es:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/team": [ "it" ] } } } }

如需有關使用標籤進行存取控制,以及以資源為基礎的政策和以身分為基礎的政策之間差異的詳細資訊,請參閱 IAM 使用者指南

以 IP 為基礎的政策

以 IP 為基礎的政策,限制存取到一或多個 IP 地址或 CIDR 區塊的網域。從技術層面來看,以 IP 為基礎的政策不是明確的政策類型。反而,其乃以資源為基礎的政策,負責指定匿名委託人並包含特殊的 Condition 元素。

以 IP 為基礎的政策的主要優點是它們允許 OpenSearch Service 網域的未簽署請求,這可讓您使用 curlOpenSearch Dashboards 這類用戶端,或透過代理伺服器存取網域。如需進一步了解,請參閱 使用代理伺服器從 Dashboards 中存取 OpenSearch Service

注意

如果為網域啟用 VPC 存取,您無法設定以 IP 為基礎的政策。您反而可以使用安全群組來控制哪些 IP 地址可以存取網域。如需詳細資訊,請參閱 關於 VPC 網域上的存取政策

以下政策會將對 test-domain 的存取權限授予所有來自指定 IP 範圍的 HTTP 請求:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "es:ESHttp*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }

如果您的網域具備公有端點且不使用精細存取控制,我們建議將 IAM 委託人與 IP 地址合併。這項政策只有在請求是來自指定 IP 範圍時,才會授予 test-user HTTP 存取:

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }] }

提出並簽署 OpenSearch Service 請求

即使設定完全開放以資源為基礎的存取政策,也必須簽署對 OpenSearch Service 組態 API 的所有請求。如果您的政策指定了 IAM 使用者或角色,也必須使用 AWS Signature 第 4 版對 OpenSearch API 的請求進行簽署。簽署方法因 API 而異:

  • 若要呼叫 OpenSearch Service 組態 API,建議您使用其中一個 AWS 開發套件。開發套件已大幅簡化程序,相較於建立和簽署您自己的請求,可為您節省大量時間。組態 API 端點使用下列格式:

    es.region.amazonaws.com/2021-01-01/

    例如,下列請求提出對 movies​ 網域進行組態變更,但是您必須自行登入 (不建議):

    POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/movies/config { "ClusterConfig": { "InstanceType": "c5.xlarge.search" } }

    若您使用其中一個開發套件,例如 Boto 3,開發套件會自動處理下列簽署:

    import boto3 client = boto3.client(es) response = client.update_domain_config( DomainName='movies', ClusterConfig={ 'InstanceType': 'c5.xlarge.search' } )

    如需 Java 程式碼範例,請參閱使用 AWS 開發套件以便與 Amazon OpenSearch Service 互動

  • 若要呼叫 OpenSearch API,您必須簽署您自己的請求。如需各種語言的範本程式碼,請參閱 將 HTTP 請求簽署到 Amazon OpenSearch Service。OpenSearch API 採用下列格式:

    domain-id.region.es.amazonaws.com

    例如,以下請求將搜尋 thormovies 索引:

    GET https://my-domain.us-east-1.es.amazonaws.com/movies/_search?q=thor
注意

對於使用 Signature Version 4 簽署的 HTTP POST 請求,此服務會忽略 URL 中傳入的參數。

當政策衝突時

當與政策相違或未明確提及使用者時,事情就變得複雜了。IAM 使用者指南中的了解 IAM 如何運作提供了政策評估邏輯的簡要總結:

  • 根據預設,所有的請求一律拒絕。

  • 明確允許覆寫這個預設值。

  • 明確拒絕覆寫任何允許.

例如,假設以資源為基礎的政策允許您存取網域子資源 (OpenSearch 索引或 API),但以身分為基礎的政策拒絕您存取,您便無法存取。如果以身分為基礎的政策授與存取權,但以資源為基礎的政策未指定您是否有存取權,此時您便可以存取。請參閱下表的相交政策,以了解網域子資源的完整結果摘要。

以資源為基礎的政策允許 以資源為基礎的政策拒絕 以資源為基礎的政策不允許也不拒絕
Allowed in identity-based policy

Allow

Deny Allow
Denied in identity-based policy Deny Deny Deny
Neither allowed nor denied in identity-based policy Allow Deny Deny

政策元素參考

OpenSearch Service 支援 IAM 政策元素參考中的大多數政策元素,唯獨 NotPrincipal 除外。下表顯示最常見的元素。

JSON 政策元素 總結
Version

目前版本的政策語言是 2012-10-17。所有存取政策應該指定這個值。

Effect

此元素指定公告內容是否允許或拒絕對指定動作的存取。有效值為 AllowDeny

Principal

此元素指定 AWS 帳戶 或 IAM 使用者或角色,允許或拒絕其存取資源,而且可能有數種形式:

  • AWS 帳戶"Principal":{"AWS": ["123456789012"]}"Principal":{"AWS": ["arn:aws:iam::123456789012:root"]}

  • IAM 使用者"Principal":{"AWS": ["arn:aws:iam::123456789012:user/test-user"]}

  • IAM 角色"Principal":{"AWS": ["arn:aws:iam::123456789012:role/test-role"]}

指定 * 萬用字元可匿名存取網域,但我們不建議這麼做,除非新增 IP 型條件、使用 VPC 支援,或啟用精細存取控制

Action

OpenSearch Service 對 HTTP 方法使用下列動作:

  • es:ESHttpDelete

  • es:ESHttpGet

  • es:ESHttpHead

  • es:ESHttpPost

  • es:ESHttpPut

  • es:ESHttpPatch

OpenSearch Service 對組態 API 使用下列動作。請注意,某些動作已被取代,並用與引擎無關的名稱替代。

  • es:AcceptInboundConnection

  • es:AddTags

  • es:AssociatePackage

  • es:CancelServiceSoftwareUpdate

  • es:CreateOutboundConnection

  • es:CreateDomain

  • es:CreatePackage

  • es:CreateServiceRole

  • es:DeleteDomain

  • es:DeleteInboundConnection

  • es:DeleteOutboundConnection

  • es:DeletePackage

  • es:DescribeDomain

  • es:DescribeDomains

  • es:DescribeDomainAutoTunes

  • es:DescribeDomainConfig

  • es:DescribeInboundConnections

  • es:DescribeInstanceTypeLimits

  • es:DescribeOutboundConnections

  • es:DescribePackages

  • es:DescribeReservedInstanceOfferings

  • es:DescribeReservedInstances

  • es:DissociatePackage

  • es:ESCrossClusterGet

  • es:GetCompatibleVersions

  • es:GetPackageVersionHistory

  • es:GetUpgradeHistory

  • es:GetUpgradeStatus

  • es:ListDomainNames

  • es:ListDomainsForPackage

  • es:ListInstanceTypeDetails

  • es:ListInstanceTypes

  • es:ListNotifications

  • es:ListPackagesForDomain

  • es:ListVersions

  • es:ListTags

  • es:PurchaseReservedInstanceOffering

  • es:RemoveTags

  • es:RejectInboundConnection

  • es:StartServiceSoftwareUpdate

  • es:UpdateDomainConfig

  • es:UpdateNotificationStatus

  • es:UpdatePackage

  • es:UpgradeDomain

提示

您可以使用萬用字元來指定動作,例如 "Action":"es:*""Action":"es:Describe*"

某些特定 es: 動作支援資源層級的許可。例如,您可以許可使用者刪除一個特定網域,而不是許可使用者刪除任何網域。其他動作只適用於服務本身。例如,es:ListDomainNames 在單一網域的內容細節中不具任何意義,因此需要萬用字元。

重要

以資源為基礎的政策不同於資源層級的許可。以資源為基礎的政策是附加到網域的完整 JSON 政策。資源層級許可則可讓您將動作限制到特定網域或子資源。在實務層面,您可以將資源層級許可當成選用之資源或身分為基礎的政策的一部分。

以下以身分為基礎的政策列出所有es:動作,並根據是否適用於網域子資源 (test-domain/*) 分組到網域組態 (test-domain) 或僅分組到服務 (*):

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "es:ESHttpDelete", "es:ESHttpGet", "es:ESHttpHead", "es:ESHttpPost", "es:ESHttpPut", "es:ESHttpPatch" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Allow", "Action": [ "es:AddTags", "es:AssociatePackage", "es:CreateDomain", "es:CreateOutboundConnection", "es:DeleteDomain", "es:DescribeDomain", "es:DescribeDomainAutoTunes", "es:DescribeDomainConfig", "es:DescribeDomains", "es:DissociatePackage", "es:ESCrossClusterGet", "es:GetCompatibleVersions", "es:GetUpgradeHistory", "es:GetUpgradeStatus", "es:ListPackagesForDomain", "es:ListTags", "es:RemoveTags", "es:StartServiceSoftwareUpdate", "es:UpdateDomainConfig", "es:UpdateNotificationStatus", "es:UpgradeDomain" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain" }, { "Effect": "Allow", "Action": [ "es:AcceptInboundConnection", "es:CancelServiceSoftwareUpdate", "es:CreatePackage", "es:CreateServiceRole", "es:DeletePackage", "es:DescribeInboundConnections", "es:DescribeInstanceTypeLimits", "es:DescribeOutboundConnections", "es:DescribePackages", "es:DescribeReservedInstanceOfferings", "es:DescribeReservedInstances", "es:GetPackageVersionHistory", "es:ListDomainNames", "es:ListDomainsForPackage", "es:ListInstanceTypeDetails", "es:ListInstanceTypes", "es:ListNotifications", "es:ListVersions", "es:PurchaseReservedInstanceOffering", "es:RejectInboundConnection", "es:UpdatePackage" ], "Resource": "*" } ] }
注意

由於 es:CreateDomain 的資源層級許可不是直覺式的 - 畢竟為何要許可使用者建立一個已經存在的網域?- 使用萬用字元可為您的網域強制執行簡單的命名機制,例如 "Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*"

當然,您有權利納入一些動作來搭配較無限制性的資源元素,如下所示:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "es:ESHttpGet", "es:DescribeDomain" ], "Resource": "*" } ] }

若要進一步了解有關配對動作和資源的詳細資訊,請參閱此表格中的 Resource 元素。

Condition

OpenSearch Service 支援 IAM 使用者指南AWS 全域條件內容金鑰中所述的大部分條件。值得注意的例外包括 aws:SecureTransportaws:PrincipalTag 金鑰,OpenSearch Service 不支援這些金鑰。

當設定以 IP 為基礎的政策時,您可指定 IP 地址或 CIDR 區塊當做條件,如下所示:

"Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/32" ] } }

正如 身分型政策 中所述,aws:ResourceTagaws:RequestTag 以及 aws:TagKeys 條件金鑰僅適用於組態 API,而不適用於 OpenSearch API。

Resource

OpenSearch Service 以三種基本方式使用 Resource 元素:

  • 對於適用於 OpenSearch Service 本身的動作,例如 es:ListDomainNames 或是允許完整存取,請使用下列語法:

    "Resource": "*"
  • 對於涉及網域組態的動作像是 es:DescribeDomain,您可以使用以下語法:

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name"
  • 對於適用於網域子資源的動作像是 es:ESHttpGet,您可以使用以下語法:

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/*"

    您不一定要使用萬用字元。OpenSearch Service 可讓您針對每一個 OpenSearch 索引或 API 定義不同的存取政策。例如,您可以限制使用者的 test-index 索引許可:

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index"

    而不是完整存取 test-index,因為您可能會希望限制政策為只有搜尋 API:

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index/_search"

    您甚至可以控制存取個別文件:

    "Resource": "arn:aws:es:region:aws-account-id:domain/domain-name/test-index/test-type/1"

    基本上,如果 OpenSearch 將子資源表示為 URI,您便可以使用存取政策控制對其的存取。如需更進一步控制使用者能夠存取的資源,請參閱 Amazon OpenSearch Service 中的精細存取控制

如需有關哪些動作支援資源層級許可的詳細資訊,請參閱此表格中的 Action 元素。

進階選項和 API 考量

OpenSearch Service 有數種進階選項,其中一個可存取控制含意:rest.action.multi.allow_explicit_index。它的預設設定為 true,可讓使用者在特定情況下繞過子資源許可。

例如,請考量以下以資源為基礎的政策:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Resource": [ "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*", "arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk" ] }, { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }

此政策向 test-user 授予對 test-index 和 OpenSearch 大量 API 的完整存取。它也允許 GET 請求 restricted-index

以下索引請求因為許可錯誤而失敗:

PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1 { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }

與索引 API 不同的是,大量 API 可讓您在單一呼叫中建立、更新和刪除許多文件。您通常會在請求本文中指定這些操作,而不是在請求 URL。由於 OpenSearch Service 使用 URL 來控制對網域子資源的存取,因此事實上 test-user 可以使用大量 API 來變更 restricted-index。即使使用者缺少索引的 POST 許可,以下請求仍會成功

POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk { "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } } { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }

在這種情況下,存取政策無法滿足其目的。為了防止使用者繞過這些類型的限制,您可以變更 rest.action.multi.allow_explicit_index 為 false。如果此值為 false,所有對大量、 mget、msearch API (其在請求本文中指定索引名稱) 的呼叫,便會停止運作。換言之,呼叫 _bulk 不再運作,但呼叫 test-index/_bulk 則正常運作。第二個端點包含索引名稱,因此您不需要在請求本文中指定一個。

OpenSearch Dashboards 嚴重依賴 mget 和 msearch,因此在此變更後不可能正常運作。若要進行部分補救,您可以保留 rest.action.multi.allow_explicit_index 為 true,並且拒絕特定使用者存取一或多個 API。

如需變更此設定的詳細資訊,請參閱進階叢集設定

同樣地,以下以資源為基礎的政策包含兩個細微問題:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }
  • 儘管明確拒絕,test-user 仍然可以呼叫如 GET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_searchGET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search 以存取 restricted-index 中的文件。

  • 由於 Resource 元素參考 restricted-index/*test-user 未獲許可來直接存取索引的文件。不過,使用者有權刪除整個索引。為防止存取和刪除,政策必須指定 restricted-index*

不是廣泛允許和專注於拒絕,最安全的方法是遵循最小特權原則,只授與任務所需的許可。如需控制對個別索引或 OpenSearch 操作的存取詳細資訊,請參閱 Amazon OpenSearch Service 中的精細存取控制

設定存取政策

  • 如需有關在 OpenSearch Service 中建立或修改以資源為基礎和以 IP 為基礎的政策之說明,請參閱設定存取政策

  • 如需有關在 IAM 中建立或修改以身分為基礎的政策之說明,請參閱 IAM 使用者指南中的建立 IAM 政策

其他範例政策

雖然本章包含許多範例政策,但是 AWS 存取控制是一個複雜的主題,透過範例說明是最佳了解途徑。如需詳細資訊,請參閱 IAM 使用者指南中的 IAM 以身分為基礎的政策範例