IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch - OpenSearch Amazon-Dienst
IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch Einen IAM Identity Center-Anbieter (Konsole) erstellenDer IAM Identity Center-Anbieter wird erstellt ()AWS CLILöschen eines IAM Identity Center-Anbieters Gewähren Sie dem IAM Identity Center Zugriff auf Sammlungsdaten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch

IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch

Sie können IAM Identity Center-Prinzipale (Benutzer und Gruppen) verwenden, um über Amazon Applications auf Amazon OpenSearch Serverless-Daten zuzugreifen. OpenSearch Um die IAM Identity Center-Unterstützung für Amazon OpenSearch Serverless zu aktivieren, müssen Sie die Verwendung von IAM Identity Center aktivieren. Weitere Informationen dazu finden Sie unter Was ist IAM Identity Center?

Nachdem die IAM Identity Center-Instance erstellt wurde, muss der Administrator des Kundenkontos eine IAM Identity Center-Anwendung für den Amazon OpenSearch Serverless-Service erstellen. Dies kann durch Aufrufen von: erfolgen. CreateSecurityConfig Der Administrator des Kundenkontos kann angeben, welche Attribute für die Autorisierung der Anfrage verwendet werden. Die verwendeten Standardattribute sind und UserId GroupId.

Die IAM Identity Center-Integration für Amazon OpenSearch Serverless verwendet die folgenden AWS IAM Identity Center (IAM) -Berechtigungen:

  • aoss:CreateSecurityConfig— Erstellen Sie einen IAM Identity Center-Anbieter

  • aoss:ListSecurityConfig— Listet alle IAM Identity Center-Anbieter im aktuellen Konto auf.

  • aoss:GetSecurityConfig— IAM Identity Center-Anbieterinformationen anzeigen.

  • aoss:UpdateSecurityConfig— Ändern Sie eine bestimmte IAM Identity Center-Konfiguration

  • aoss:DeleteSecurityConfig— Löscht einen IAM Identity Center-Anbieter.

Die folgende identitätsbasierte Zugriffsrichtlinie kann zur Verwaltung aller IAM Identity Center-Konfigurationen verwendet werden:

JSON
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Anmerkung

Das Resource Element muss ein Platzhalter sein.

Einen IAM Identity Center-Anbieter (Konsole) erstellen

Sie können einen IAM Identity Center-Anbieter erstellen, um die Authentifizierung mit OpenSearch der Anwendung zu ermöglichen. Gehen Sie wie folgt vor, um die IAM Identity Center-Authentifizierung für OpenSearch Dashboards zu aktivieren:

  1. Melden Sie sich bei der Amazon OpenSearch Service-Konsole an.

  2. Erweitern Sie im linken Navigationsbereich Serverless und wählen Sie Authentifizierung aus.

  3. Wählen Sie IAM Identity Center-Authentifizierung.

  4. Wählen Sie Bearbeiten

  5. Markieren Sie das Kästchen neben Mit IAM Identity Center authentifizieren.

  6. Wählen Sie den Benutzer- und Gruppenattributschlüssel aus dem Dropdownmenü aus. Benutzerattribute werden verwendet, um Benutzer auf der Grundlage von UserNameUserId, und zu autorisieren. Email Gruppenattribute werden verwendet, um Benutzer auf GroupName der Grundlage von und zu authentifizieren. GroupId

  7. Wählen Sie die IAM Identity Center-Instanz aus.

  8. Wählen Sie Speichern

Der IAM Identity Center-Anbieter wird erstellt ()AWS CLI

Verwenden Sie den folgenden Befehl, um einen IAM Identity Center-Anbieter mithilfe von AWS Command Line Interface (AWS CLI) zu erstellen:

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

Nachdem ein IAM Identity Center aktiviert wurde, können Kunden nur Benutzer- und Gruppenattribute ändern.

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

Verwenden Sie den folgenden Befehl, um den IAM Identity Center-Anbieter mithilfe von anzuzeigen: AWS Command Line Interface

aws opensearchserverless list-security-configs --type iamidentitycenter

Löschen eines IAM Identity Center-Anbieters

IAM Identity Center bietet zwei Instanzen von Anbietern, eine für Ihr Organisationskonto und eine für Ihr Mitgliedskonto. Wenn Sie Ihre IAM Identity Center-Instanz ändern müssen, müssen Sie Ihre Sicherheitskonfiguration über die DeleteSecurityConfig API löschen und mithilfe der neuen IAM Identity Center-Instanz eine neue Sicherheitskonfiguration erstellen. Der folgende Befehl kann verwendet werden, um einen IAM Identity Center-Anbieter zu löschen:

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Gewähren Sie dem IAM Identity Center Zugriff auf Sammlungsdaten

Nachdem Ihr IAM Identity Center-Anbieter aktiviert wurde, können Sie die Zugriffsrichtlinie für Sammlungsdaten so aktualisieren, dass sie IAM Identity Center-Prinzipale einbezieht. Die IAM Identity Center-Prinzipale müssen im folgenden Format aktualisiert werden: 

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
Anmerkung

Amazon OpenSearch Serverless unterstützt nur eine IAM Identity Center-Instance für alle Kundensammlungen und kann bis zu 100 Gruppen für einen einzelnen Benutzer unterstützen. Wenn Sie versuchen, mehr als die zulässige Anzahl von Instances zu verwenden, kommt es zu Inkonsistenzen bei der Autorisierungsverarbeitung Ihrer Datenzugriffsrichtlinie und Sie erhalten eine 403 Fehlermeldung.

Sie können Zugriff auf Sammlungen, Indizes oder beides gewähren. Wenn Sie möchten, dass verschiedene Benutzer unterschiedliche Berechtigungen haben, müssen Sie mehrere Regeln erstellen. Eine Liste der verfügbaren Berechtigungen finden Sie unter Identity and Access Management in Amazon OpenSearch Service. Informationen zum Formatieren einer Zugriffsrichtlinie finden Sie unter SAML-Identitäten Zugriff auf Sammlungsdaten gewähren.

IAM Identity Center bietet zwei Instanzen von Anbietern, eine für Ihr Organisationskonto und eine für Ihr Mitgliedskonto. Wenn Sie Ihre IAM Identity Center-Instanz ändern müssen, müssen Sie Ihre Sicherheitskonfiguration über die DeleteSecurityConfig API löschen und mithilfe der neuen IAM Identity Center-Instanz eine neue Sicherheitskonfiguration erstellen. Der folgende Befehl kann verwendet werden, um einen IAM Identity Center-Anbieter zu löschen:

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>