Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überblick über die Sicherheit in Amazon OpenSearch Serverless
Die Sicherheit in Amazon OpenSearch Serverless unterscheidet sich in folgenden Punkten grundlegend von der Sicherheit in Amazon OpenSearch Service:
| Feature | OpenSearch Service | OpenSearch Serverlos |
| --- | --- | --- |
| Datenzugriffskontrolle | Der Datenzugriff wird durch IAM-Richtlinien und eine differenzierte Zugangskontrolle festgelegt. | Der Datenzugriff wird durch Datenzugriffsrichtlinien festgelegt. |
| Verschlüsselung im Ruhezustand | Die Verschlüsselung im Ruhezustand ist für Domains optional. | Die Verschlüsselung im Ruhezustand ist für Sammlungen erforderlich. |
| Einrichtung und Verwaltung der Sicherheit | Sie müssen Netzwerk, Verschlüsselung und Datenzugriff für jede Domain einzeln konfigurieren. | Sie können Sicherheitsrichtlinien verwenden, um Sicherheitseinstellungen für mehrere Sammlungen in großem Umfang zu verwalten. |
Das folgende Diagramm veranschaulicht die Sicherheitskomponenten, aus denen eine funktionale Sammlung besteht. Eine Sammlung muss über einen zugewiesenen Verschlüsselungsschlüssel, Netzwerkzugriffseinstellungen und eine passende Datenzugriffsrichtlinie verfügen, die ihren Ressourcen Berechtigungen gewährt.
![\[Diagram showing encryption, network, data access, and authentication policies for a collection.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-security.png)
**Topics**
+ [Verschlüsselungsrichtlinien](#serverless-security-encryption)
+ [Netzwerkrichtlinien](#serverless-security-network)
+ [Daten-Zugriffsrichtlinien](#serverless-security-data-access)
+ [IAM und SAML-Authentifizierung](#serverless-security-authentication)
+ [Sicherheit der Infrastruktur](#serverless-infrastructure-security)
+ [Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless](serverless-tutorials.md)
+ [Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md)
+ [Verschlüsselung in Amazon OpenSearch Serverless](serverless-encryption.md)
+ [Netzwerkzugriff für Amazon OpenSearch Serverless](serverless-network.md)
+ [FIPS-Konformität bei Amazon Serverless OpenSearch](fips-compliance-opensearch-serverless.md)
+ [Datenzugriffskontrolle für Amazon OpenSearch Serverless](serverless-data-access.md)
+ [Zugriff auf Datenebene über AWS PrivateLink](serverless-vpc.md)
+ [Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink](serverless-vpc-cp.md)
+ [SAML-Authentifizierung für Amazon Serverless OpenSearch](serverless-saml.md)
+ [Konformitätsvalidierung für Amazon OpenSearch Serverless](serverless-compliance-validation.md)
## Verschlüsselungsrichtlinien
[Verschlüsselungsrichtlinien](serverless-encryption.md) definieren, ob Ihre Sammlungen mit einem AWS-eigener Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden. Verschlüsselungsrichtlinien bestehen aus zwei Komponenten: einem **Ressourcenmuster** und einem **Verschlüsselungsschlüssel**. Das Ressourcenmuster legt fest, für welche Sammlung oder Sammlungen die Richtlinie gilt. Der Verschlüsselungsschlüssel legt fest, wie die zugehörigen Sammlungen gesichert werden.
Um eine Richtlinie auf mehrere Sammlungen anzuwenden, fügen Sie der Richtlinienregel ein Platzhalterzeichen (\$1) hinzu. Die folgende Richtlinie gilt beispielsweise für alle Sammlungen, deren Namen mit „logs“ beginnen.
![\[Input field for specifying a prefix term or collection name, with "logs*" entered.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-security-encryption.png)
Verschlüsselungsrichtlinien optimieren den Prozess der Erstellung und Verwaltung von Sammlungen, insbesondere wenn Sie dies programmgesteuert tun. Sie können eine Sammlung erstellen, indem Sie einen Namen angeben. Ihr wird bei der Erstellung automatisch ein Verschlüsselungsschlüssel zugewiesen.
## Netzwerkrichtlinien
[Netzwerkrichtlinien](serverless-network.md) definieren, ob Ihre Sammlungen privat oder über das Internet von öffentlichen Netzwerken aus zugänglich sind. *Auf private Sammlungen kann über OpenSearch serverlos verwaltete VPC-Endpunkte oder über spezifische Endpunkte AWS-Services wie Amazon Bedrock über privaten Zugriff zugegriffen werden.AWS-Service * Genau wie Verschlüsselungsrichtlinien können auch Netzwerkrichtlinien für mehrere Sammlungen gelten, so dass Sie den Netzwerkzugriff für viele Sammlungen in großem Umfang verwalten können.
Netzwerkrichtlinien bestehen aus zwei Komponenten: einem **Zugriffstyp** und einem **Ressourcentyp**. Der Zugriffstyp kann entweder öffentlich oder privat sein. Der Ressourcentyp bestimmt, ob der von Ihnen gewählte Zugriff für den Sammlungsendpunkt, den OpenSearch Dashboards-Endpunkt oder für beide gilt.
![\[Access type and resource type options for configuring network policies in OpenSearch.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-security-network.png)
Wenn Sie den VPC-Zugriff innerhalb einer Netzwerkrichtlinie konfigurieren möchten, müssen Sie zunächst einen oder [OpenSearch mehrere serverlos verwaltete VPC-Endpoints erstellen.](serverless-vpc.md) Mit diesen Endpunkten können Sie wie in Ihrer VPC auf OpenSearch Serverless zugreifen, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung verwenden zu müssen. Direct Connect
Der private Zugriff auf AWS-Services kann nur für den Endpunkt der Sammlung gelten, nicht für den OpenSearch Endpunkt der OpenSearch Dashboards. AWS-Services kann kein Zugriff auf OpenSearch Dashboards gewährt werden.
## Daten-Zugriffsrichtlinien
[Datenzugriffsrichtlinien](serverless-data-access.md) definieren, wie Ihre Benutzer auf die Daten in Ihren Sammlungen zugreifen. Datenzugriffsrichtlinien unterstützen Sie bei der Verwaltung von Sammlungen in großem Umfang, indem sie automatisch Zugriffsberechtigungen für Sammlungen und Indizes zuweisen, die einem bestimmten Muster übereinstimmen. Mehrere Richtlinien können für eine einzelne Ressource gelten.
Datenzugriffsrichtlinien bestehen aus einer Reihe von Regeln mit jeweils drei Komponenten: einem **Ressourcentyp**, **gewährte Ressourcen** und einer Reihe von **Berechtigungen**. Der Ressourcentyp kann eine Sammlung oder ein Index sein. Bei den gewährten Ressourcen kann es sich um collection/index Namen oder Muster mit einem Platzhalter (\$1) handeln. Die Liste der Berechtigungen gibt an, auf welche [OpenSearch API-Operationen](serverless-genref.md#serverless-operations) die Richtlinie Zugriff gewährt. Darüber hinaus enthält die Richtlinie eine Liste von **Prinzipalen**, die die IAM-Rollen, -Benutzer und SAML-Identitäten angeben, denen Zugriff gewährt werden soll.
![\[Selected principals and granted resources with permissions for collection and index access.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-data-access.png)
Weitere Informationen zum Format einer Datenzugriffsrichtlinie finden Sie in der [Richtliniensyntax](serverless-data-access.md#serverless-data-access-syntax).
Bevor Sie eine Datenzugriffsrichtlinie erstellen, müssen Sie über eine oder mehrere IAM-Rollen oder -Benutzer oder SAML-Identitäten verfügen, auf die Sie in der Richtlinie Zugriff gewähren können. Einzelheiten finden Sie im nächsten Abschnitt.
**Anmerkung**
Wenn Sie für Ihre Sammlung vom öffentlichen zum privaten Zugriff wechseln, wird die Registerkarte „Indizes“ in der OpenSearch Serverless Collection Console entfernt.
## IAM und SAML-Authentifizierung
IAM-Prinzipale und SAML-Identitäten sind eine der Bausteine einer Datenzugriffsrichtlinie. Innerhalb der `principal`-Anweisung einer Zugriffsrichtlinie können Sie IAM-Rollen, IAM-Benutzer und SAML-Identitäten angeben. Diesen Prinzipalen werden dann die Berechtigungen gewährt, die Sie in den zugeordneten Richtlinienregeln angeben.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/marketing/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie"
]
}
]
```
Sie konfigurieren die SAML-Authentifizierung direkt in Serverless. OpenSearch Weitere Informationen finden Sie unter [SAML-Authentifizierung für Amazon Serverless OpenSearch](serverless-saml.md).
## Sicherheit der Infrastruktur
Amazon OpenSearch Serverless ist durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon OpenSearch Serverless zuzugreifen. Clients müssen Transport Layer Security (TLS) unterstützen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3. Eine Liste der unterstützten Verschlüsselungen für TLS 1.3 finden Sie unter [TLS-Protokolle und Chiffren](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html#tls-protocols-ciphers) in der Elastic Load Balancing Balancing-Dokumentation.
Darüber hinaus müssen Sie Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
# Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless
Die folgenden Tutorials helfen Ihnen bei den ersten Schritten mit Amazon OpenSearch Serverless. In beiden Tutorials werden die gleichen grundlegenden Schritte ausgeführt, aber eines verwendet die Konsole, während das andere die AWS CLI verwendet.
Beachten Sie, dass die Anwendungsfälle in diesen Tutorials vereinfacht sind. Die Netzwerk- und Sicherheitsrichtlinien sind relativ offen. Bei Produktions-Workloads empfehlen wir, robustere Sicherheitsfunktionen wie SAML-Authentifizierung, VPC-Zugriff und restriktive Datenzugriffsrichtlinien zu konfigurieren.
**Topics**
+ [Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (Konsole)](gsg-serverless.md)
+ [Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md)
# Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (Konsole)
Dieses Tutorial führt Sie durch die grundlegenden Schritte zur Erstellung und Verwaltung von Sicherheitsrichtlinien mithilfe der Amazon OpenSearch Serverless-Konsole.
In diesem Tutorial führen Sie die folgenden Schritte aus:
1. [Konfigurieren von Berechtigungen](#gsgpermissions)
1. [Erstellen einer Verschlüsselungsrichtlinie](#gsg-encryption)
1. [Eine Netzwerkrichtlinie erstellen](#gsg-network)
1. [Konfigurieren einer Datenzugriffsrichtlinie](#gsg-data-access)
1. [Erstellen einer Sammlung](#gsgcreate-collection)
1. [Hochladen und Suchen von Daten](#gsgindex-collection)
Dieses Tutorial führt Sie durch die Einrichtung einer Sammlung mithilfe von. AWS-Managementkonsole Dieselben Schritte mit dem AWS CLI finden Sie unter[Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md).
## Schritt 1: Konfigurieren von Berechtigungen
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie bereits eine umfassendere identitätsbasierte Richtlinie verwenden, z. B. `Action":"aoss:*"` oder `Action":"*"`. In Produktionsumgebungen empfehlen wir jedoch, dem Prinzipal der geringsten Berechtigung zu folgen und nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zuzuweisen.
Um dieses Tutorial und OpenSearch Serverless im Allgemeinen verwenden zu können, müssen Sie über die richtigen IAM-Berechtigungen verfügen. Ihr Benutzer oder Ihre Rolle muss über eine angefügte [identitätsbasierte Richtlinie](security-iam-serverless.md#security-iam-serverless-id-based-policies) mit den folgenden Mindestberechtigungen verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:CreateCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:ListSecurityPolicies",
"aoss:CreateAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:ListAccessPolicies"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Eine vollständige Liste der OpenSearch Serverless-Berechtigungen finden Sie unter[Identity and Access Management für Amazon OpenSearch Serverless](security-iam-serverless.md).
## Schritt 2: Erstellen einer Verschlüsselungsrichtlinie
[Verschlüsselungsrichtlinien](serverless-encryption.md) geben den AWS KMS Schlüssel an, den OpenSearch Serverless zum Verschlüsseln der Sammlung verwendet. Sie können Sammlungen mit einem Von AWS verwalteter Schlüssel oder einem anderen Schlüssel verschlüsseln. Der Einfachheit halber verschlüsseln wir in diesem Tutorial unsere Sammlung mit einem Von AWS verwalteter Schlüssel.
**So erstellen Sie eine Verschlüsselungsrichtlinie**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Encryption policies** (Verschlüsselungsrichtlinien).
1. Wählen Sie **Create encryption policy** (Verschlüsselungsrichtlinie erstellen).
1. Benennen Sie die Richtlinie **books-policy** (Bücher-Richtlinie). Geben Sie als Beschreibung **Encryption policy for books collection** (Verschlüsselungsrichtlinie für die Bücher-Sammlung) ein.
1. Geben Sie unter **Resources** (Ressourcen) den Namen **books** (Bücher) ein, den Sie Ihrer Sammlung geben werden. Wenn Sie die Richtlinie weiter fassen möchten, können Sie ein Sternchen (`books*`) einfügen, damit die Richtlinie für alle Sammlungen gilt, die mit dem Wort „Bücher“ beginnen.
1. Lassen Sie für **Verschlüsselung** die Option ** AWS Eigenen Schlüssel verwenden** aktiviert.
1. Wählen Sie **Erstellen** aus.
## Schritt 3: Erstellen Sie eine Netzwerkrichtlinie
[Netzwerkrichtlinien](serverless-network.md) bestimmen, ob Ihre Sammlung über das Internet von öffentlichen Netzwerken aus zugänglich ist oder ob der Zugriff über OpenSearch serverlos verwaltete VPC-Endpunkte erfolgen muss. In diesem Tutorial konfigurieren wir den öffentlichen Zugriff.
**So erstellen Sie eine Netzwerkrichtlinie**
1. Wählen Sie im linken Navigationsbereich **Network policies** (Netzwerkrichtlinien) und dann **Create network policy** (Netzwerkrichtlinie erstellen) aus.
1. Benennen Sie die Richtlinie **books-policy** (Bücher-Richtlinie). Geben Sie als Beschreibung **Network policy for books collection** (Netzwerkrichtlinie für Bücher-Sammlung) ein.
1. Benennen Sie unter **Rule 1** (Regel 1) die Regel **Public access for books collection** (Öffentlicher Zugriff für Bücher-Sammlung).
1. Der Einfachheit halber konfigurieren wir in diesem Tutorial den öffentlichen Zugriff für die *Bücher*-Sammlung. Wählen Sie für den Zugriffstyp **Public** (Öffentlich) aus.
1. Wir werden über Dashboards auf die Sammlung zugreifen. OpenSearch Dazu müssen Sie den Netzwerkzugriff für Dashboards *und* den OpenSearch Endpunkt konfigurieren, da Dashboards sonst nicht funktionieren.
Aktivieren Sie für den Ressourcentyp sowohl **Zugriff auf OpenSearch Endpunkte als auch Zugriff** **auf** Dashboards. OpenSearch
1. Geben Sie in beiden Eingabefeldern **Collection Name = books** (Sammlungsname = Bücher) ein. Diese Einstellung schränkt die Richtlinie so ein, dass sie nur für eine einzelne Sammlung gilt (`books`). Ihre Regel sollte folgendermaßen aussehen:
![\[Search interface showing two input fields for collection or prefix term selection, both set to "books".\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-tutorial-network.png)
1. Wählen Sie **Erstellen** aus.
## Schritt 4: Erstellen Sie eine Datenzugriffsrichtlinie
Ihre Sammlungsdaten sind erst dann zugänglich, wenn Sie den Zugriff auf die Daten konfigurieren. [Datenzugriffsrichtlinien](serverless-data-access.md) sind von der identitätsbasierten IAM-Richtlinie, die Sie in Schritt 1 konfiguriert haben, getrennt. Diese ermöglichen den Benutzern den Zugriff auf die tatsächlichen Daten innerhalb einer Sammlung.
In diesem Tutorial gewähren wir einem einzelnen Benutzer die Berechtigungen, die zum Indizieren von Daten in der *Bücher*-Sammlung erforderlich sind.
**So erstellen Sie eine Datenzugriffsrichtlinie**
1. Wählen Sie im linken Navigationsbereich **Data access policies** (Datenzugriffsrichtlinien) und anschließend **Create access policy** (Zugriffsrichtlinie erstellen) aus.
1. Benennen Sie die Richtlinie **books-policy** (Bücher-Richtlinie). Geben Sie als Beschreibung **Data access policy for books collection** (Datenzugriffsrichtlinie für die Bücher-Sammlung) ein.
1. Wählen Sie **JSON** als Methode zur Richtliniendefinition aus und fügen Sie die folgende Richtlinie in den JSON-Editor ein.
Ersetzen Sie den Haupt-ARN durch den ARN des Kontos, mit dem Sie sich bei OpenSearch Dashboards anmelden und Daten indexieren.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/books/*"
],
"Permission":[
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/my-user"
]
}
]
```
Diese Richtlinie gewährt einem einzelnen Benutzer die Mindestberechtigungen, die erforderlich sind, um einen Index in der *Bücher*-Sammlung zu erstellen, einige Daten zu indizieren und danach zu suchen.
1. Wählen Sie **Erstellen** aus.
## Schritt 5: Erstellen Sie eine Sammlung
Nachdem Sie die Verschlüsselungs- und Netzwerkrichtlinien konfiguriert haben, können Sie eine passende Sammlung erstellen und die Sicherheitseinstellungen werden automatisch darauf angewendet.
**Um eine OpenSearch serverlose Sammlung zu erstellen**
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und wählen Sie **Create collection** (Sammlung erstellen) aus.
1. Benennen Sie die Sammlung **books** (Bücher).
1. Wählen Sie als Sammlungstyp **Search** (Suchen) aus.
1. Unter **Verschlüsselung** informiert Sie OpenSearch Serverless darüber, dass der Name der Sammlung der `books-policy` Verschlüsselungsrichtlinie entspricht.
1. Unter **Netzwerkzugriffseinstellungen** informiert Sie OpenSearch Serverless darüber, dass der Name der Sammlung der `books-policy` Netzwerkrichtlinie entspricht.
1. Wählen Sie **Weiter** aus.
1. Unter **Optionen für Datenzugriffsrichtlinien** informiert Sie OpenSearch Serverless darüber, dass der Name der Sammlung der `books-policy` Datenzugriffsrichtlinie entspricht.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Sammlungskonfiguration und wählen Sie **Submit** (Senden) aus. Die Initialisierung von Sammlungen dauert in der Regel weniger als eine Minute.
## Schritt 6: Hochladen und Suchen von Daten
Sie können Daten mit Postman oder Curl in eine OpenSearch serverlose Sammlung hochladen. Der Kürze halber verwenden diese Beispiele **Dev Tools** in der Dashboards-Konsole. OpenSearch
**So indizieren und suchen Sie Daten in einer Sammlung**
1. Wählen Sie im linken Navigationsbereich **Collections** (Sammlungen) und dann die **Bücher**-Sammlung aus, um die Detailseite zu öffnen.
1. Wählen Sie die OpenSearch Dashboard-URL für die Sammlung aus. Die URL nimmt das Format `https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards` an.
1. Melden Sie sich mit den [AWS Zugriffs- und Geheimschlüsseln](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-appendix-sign-up.html) für den Principal, die Sie in Ihrer Datenzugriffsrichtlinie angegeben haben, bei OpenSearch Dashboards an.
1. Öffnen Sie in OpenSearch Dashboards das linke Navigationsmenü und wählen Sie **Dev** Tools aus.
1. Führen Sie den folgenden Befehl aus, um einen einzelnen Index mit dem Namen *books-index* zu erstellen:
```
PUT books-index
```
![\[OpenSearch Dashboards console showing PUT request for books-index with JSON response.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-createindex.png)
1. Führen Sie den folgenden Befehl aus, um ein einzelnes Dokument in *books-index* zu indizieren:
```
PUT books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
1. Um Daten in OpenSearch Dashboards zu suchen, müssen Sie mindestens ein Indexmuster konfigurieren. OpenSearch verwendet diese Muster, um zu identifizieren, welche Indizes Sie analysieren möchten. Öffnen Sie das Dashboards-Hauptmenü, wählen Sie **Stack-Management**, wählen Sie **Indexmuster** und dann **Indexmuster erstellen**. Geben Sie für dieses Tutorial *books-index* ein.
1. Wählen Sie **Nächster Schritt** aus und klicken Sie auf **Indexmuster erstellen**. Nachdem das Muster erstellt wurde, können Sie die verschiedenen Dokumentfelder anzeigen, z. B. `author` und `title`.
1. Um mit der Suche nach Ihren Daten zu beginnen, öffnen Sie erneut das Hauptmenü und wählen Sie **Discover** (Erkunden) oder verwenden Sie die [Such-API](https://opensearch.org/docs/latest/opensearch/rest-api/search/).
# Tutorial: Erste Schritte mit der Sicherheit in Amazon OpenSearch Serverless (CLI)
Dieses Tutorial führt Sie durch die im [Tutorial Erste Schritte der Konsole](gsg-serverless.md) zum Thema Sicherheit beschriebenen Schritte, verwendet jedoch die Servicekonsole AWS CLI und nicht die OpenSearch Service-Konsole.
In diesem Tutorial führen Sie die folgenden Schritte durch:
1. Erstellen Sie eine IAM-Berechtigungsrichtlinie
1. Ordnen Sie die IAM-Richtlinie einer IAM-Rolle zu
1. Eine Verschlüsselungsrichtlinie erstellen
1. Eine Netzwerkrichtlinie erstellen
1. Eine Sammlung erstellen
1. Konfigurieren einer Datenzugriffsrichtlinie
1. Rufen Sie den Sammlungsendpunkt ab
1. Laden Sie Daten auf Ihre Verbindung hoch
1. Suchen Sie nach Daten in Ihrer Sammlung
Das Ziel dieses Tutorials besteht darin, eine einzelne OpenSearch serverlose Sammlung mit relativ einfachen Verschlüsselungs-, Netzwerk- und Datenzugriffseinstellungen einzurichten. Beispielsweise konfigurieren wir den öffentlichen Netzwerkzugriff, eine Von AWS verwalteter Schlüssel für die Verschlüsselung und eine vereinfachte Datenzugriffsrichtlinie, die einem einzelnen Benutzer nur minimale Berechtigungen gewährt.
Erwägen Sie in einem Produktionsumgebung die Implementierung einer robusteren Konfiguration, einschließlich SAML-Authentifizierung, eines benutzerdefinierten Verschlüsselungsschlüssels und VPC-Zugriff.
**Um mit Sicherheitsrichtlinien in OpenSearch Serverless zu beginnen**
1.
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie bereits eine umfassendere identitätsbasierte Richtlinie verwenden, z. B. `Action":"aoss:*"` oder `Action":"*"`. In Produktionsumgebungen empfehlen wir jedoch, dem Prinzipal der geringsten Berechtigung zu folgen und nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zuzuweisen.
Erstellen Sie zunächst eine AWS Identity and Access Management Richtlinie mit den erforderlichen Mindestberechtigungen, um die Schritte in diesem Tutorial auszuführen. Wir werden die Richtlinie `TutorialPolicy` nennen:
```
aws iam create-policy \
--policy-name TutorialPolicy \
--policy-document "{\"Version\": \"2012-10-17\",\"Statement\": [{\"Action\": [\"aoss:ListCollections\",\"aoss:BatchGetCollection\",\"aoss:CreateCollection\",\"aoss:CreateSecurityPolicy\",\"aoss:GetSecurityPolicy\",\"aoss:ListSecurityPolicies\",\"aoss:CreateAccessPolicy\",\"aoss:GetAccessPolicy\",\"aoss:ListAccessPolicies\"],\"Effect\": \"Allow\",\"Resource\": \"*\"}]}"
```
**Beispielantwort**
```
{
"Policy": {
"PolicyName": "TutorialPolicy",
"PolicyId": "ANPAW6WRAECKG6QJWUV7U",
"Arn": "arn:aws:iam::123456789012:policy/TutorialPolicy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-10-16T20:57:18+00:00",
"UpdateDate": "2022-10-16T20:57:18+00:00"
}
}
```
1. Fügen Sie `TutorialPolicy` der IAM-Rolle an, die die Daten in der Sammlung indizieren und durchsuchen wird. Wir benennen den Benutzer `TutorialRole`:
```
aws iam attach-role-policy \
--role-name TutorialRole \
--policy-arn arn:aws:iam::123456789012:policy/TutorialPolicy
```
1. Bevor Sie eine Sammlung erstellen, müssen Sie eine [Verschlüsselungsrichtlinie](serverless-encryption.md) erstellen, die ein AWS-eigener Schlüssel der in einem späteren Schritt erstellten *Bücher*-Sammlung zuweist.
Senden Sie die folgende Anfrage, um eine Verschlüsselungsrichtlinie für die *Bücher*-Sammlung zu erstellen:
```
aws opensearchserverless create-security-policy \
--name books-policy \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AWSOwnedKey\":true}"
```
**Beispielantwort**
```
{
"securityPolicyDetail": {
"type": "encryption",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDAwNTk5MF8x",
"policy": {
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AWSOwnedKey": true
},
"createdDate": 1669240005990,
"lastModifiedDate": 1669240005990
}
}
```
1. Erstellen Sie eine [Netzwerkrichtlinie](serverless-network.md), die öffentlichen Zugriff auf die *Bücher*-Sammlung gewährt:
```
aws opensearchserverless create-security-policy --name books-policy --type network \
--policy "[{\"Description\":\"Public access for books collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/books\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AllowFromPublic\":true}]"
```
**Beispielantwort**
```
{
"securityPolicyDetail": {
"type": "network",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDI1Njk1NV8x",
"policy": [
{
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "dashboard"
},
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AllowFromPublic": true,
"Description": "Public access for books collection"
}
],
"createdDate": 1669240256955,
"lastModifiedDate": 1669240256955
}
}
```
1. Erstellen Sie die *Bücher*-Sammlung:
```
aws opensearchserverless create-collection --name books --type SEARCH
```
**Beispielantwort**
```
{
"createCollectionDetail": {
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "CREATING",
"type": "SEARCH",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"kmsKeyArn": "auto",
"createdDate": 1669240325037,
"lastModifiedDate": 1669240325037
}
}
```
1. Erstellen Sie eine [Datenzugriffsrichtlinie](serverless-data-access.md), die die Mindestberechtigungen zum Indizieren und Suchen von Daten in der *Bücher*-Sammlung bereitstellt. Ersetzen Sie den Prinzipal-ARN durch den ARN von `TutorialRole` aus Schritt 1:
```
aws opensearchserverless create-access-policy \
--name books-policy \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"index\",\"Resource\":[\"index\/books\/books-index\"],\"Permission\":[\"aoss:CreateIndex\",\"aoss:DescribeIndex\",\"aoss:ReadDocument\",\"aoss:WriteDocument\",\"aoss:UpdateIndex\",\"aoss:DeleteIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:role\/TutorialRole\"]}]"
```
**Beispielantwort**
```
{
"accessPolicyDetail": {
"type": "data",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDM5NDY1M18x",
"policy": [
{
"Rules": [
{
"Resource": [
"index/books/books-index"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateDocument",
"aoss:DeleteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::123456789012:role/TutorialRole"
]
}
],
"createdDate": 1669240394653,
"lastModifiedDate": 1669240394653
}
}
```
`TutorialRole` sollte nun in der Lage sein, Dokumente in der *Bücher*-Sammlung zu indizieren und zu durchsuchen.
1. Um Aufrufe an die OpenSearch API zu tätigen, benötigen Sie den Sammlungsendpunkt. Senden Sie die folgende Anfrage, um den `collectionEndpoint`-Parameter abzurufen:
```
aws opensearchserverless batch-get-collection --names books
```
**Beispielantwort**
```
{
"collectionDetails": [
{
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "ACTIVE",
"type": "SEARCH",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"createdDate": 1665765327107,
"collectionEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/_dashboards"
}
],
"collectionErrorDetails": []
}
```
**Anmerkung**
Sie können den Sammlungsendpunkt erst sehen, wenn sich der Sammlungsstatus zu `ACTIVE` ändert. Möglicherweise müssen Sie mehrere Aufrufe durchführen, um den Status zu überprüfen, bis die Sammlung erfolgreich erstellt wurde.
1. Verwenden Sie ein HTTP-Tool wie [Postman](https://www.getpostman.com/) oder curl, um Daten in der *Bücher*-Sammlung zu indizieren. Wir erstellen einen Index mit dem Namen *books-index* und fügen ein einzelnes Dokument hinzu.
Senden Sie die folgende Anforderung mit den Anmeldeinformationen für `TutorialRole` an den Sammlungsendpunkt, den Sie im vorherigen Schritt abgerufen haben.
```
PUT https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
**Beispielantwort**
```
{
"_index" : "books-index",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 0,
"successful" : 0,
"failed" : 0
},
"_seq_no" : 0,
"_primary_term" : 0
}
```
1. Verwenden Sie die [Such-API](https://opensearch.org/docs/latest/opensearch/rest-api/search/), um mit der Suche nach Daten in Ihrer Sammlung zu beginnen. Die folgende Abfrage führt eine einfache Suche durch:
```
GET https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_search
```
**Beispielantwort**
```
{
"took": 405,
"timed_out": false,
"_shards": {
"total": 6,
"successful": 6,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 2,
"relation": "eq"
},
"max_score": 1.0,
"hits": [
{
"_index": "books-index:0::3xJq14MBUaOS0wL26UU9:0",
"_id": "F_bt4oMBLle5pYmm5q4T",
"_score": 1.0,
"_source": {
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
}
]
}
}
```
# Identity and Access Management für Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um serverlose Ressourcen zu verwenden OpenSearch . IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Identitätsbasierte Richtlinien für Serverless OpenSearch](#security-iam-serverless-id-based-policies)
+ [Richtlinienaktionen für Serverless OpenSearch](#security-iam-serverless-id-based-policies-actions)
+ [Richtlinienressourcen für Serverless OpenSearch](#security-iam-serverless-id-based-policies-resources)
+ [Schlüssel für Richtlinienbedingungen für Amazon OpenSearch Serverless](#security_iam_serverless-conditionkeys)
+ [ABAC mit Serverless OpenSearch](#security_iam_serverless-with-iam-tags)
+ [Temporäre Anmeldeinformationen mit Serverless verwenden OpenSearch](#security_iam_serverless-tempcreds)
+ [Mit Diensten verknüpfte Rollen für Serverless OpenSearch](#security_iam_serverless-slr)
+ [Weitere Richtlinientypen](#security_iam_access-manage-other-policies)
+ [Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
+ [IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch](serverless-iam-identity-center.md)
## Identitätsbasierte Richtlinien für Serverless OpenSearch
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch
Beispiele für identitätsbasierte Richtlinien OpenSearch ohne Server finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
## Richtlinienaktionen für Serverless OpenSearch
**Unterstützt Richtlinienaktionen:** Ja
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. *Aktionen, die nur mit Genehmigung durchgeführt werden können* und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als *abhängige Aktionen* bezeichnet.
Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen in OpenSearch Serverless wird vor der Aktion das folgende Präfix verwendet:
```
aoss
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
Sie können mehrere Aktionen mit Platzhalterzeichen (\$1) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "aoss:List*"
```
Beispiele für identitätsbasierte OpenSearch Richtlinien ohne Server finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch](#security_iam_id-based-policy-examples)
## Richtlinienressourcen für Serverless OpenSearch
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
## Schlüssel für Richtlinienbedingungen für Amazon OpenSearch Serverless
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Neben der attributebasierten Zugriffskontrolle (ABAC) unterstützt OpenSearch Serverless die folgenden Bedingungsschlüssel:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
Sie können diese Bedingungsschlüssel auch beim Bereitstellen von Berechtigungen für Zugriffsrichtlinien und Sicherheitsrichtlinien verwenden. Beispiel:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
In diesem Beispiel gilt die Bedingung für Richtlinien, die *Regeln* enthalten, die mit einem Sammlungsnamen oder -muster übereinstimmen. Die Bedingungen haben das folgende Verhalten:
+ `StringEquals` – Gilt für Richtlinien mit Regeln, die die *exakte* Ressourcenzeichenfolge „log“ (d. h. `collection/log`) enthalten.
+ `StringLike` – Gilt für Richtlinien mit Regeln, die eine Ressourcenzeichenfolge enthalten, die die Zeichenfolge „log“ *enthält* (d. h. `collection/log`, aber auch `collection/logs-application` oder `collection/applogs123`).
**Anmerkung**
Bedingungsschlüssel für *Sammlungen* gelten nicht auf der Indexebene. In der obigen Richtlinie würde die Bedingung beispielsweise nicht auf eine Zugriffs- oder Sicherheitsrichtlinie gelten, die die Ressourcenzeichenfolge `index/logs-application/*` enthält.
Eine Liste der OpenSearch Serverless-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon OpenSearch Serverless definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions).
## ABAC mit Serverless OpenSearch
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Taggen OpenSearch serverloser Ressourcen finden Sie unter. [Taggen von Amazon OpenSearch Serverless-Sammlungen](tag-collection.md)
## Temporäre Anmeldeinformationen mit Serverless verwenden OpenSearch
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Mit Diensten verknüpfte Rollen für Serverless OpenSearch
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen und Verwalten OpenSearch serverloser dienstbezogener Rollen finden Sie unter. [Verwenden von dienstverknüpften Rollen zum Erstellen serverloser Sammlungen OpenSearch](serverless-service-linked-roles.md)
## Weitere Richtlinientypen
AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Mit diesen Richtlinientypen können Sie die maximalen Berechtigungen festlegen, die Ihnen durch die gängigeren Richtlinientypen gewährt werden.
+ **Dienststeuerungsrichtlinien (SCPs)** — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) festlegen AWS Organizations. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer AWS Konten, die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen AWS Root-Benutzer. Weitere Informationen zu Organizations und SCPs finden Sie unter [Richtlinien zur Servicesteuerung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
+ **Ressourcenkontrollrichtlinien (RCPs)** — RCPs sind JSON-Richtlinien, mit denen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten festlegen können, ohne die IAM-Richtlinien aktualisieren zu müssen, die jeder Ressource zugeordnet sind, deren Eigentümer Sie sind. Das RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein und kann sich auf die effektiven Berechtigungen für Identitäten auswirken, einschließlich des Root-Benutzers des AWS Kontos, unabhängig davon, ob diese zu Ihrer Organisation gehören. Weitere Informationen zu Organizations sowie RCPs eine Liste der unterstützten AWS RCPs Dienste finden Sie unter [Resource Control Policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) im *AWS Organizations Benutzerhandbuch*.
## Beispiele für identitätsbasierte Richtlinien für Serverless OpenSearch
Standardmäßig sind Benutzer und Rollen nicht berechtigt, serverlose Ressourcen zu erstellen oder zu ändern OpenSearch . Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon OpenSearch Serverless definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html) in der *Service Authorization* Reference.
**Topics**
+ [Bewährte Methoden für Richtlinien](#security_iam_serverless-policy-best-practices)
+ [Serverless in der Konsole verwenden OpenSearch](#security_iam_serverless_id-based-policy-examples-console)
+ [Verwaltung serverloser Sammlungen OpenSearch](#security_iam_id-based-policy-examples-collection-admin)
+ [Serverlose Sammlungen anzeigen OpenSearch](#security_iam_id-based-policy-examples-view-collections)
+ [OpenSearch API-Operationen verwenden](#security_iam_id-based-policy-examples-data-plane)
+ [ABAC für API-Operationen OpenSearch](#security_iam_id-based-policy-examples-data-plane-abac)
### Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien sind sehr leistungsfähig. Sie bestimmen, ob jemand OpenSearch serverlose Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
Identitätsbasierte Richtlinien legen fest, ob jemand OpenSearch serverlose Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
### Serverless in der Konsole verwenden OpenSearch
Um über die OpenSearch Servicekonsole auf OpenSearch Serverless zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den OpenSearch Serverless-Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (wie IAM-Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf OpenSearch Serverless innerhalb der OpenSearch Servicekonsole:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### Verwaltung serverloser Sammlungen OpenSearch
Diese Richtlinie ist ein Beispiel für eine „Sammlungsadministrator“ -Richtlinie, die es einem Benutzer ermöglicht, Amazon OpenSearch Serverless-Sammlungen zu verwalten und zu verwalten. Der Benutzer kann Sammlungen erstellen, anzeigen und löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### Serverlose Sammlungen anzeigen OpenSearch
Diese Beispielrichtlinie ermöglicht es einem Benutzer, Details für alle Amazon OpenSearch Serverless-Sammlungen in seinem Konto einzusehen. Der Benutzer kann die Sammlungen oder die zugeordneten Sicherheitsrichtlinien nicht ändern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### OpenSearch API-Operationen verwenden
API-Operationen auf Datenebene bestehen aus den Funktionen, die Sie in OpenSearch Serverless verwenden, um Echtzeitwerte aus dem Dienst abzuleiten. API-Operationen auf der Kontrollebene bestehen aus den Funktionen, mit denen Sie die Umgebung einrichten.
Um über den Browser auf Amazon OpenSearch Serverless Data Plane APIs und OpenSearch Dashboards zuzugreifen, müssen Sie zwei IAM-Berechtigungen für Sammelressourcen hinzufügen. Diese Berechtigungen sind und. `aoss:APIAccessAll` `aoss:DashboardsAccessAll`
**Anmerkung**
Ab dem 10. Mai 2023 benötigt OpenSearch Serverless diese beiden neuen IAM-Berechtigungen für Sammlungsressourcen. Die `aoss:APIAccessAll` Berechtigung ermöglicht den Zugriff auf die Datenebene, und die `aoss:DashboardsAccessAll` Berechtigung ermöglicht OpenSearch Dashboards vom Browser aus. Wenn die beiden neuen IAM-Berechtigungen nicht hinzugefügt werden, wird ein 403-Fehler angezeigt.
Diese Beispielrichtlinie ermöglicht es einem Benutzer, auf die Datenebene APIs für eine bestimmte Sammlung in seinem Konto zuzugreifen und auf OpenSearch Dashboards für alle Sammlungen in seinem Konto zuzugreifen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
Beides `aoss:APIAccessAll` und `aoss:DashboardsAccessAll` gewährt volle IAM-Berechtigungen für die Sammlungsressourcen, während die Dashboard-Berechtigung auch Zugriff auf Dashboards gewährt OpenSearch . Jede Berechtigung funktioniert unabhängig voneinander, sodass eine ausdrückliche Verweigerung `aoss:APIAccessAll` nicht den `aoss:DashboardsAccessAll` Zugriff auf die Ressourcen, einschließlich der Entwicklungstools, blockiert. Das Gleiche gilt für die Option „Ablehnen`aoss:DashboardsAccessAll`“. OpenSearch Serverless unterstützt die folgenden globalen Bedingungsschlüssel:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
Im Folgenden finden Sie ein Beispiel für die Verwendung `aws:SourceIp` im Bedingungsblock in der IAM-Richtlinie Ihres Prinzipals für Aufrufe auf Datenebene:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
Im Folgenden finden Sie ein Beispiel für die Verwendung `aws:SourceVpc` im Bedingungsblock in der IAM-Richtlinie Ihres Prinzipals für Datenebenenanrufe:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
Darüber hinaus wird Unterstützung für die folgenden OpenSearch serverlosen Schlüssel angeboten:
+ `aoss:CollectionId`
+ `aoss:collection`
Im Folgenden finden Sie ein Beispiel für die Verwendung `aoss:collection` im Bedingungsblock in der IAM-Richtlinie Ihres Prinzipals für Aufrufe auf Datenebene:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### ABAC für API-Operationen OpenSearch
Mit identitätsbasierten Richtlinien können Sie Tags verwenden, um den Zugriff auf die Amazon OpenSearch Serverless-Datenebene zu kontrollieren. APIs Die folgende Richtlinie ist ein Beispiel dafür, dass verbundene Principals auf die Datenebene zugreifen können, APIs wenn die Sammlung über das Tag verfügt: `team:devops`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
Die folgende Richtlinie ist ein Beispiel dafür, verbundenen Prinzipalen den Zugriff auf Datenebene APIs und Dashboards zu verweigern, wenn die Sammlung über das Tag verfügt: `environment:production`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless unterstützt `RequestTag` keine `TagKeys` globalen Bedingungsschlüssel für die Datenebene APIs.
# IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch
## IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch
Sie können IAM Identity Center-Prinzipale (Benutzer und Gruppen) verwenden, um über Amazon Applications auf Amazon OpenSearch Serverless-Daten zuzugreifen. OpenSearch Um die IAM Identity Center-Unterstützung für Amazon OpenSearch Serverless zu aktivieren, müssen Sie die Verwendung von IAM Identity Center aktivieren. Weitere Informationen dazu finden Sie unter [Was ist IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Identity Center?
**Anmerkung**
Um mithilfe von IAM Identity Center-Benutzern oder -Gruppen auf Amazon OpenSearch Serverless-Sammlungen zuzugreifen, müssen Sie die OpenSearch UI-Funktion (Anwendungen) verwenden. Direkter Zugriff auf OpenSearch Serverless Dashboards mit IAM Identity Center-Anmeldeinformationen wird nicht unterstützt. Weitere Informationen finden Sie unter [Erste Schritte mit der OpenSearch Benutzeroberfläche](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).
Nachdem die IAM Identity Center-Instance erstellt wurde, muss der Administrator des Kundenkontos eine IAM Identity Center-Anwendung für den Amazon OpenSearch Serverless-Service erstellen. [Dies kann durch Aufrufen von: erfolgen. CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html) Der Administrator des Kundenkontos kann angeben, welche Attribute für die Autorisierung der Anfrage verwendet werden. Die verwendeten Standardattribute sind und `UserId` `GroupId.`
Die IAM Identity Center-Integration für Amazon OpenSearch Serverless verwendet die folgenden AWS IAM Identity Center (IAM) -Berechtigungen:
+ `aoss:CreateSecurityConfig`— Erstellen Sie einen IAM Identity Center-Anbieter
+ `aoss:ListSecurityConfig`— Listet alle IAM Identity Center-Anbieter im aktuellen Konto auf.
+ `aoss:GetSecurityConfig`— IAM Identity Center-Anbieterinformationen anzeigen.
+ `aoss:UpdateSecurityConfig`— Ändern Sie eine bestimmte IAM Identity Center-Konfiguration
+ `aoss:DeleteSecurityConfig`— Löscht einen IAM Identity Center-Anbieter.
Die folgende identitätsbasierte Zugriffsrichtlinie kann zur Verwaltung aller IAM Identity Center-Konfigurationen verwendet werden:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Das `Resource` Element muss ein Platzhalter sein.
## Einen IAM Identity Center-Anbieter (Konsole) erstellen
Sie können einen IAM Identity Center-Anbieter erstellen, um die Authentifizierung mit OpenSearch der Anwendung zu ermöglichen. Gehen Sie wie folgt vor, um die IAM Identity Center-Authentifizierung für OpenSearch Dashboards zu aktivieren:
1. Melden Sie sich bei der [Amazon OpenSearch Service-Konsole](https://console.aws.amazon.com/aos/home.) an.
1. Erweitern Sie im linken Navigationsbereich den Bereich **Serverless** und wählen Sie **Authentifizierung** aus.
1. Wählen Sie **IAM Identity Center-Authentifizierung**.
1. **Wählen Sie Bearbeiten**
1. Markieren Sie das Kästchen neben Mit IAM Identity Center authentifizieren.
1. Wählen Sie den **Benutzer- und Gruppenattributschlüssel** aus dem Dropdownmenü aus. Benutzerattribute werden verwendet, um Benutzer auf der Grundlage von `UserName``UserId`, und zu autorisieren. `Email` Gruppenattribute werden verwendet, um Benutzer auf `GroupName` der Grundlage von und zu authentifizieren. `GroupId`
1. Wählen Sie die **IAM Identity Center-Instanz** aus.
1. **Wählen Sie Speichern**
## Der IAM Identity Center-Anbieter wird erstellt ()AWS CLI
Verwenden Sie den folgenden Befehl, um einen IAM Identity Center-Anbieter mithilfe von AWS Command Line Interface (AWS CLI) zu erstellen:
```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
"instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
"userAttribute": "UserName",
"groupAttribute": "GroupId"
}'
```
Nachdem ein IAM Identity Center aktiviert wurde, können Kunden nur **Benutzer- und Gruppenattribute** ändern.
```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id \
--config-version \
--iam-identity-center-options-updates '{
"userAttribute": "UserId",
"groupAttribute": "GroupId"
}'
```
Verwenden Sie den folgenden Befehl, um den IAM Identity Center-Anbieter mithilfe von anzuzeigen: AWS Command Line Interface
```
aws opensearchserverless list-security-configs --type iamidentitycenter
```
## Löschen eines IAM Identity Center-Anbieters
IAM Identity Center bietet zwei Instanzen von Anbietern, eine für Ihr Organisationskonto und eine für Ihr Mitgliedskonto. Wenn Sie Ihre IAM Identity Center-Instanz ändern müssen, müssen Sie Ihre Sicherheitskonfiguration über die `DeleteSecurityConfig` API löschen und mithilfe der neuen IAM Identity Center-Instanz eine neue Sicherheitskonfiguration erstellen. Der folgende Befehl kann verwendet werden, um einen IAM Identity Center-Anbieter zu löschen:
```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id
```
## Gewähren Sie dem IAM Identity Center Zugriff auf Sammlungsdaten
Nachdem Ihr IAM Identity Center-Anbieter aktiviert wurde, können Sie die Zugriffsrichtlinie für Sammlungsdaten so aktualisieren, dass sie IAM Identity Center-Prinzipale einbezieht. Die IAM Identity Center-Prinzipale müssen im folgenden Format aktualisiert werden:
```
[
{
"Rules":[
...
],
"Principal":[
"iamidentitycenter//user/",
"iamidentitycenter//group/"
]
}
]
```
**Anmerkung**
Amazon OpenSearch Serverless unterstützt nur eine IAM Identity Center-Instance für alle Kundensammlungen und kann bis zu 100 Gruppen für einen einzelnen Benutzer unterstützen. Wenn Sie versuchen, mehr als die zulässige Anzahl von Instances zu verwenden, kommt es zu Inkonsistenzen bei der Autorisierungsverarbeitung Ihrer Datenzugriffsrichtlinie und Sie erhalten eine `403` Fehlermeldung.
Sie können Zugriff auf Sammlungen, Indizes oder beides gewähren. Wenn Sie möchten, dass verschiedene Benutzer unterschiedliche Berechtigungen haben, müssen Sie mehrere Regeln erstellen. Eine Liste der verfügbaren Berechtigungen finden Sie unter [Identity and Access Management in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Informationen zum Formatieren einer Zugriffsrichtlinie finden Sie unter [SAML-Identitäten Zugriff auf Sammlungsdaten gewähren](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies).
# Verschlüsselung in Amazon OpenSearch Serverless
## Verschlüsselung im Ruhezustand
Jede Amazon OpenSearch Serverless-Sammlung, die Sie erstellen, ist durch Verschlüsselung ruhender Daten geschützt. Diese Sicherheitsfunktion verhindert unbefugten Zugriff auf Ihre Daten. Encryption at Rest verwendet AWS Key Management Service (AWS KMS), um Ihre Verschlüsselungsschlüssel zu speichern und zu verwalten. Es verwendet den Advanced-Encryption-Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256) zur Durchführung der Verschlüsselung.
**Topics**
+ [Verschlüsselungsrichtlinien](#serverless-encryption-policies)
+ [Überlegungen](#serverless-encryption-considerations)
+ [Erforderliche Berechtigungen](#serverless-encryption-permissions)
+ [Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel](#serverless-customer-cmk-policy)
+ [So verwendet Serverless Grants in OpenSearch AWS KMS](#serverless-encryption-grants)
+ [Erstellen von Verschlüsselungsrichtlinien (Konsole)](#serverless-encryption-console)
+ [Erstellen von Verschlüsselungsrichtlinien (AWS CLI)](#serverless-encryption-cli)
+ [Anzeigen von Verschlüsselungsrichtlinien](#serverless-encryption-list)
+ [Aktualisieren von Verschlüsselungsrichtlinien](#serverless-encryption-update)
+ [Aktualisieren von Verschlüsselungsrichtlinien](#serverless-encryption-delete)
### Verschlüsselungsrichtlinien
Mit Verschlüsselungsrichtlinien können Sie viele Sammlungen in großem Umfang verwalten. Dazu weisen Sie neu erstellten Sammlungen, die einem bestimmten Namen oder Muster entsprechen, automatisch einen Verschlüsselungsschlüssel zu.
Wenn Sie eine Verschlüsselungsrichtlinie erstellen, können Sie entweder ein *Präfix* angeben, bei dem es sich um eine auf Platzhaltern basierende Abgleichregel wie `MyCollection*` handelt, oder einen einzelnen Sammlungsnamen eingeben. Wenn Sie dann eine Sammlung erstellen, die mit diesem Namen oder Präfixmuster übereinstimmt, werden ihr automatisch die Richtlinie und der entsprechende KMS-Schlüssel zugewiesen.
Beim Erstellen einer Sammlung können Sie einen AWS KMS Schlüssel auf zwei Arten angeben: über Sicherheitsrichtlinien oder direkt in der `CreateCollection` Anfrage. Wenn Sie im Rahmen der `CreateCollection` Anfrage einen AWS KMS Schlüssel angeben, hat dieser Vorrang vor allen entsprechenden Sicherheitsrichtlinien. Mit diesem Ansatz haben Sie die Flexibilität, richtlinienbasierte Verschlüsselungseinstellungen für bestimmte Sammlungen bei Bedarf außer Kraft zu setzen.
![\[Encryption policy creation process with rules and collection matching to KMS key.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-encryption.png)
Verschlüsselungsrichtlinien unterstützen die folgenden Elemente:
+ `Rules` – eine oder mehrere Regeln für den Sammlungsabgleich, jeweils mit den folgenden Unterelementen:
+ `ResourceType` – Derzeit ist die einzige Option „Sammlung“. Verschlüsselungsrichtlinien gelten nur für Sammlungsressourcen.
+ `Resource` – Ein oder mehrere Sammlungsnamen oder Muster, auf die die Richtlinie angewendet wird, im Format `collection/`.
+ `AWSOwnedKey` – Ob ein AWS-eigener Schlüssel verwendet werden soll.
+ `KmsARN` – Wenn Sie `AWSOwnedKey` auf „falsch“ festlegen, geben Sie den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels an, mit dem die zugehörigen Sammlungen verschlüsselt werden sollen. Wenn Sie diesen Parameter angeben, ignoriert OpenSearch Serverless den Parameter. `AWSOwnedKey`
Die folgende Beispielrichtlinie weist jeder zukünftigen Sammlung mit dem Namen `autopartsinventory` sowie Sammlungen, die mit dem Begriff „Vertrieb“ beginnen, einen vom Kunden verwalteten Schlüssel zu:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Selbst wenn eine Richtlinie mit einem Sammlungsnamen übereinstimmt, können Sie diese automatische Zuweisung während der Sammlungserstellung außer Kraft setzen, wenn das Ressourcenmuster einen Platzhalter (\$1) enthält. Wenn Sie die automatische Schlüsselzuweisung außer Kraft setzen möchten, erstellt OpenSearch Serverless für Sie eine Verschlüsselungsrichtlinie mit dem Namen **auto-< *collection-name* >** und fügt sie der Sammlung hinzu. Die Richtlinie gilt zunächst nur für eine einzelne Sammlung, Sie können sie jedoch ändern, um weitere Sammlungen einzubeziehen.
Wenn Sie Richtlinienregeln so ändern, dass sie nicht mehr mit einer Sammlung übereinstimmen, wird die Zuweisung des zugeordneten KMS-Schlüssels zu dieser Sammlung nicht aufgehoben. Die Sammlung bleibt immer mit ihrem ursprünglichen Verschlüsselungsschlüssel verschlüsselt. Wenn Sie den Verschlüsselungsschlüssel für eine Sammlung ändern möchten, müssen Sie die Sammlung neu erstellen.
Wenn Regeln aus mehreren Richtlinien mit einer Sammlung übereinstimmen, wird die spezifischere Regel verwendet. Wenn beispielsweise eine Richtlinie eine Regel für `collection/log*` und eine andere für `collection/logSpecial` enthält, wird der Verschlüsselungsschlüssel für die zweite Richtlinie verwendet, da dieser spezifischer ist.
Sie können in einer Richtlinie keinen Namen oder ein Präfix verwenden, wenn es bereits in einer anderen Richtlinie vorhanden ist. OpenSearch Serverless zeigt einen Fehler an, wenn Sie versuchen, identische Ressourcenmuster in verschiedenen Verschlüsselungsrichtlinien zu konfigurieren.
### Überlegungen
Berücksichtigen Sie Folgendes, wenn Sie die Verschlüsselung für Ihre Sammlungen konfigurieren:
+ Die Verschlüsselung im Ruhezustand ist für alle Serverless-Sammlungen *erforderlich*.
+ Sie haben die Möglichkeit, einen vom Kunden verwalteten Schlüssel oder ein AWS-eigener Schlüssel zu verwenden. Wenn Sie sich für einen vom Kunden verwalteten Schlüssel entscheiden, empfehlen wir Ihnen, die [automatische Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) zu aktivieren.
+ Sie können den Verschlüsselungsschlüssel für eine Sammlung nicht ändern, nachdem die Sammlung erstellt wurde. Wählen Sie sorgfältig aus, welche Sie verwenden AWS KMS möchten, wenn Sie zum ersten Mal eine Sammlung einrichten.
+ Eine Sammlung kann nur mit einer einzigen Verschlüsselungsrichtlinie übereinstimmen.
+ Sammlungen mit eindeutigen KMS-Schlüsseln können OpenSearch Recheneinheiten (OCUs) nicht mit anderen Sammlungen gemeinsam nutzen. Jede Sammlung mit einem eindeutigen Schlüssel benötigt ihre eigenen OCUs 4.
+ Wenn Sie den KMS-Schlüssel in einer Verschlüsselungsrichtlinie aktualisieren, hat die Änderung keine Auswirkungen auf bestehende übereinstimmende Sammlungen mit bereits zugewiesenen KMS-Schlüsseln.
+ OpenSearch Serverless überprüft die Benutzerberechtigungen für vom Kunden verwaltete Schlüssel nicht explizit. Wenn ein Benutzer über die Berechtigung verfügt, über eine Datenzugriffsrichtlinie auf eine Sammlung zuzugreifen, kann er die mit dem zugehörigen Schlüssel verschlüsselten Daten aufnehmen und abfragen.
### Erforderliche Berechtigungen
Die Verschlüsselung im Ruhezustand für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.
+ `aoss:CreateSecurityPolicy` – Erstellt eine Verschlüsselungsrichtlinie.
+ `aoss:ListSecurityPolicies` – Listet alle Verschlüsselungsrichtlinien und Sammlungen auf, denen diese angefügt sind.
+ `aoss:GetSecurityPolicy` – Zeigt Details zu einer bestimmten Verschlüsselungsrichtlinie an.
+ `aoss:UpdateSecurityPolicy` – Erstellt eine Verschlüsselungsrichtlinie.
+ `aoss:DeleteSecurityPolicy` – Löscht eine Verschlüsselungsrichtlinie.
Das folgende Beispiel für eine identitätsbasierte Zugriffsrichtlinie stellt die Mindestberechtigungen bereit, die ein Benutzer zum Verwalten von Verschlüsselungsrichtlinien mit dem Ressourcenmuster `collection/application-logs` benötigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"aoss:CreateSecurityPolicy",
"aoss:UpdateSecurityPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aoss:collection":"application-logs"
}
}
},
{
"Effect":"Allow",
"Action":[
"aoss:ListSecurityPolicies"
],
"Resource":"*"
}
]
}
```
------
### Schlüsselrichtlinie für einen kundenseitig verwalteten Schlüssel
Wenn Sie einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) zum Schutz einer Sammlung auswählen, erhält OpenSearch Serverless die Erlaubnis, den KMS-Schlüssel im Namen des Prinzipals zu verwenden, der die Auswahl trifft. Dieser Prinzipal, ein Benutzer oder eine Rolle, muss über die für OpenSearch Serverless erforderlichen Berechtigungen für den KMS-Schlüssel verfügen. Sie können diese Berechtigungen in einer [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) oder einer [IAM-Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) bereitstellen.
OpenSearch Serverless führt während Wartungsvorgängen wie Autoscaling `GenerateDataKey` und Softwareupdates `Decrypt` KMS-API-Aufrufe durch und ruft diese auf. Möglicherweise beobachten Sie diese Aufrufe außerhalb Ihrer typischen Datenverkehrsmuster. Diese Anrufe sind Teil des normalen Dienstbetriebs und weisen nicht auf aktiven Benutzerverkehr hin.
OpenSearch Serverless löst eine aus, `KMSKeyInaccessibleException` wenn es nicht auf den KMS-Schlüssel zugreifen kann, der Ihre Daten im Ruhezustand verschlüsselt. Dies passiert, wenn Sie den KMS-Schlüssel deaktivieren oder löschen oder die Genehmigungen widerrufen, die OpenSearch Serverless die Verwendung des Schlüssels gestatten.
OpenSearch Serverless benötigt mindestens die folgenden Berechtigungen für einen vom Kunden verwalteten Schlüssel:
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
Beispiel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
}
}
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
OpenSearch Serverless erstellt einen Grant mit den Berechtigungen [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) und [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
Weitere Informationen finden Sie unter [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch für AWS Key Management Service *.
### So verwendet Serverless Grants in OpenSearch AWS KMS
OpenSearch Für Serverless ist ein [Zuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) erforderlich, um einen vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie in Ihrem Konto eine Verschlüsselungsrichtlinie mit einem neuen Schlüssel erstellen, erstellt OpenSearch Serverless in Ihrem Namen einen Zuschuss, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet. AWS KMS Grants in AWS KMS werden verwendet, um OpenSearch serverlosen Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.
OpenSearch Serverless setzt voraus, dass der Zuschuss Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen verwenden kann:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen an, AWS KMS um zu überprüfen, ob die angegebene symmetrische, vom Kunden verwaltete Schlüssel-ID gültig ist.
+ Senden Sie [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfragen an den KMS-Schlüssel, um Datenschlüssel zu erstellen, mit denen Objekte verschlüsselt werden können.
+ Senden Sie [Entschlüsselungsanforderungen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zum Verschlüsseln Ihrer Daten verwendet werden können.
Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann OpenSearch Serverless auf keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen. Dies wirkt sich auf alle Vorgänge aus, die von diesen Daten abhängig sind, was zu `AccessDeniedException` Fehlern und Ausfällen in den asynchronen Workflows führt.
OpenSearch Serverless zieht Zuschüsse in einem asynchronen Workflow zurück, wenn ein bestimmter vom Kunden verwalteter Schlüssel keinen Sicherheitsrichtlinien oder Sammlungen zugeordnet ist.
### Erstellen von Verschlüsselungsrichtlinien (Konsole)
In einer Verschlüsselungsrichtlinie geben Sie einen KMS-Schlüssel und eine Reihe von Erfassungsmustern an, auf die die Richtlinie angewendet wird. Allen neuen Sammlungen, die mit einem der in der Richtlinie definierten Muster übereinstimmen, wird beim Erstellen der Sammlung der entsprechende KMS-Schlüssel zugewiesen. Wir empfehlen Ihnen, Verschlüsselungsrichtlinien zu erstellen, *bevor* Sie mit dem Erstellen von Sammlungen beginnen.
**Um eine Richtlinie für serverlose Verschlüsselung zu erstellen OpenSearch**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Encryption policies** (Verschlüsselungsrichtlinien) aus.
1. Wählen Sie **Create encryption policy** (Verschlüsselungsrichtlinie erstellen).
1. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an.
1. Geben Sie unter **Resources** (Ressourcen) ein oder mehrere Ressourcenmuster für diese Verschlüsselungsrichtlinie ein. Alle neu erstellten Sammlungen im aktuellen AWS-Konto und in der aktuellen Region, die mit einem der Muster übereinstimmen, werden dieser Richtlinie automatisch zugewiesen. Wenn Sie beispielsweise `ApplicationLogs` (ohne Platzhalter) eingeben und später eine Sammlung mit diesem Namen erstellen, werden die Richtlinie und der entsprechende KMS-Schlüssel dieser Sammlung zugewiesen.
Sie können auch ein Präfix wie `Logs*` angeben, das die Richtlinie allen neuen Sammlungen zuweist, deren Namen mit `Logs` beginnen. Durch die Verwendung von Platzhaltern können Sie die Verschlüsselungseinstellungen für mehrere Sammlungen in großem Umfang verwalten.
1. Wählen Sie unter **Encryption** (Verschlüsselung) einen zu verwendenden KMS-Schlüssel aus.
1. Wählen Sie **Erstellen** aus.
#### Nächster Schritt: Erstellen von Sammlungen
Nachdem Sie eine oder mehrere Verschlüsselungsrichtlinien konfiguriert haben, können Sie mit der Erstellung von Sammlungen beginnen, die den in diesen Richtlinien definierten Regeln entsprechen. Detaillierte Anweisungen finden Sie unter [Erstellen von Sammlungen](serverless-create.md).
Im Schritt **Verschlüsselungen** bei der Erstellung der Sammlung informiert Sie OpenSearch Serverless darüber, dass der von Ihnen eingegebene Name dem in einer Verschlüsselungsrichtlinie definierten Muster entspricht, und weist der Sammlung automatisch den entsprechenden KMS-Schlüssel zu. Wenn das Ressourcenmuster einen Platzhalter (\$1) enthält, können Sie die Übereinstimmung überschreiben und Ihren eigenen Schlüssel auswählen.
### Erstellen von Verschlüsselungsrichtlinien (AWS CLI)
Um mithilfe der OpenSearch serverlosen API-Operationen eine Verschlüsselungsrichtlinie zu erstellen, geben Sie Ressourcenmuster und einen Verschlüsselungsschlüssel im JSON-Format an. Die [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Anfrage akzeptiert sowohl Inline-Richtlinien als auch JSON-Dateien.
Verschlüsselungsrichtlinien haben folgendes Format. Diese Beispieldatei `my-policy.json` stimmt mit jeder zukünftigen Sammlung mit dem Namen `autopartsinventory` überein, ebenso wie mit allen Sammlungen, deren Namen mit `sales` beginnen.
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Um einen Service-eigenen Schlüssel zu verwenden, legen Sie `AWSOwnedKey` auf `true` fest:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":true
}
```
Die folgende Anfrage erstellt die Verschlüsselungsrichtlinie:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type encryption \
--policy file://my-policy.json
```
Verwenden Sie dann den [CreateCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollection.html)API-Vorgang, um eine oder mehrere Sammlungen zu erstellen, die einem der Ressourcenmuster entsprechen.
### Anzeigen von Verschlüsselungsrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Verschlüsselungsrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. In der folgenden [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Anfrage werden alle Verschlüsselungsrichtlinien in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-security-policies --type encryption
```
Die Anfrage gibt Informationen über alle konfigurierten Verschlüsselungsrichtlinien zurück. Verwenden Sie den Inhalt des `policy`-Elements, um die Musterregeln anzuzeigen, die in der Richtlinie definiert sind:
```
{
"securityPolicyDetails": [
{
"createdDate": 1663693217826,
"description": "Sample encryption policy",
"lastModifiedDate": 1663693217826,
"name": "my-policy",
"policy": "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"]}],\"AWSOwnedKey\":true}",
"policyVersion": "MTY2MzY5MzIxNzgyNl8x",
"type": "encryption"
}
]
}
```
Verwenden Sie den [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Befehl, um detaillierte Informationen zu einer bestimmten Richtlinie, einschließlich des KMS-Schlüssels, anzuzeigen.
### Aktualisieren von Verschlüsselungsrichtlinien
Wenn Sie den KMS-Schlüssel in einer Verschlüsselungsrichtlinie aktualisieren, gilt die Änderung nur für neu erstellte Sammlungen, die mit dem konfigurierten Namen oder Muster übereinstimmen. Bestehende Sammlungen, denen bereits KMS-Schlüssel zugewiesen sind, sind davon nicht betroffen.
Dasselbe gilt für Regeln zum Richtlinienabgleich. Wenn Sie eine Regel hinzufügen, ändern oder löschen, gilt die Änderung nur für neu erstellte Sammlungen. Vorhandene Sammlungen verlieren ihren zugewiesenen KMS-Schlüssel nicht, wenn Sie die Regeln einer Richtlinie so ändern, dass sie nicht mehr mit dem Namen einer Sammlung übereinstimmen.
Um eine Verschlüsselungsrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **Verschlüsselungsrichtlinien**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Verwenden Sie den Vorgang, um eine Verschlüsselungsrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Die folgende Anfrage aktualisiert eine Verschlüsselungsrichtlinie mit einem neuen Richtlinien-JSON-Dokument:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type encryption \
--policy-version 2 \
--policy file://my-new-policy.json
```
### Aktualisieren von Verschlüsselungsrichtlinien
Wenn Sie eine Verschlüsselungsrichtlinie löschen, sind alle Sammlungen, die derzeit den in der Richtlinie definierten KMS-Schlüssel verwenden, nicht betroffen. **Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf Löschen.**
Sie können auch den [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)Vorgang verwenden:
```
aws opensearchserverless delete-security-policy --name my-policy --type encryption
```
## Verschlüsselung während der Übertragung
In OpenSearch Serverless werden alle Pfade in einer Sammlung während der Übertragung mithilfe von Transport Layer Security 1.2 (TLS) mit einer dem Industriestandard entsprechenden AES-256-Verschlüsselung verschlüsselt. Der Zugriff auf alle Dashboards APIs und Dashboards für Opensearch erfolgt ebenfalls über TLS 1.2. TLS ist eine Reihe von branchenüblichen kryptografischen Protokollen, die zur Verschlüsselung von Informationen verwendet werden, die über das Netzwerk ausgetauscht werden.
# Netzwerkzugriff für Amazon OpenSearch Serverless
Die Netzwerkeinstellungen für eine Amazon OpenSearch Serverless-Sammlung bestimmen, ob auf die Sammlung über das Internet von öffentlichen Netzwerken aus zugegriffen werden kann oder ob privat darauf zugegriffen werden muss.
Der private Zugriff kann für eine oder beide der folgenden Bedingungen gelten:
+ OpenSearch Serverlos verwaltete VPC-Endpunkte
+ Unterstützt AWS-Services wie Amazon Bedrock
Sie können den Netzwerkzugriff für den Endpunkt einer Sammlung und den entsprechenden *OpenSearchOpenSearch **Dashboard-Endpunkt* separat konfigurieren.
Der Netzwerkzugriff ist der Isolationsmechanismus, mit dem Sie den Zugriff aus verschiedenen Quellnetzwerken ermöglichen können. Wenn beispielsweise der OpenSearch Dashboard-Endpunkt einer Sammlung öffentlich zugänglich ist, der OpenSearch API-Endpunkt jedoch nicht, kann ein Benutzer nur über Dashboards auf die Sammlungsdaten zugreifen, wenn er von einem öffentlichen Netzwerk aus eine Verbindung herstellt. Wenn sie versuchen, sie OpenSearch APIs direkt von einem öffentlichen Netzwerk aus anzurufen, werden sie blockiert. Die Netzwerkeinstellungen können für solche Permutationen von Quelle zu Ressource-Typ verwendet werden. Amazon OpenSearch Serverless unterstützt sowohl IPv6 Konnektivität als IPv4 auch.
**Topics**
+ [Netzwerkrichtlinien](#serverless-network-policies)
+ [Überlegungen](#serverless-network-considerations)
+ [Für die Konfiguration von Netzwerkrichtlinien sind Berechtigungen erforderlich](#serverless-network-permissions)
+ [Vorrang der Richtlinie](#serverless-network-precedence)
+ [Erstellen von Netzwerkrichtlinien (Konsole)](#serverless-network-console)
+ [Erstellen von Netzwerkrichtlinien (AWS CLI)](#serverless-network-cli)
+ [Anzeigen von Netzwerkrichtlinien](#serverless-network-list)
+ [Aktualisieren von Netzwerkrichtlinien](#serverless-network-update)
+ [Löschen von Netzwerkrichtlinien](#serverless-network-delete)
## Netzwerkrichtlinien
Mit Netzwerkrichtlinien können Sie viele Sammlungen in großem Umfang verwalten, indem Sie Sammlungen, die den in der Richtlinie definierten Regeln entsprechen, automatisch Netzwerkzugriffseinstellungen zuweisen.
In einer Netzwerkrichtlinie legen Sie eine Reihe von *Regeln* fest. Diese Regeln definieren Zugriffsberechtigungen für Sammelendpunkte und OpenSearch Dashboard-Endpunkte. Jede Regel besteht aus einem Zugriffstyp (öffentlich oder privat) und einem Ressourcentyp (Sammlungs- und/oder OpenSearch Dashboard-Endpunkt). Für jeden Ressourcentyp (`collection` and `dashboard`) legen Sie eine Reihe von Regeln fest, die definieren, für welche Sammlungen die Richtlinie gilt.
In dieser Beispielrichtlinie spezifiziert die erste Regel den VPC-Endpunktzugriff sowohl auf den Sammlungsendpunkt als auch auf den Dashboards-Endpunkt für alle Sammlungen, die mit dem Begriff beginnen. `marketing*` Es spezifiziert auch den Zugriff auf Amazon Bedrock.
**Anmerkung**
Der private Zugriff auf AWS-Services z. B. Amazon Bedrock gilt *nur* für den Endpunkt der Sammlung, nicht für den OpenSearch Endpunkt der OpenSearch Dashboards. Selbst wenn dies der Fall `ResourceType` ist`dashboard`, AWS-Services kann kein Zugriff auf Dashboards gewährt werden. OpenSearch
Die zweite Regel legt den öffentlichen Zugriff auf die `finance`-Sammlung fest, jedoch nur für den Sammlungsendpunkt (kein Zugriff auf Dashboards).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Diese Richtlinie gewährt der Öffentlichkeit nur Zugriff auf OpenSearch Dashboards für Sammlungen, die mit „Finanzen“ beginnen. Alle Versuche, direkt auf die OpenSearch API zuzugreifen, schlagen fehl.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Netzwerkrichtlinien können sowohl für bestehende Sammlungen als auch für zukünftige Sammlungen gelten. Sie können beispielsweise eine Sammlung erstellen und dann eine Netzwerkrichtlinie mit einer Regel erstellen, die dem Sammlungsnamen entspricht. Vor dem Erstellen von Sammlungen müssen Sie keine Netzwerkrichtlinien erstellen.
## Überlegungen
Berücksichtigen Sie Folgendes, wenn Sie den Netzwerkzugriff für Ihre Sammlungen konfigurieren:
+ Wenn Sie den VPC-Endpunktzugriff für eine Sammlung konfigurieren möchten, müssen Sie zunächst mindestens einen [OpenSearch serverlos verwalteten VPC-Endpunkt erstellen.](serverless-vpc.md)
+ Der private Zugriff auf gilt AWS-Services nur für den Endpunkt der Sammlung, nicht für den OpenSearch Dashboard-Endpunkt. OpenSearch Selbst wenn dies der Fall `ResourceType` ist`dashboard`, AWS-Services kann kein Zugriff auf OpenSearch Dashboards gewährt werden.
+ Wenn eine Sammlung von öffentlichen Netzwerken aus zugänglich ist, ist sie auch von allen OpenSearch serverlos verwalteten VPC-Endpunkten und allen zugänglich. AWS-Services
+ Für eine einzelne Sammlung können mehrere Netzwerkrichtlinien gelten. Weitere Informationen finden Sie unter [Vorrang der Richtlinie](#serverless-network-precedence).
## Für die Konfiguration von Netzwerkrichtlinien sind Berechtigungen erforderlich
Der Netzwerkzugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf Netzwerkrichtlinien zu beschränken, die bestimmten Sammlungen zugeordnet sind.
+ `aoss:CreateSecurityPolicy` – Erstellt eine Netzwerkzugriffsrichtlinie.
+ `aoss:ListSecurityPolicies` – Listet alle Netzwerkrichtlinien im aktuellen Konto auf.
+ `aoss:GetSecurityPolicy` – Zeigt die Spezifikation einer Netzwerkzugriffsrichtlinie an.
+ `aoss:UpdateSecurityPolicy` – Ändert eine bestimmte Netzwerkzugriffsrichtlinie und ändert die VPC-ID oder die Bezeichnung für den öffentlichen Zugriff.
+ `aoss:DeleteSecurityPolicy` – Löscht eine Netzwerkzugriffsrichtlinie (nachdem sie von allen Sammlungen getrennt wurde).
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Netzwerkrichtlinien anzuzeigen und Richtlinien mit dem Ressourcenmuster `collection/application-logs` zu aktualisieren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Darüber hinaus benötigt OpenSearch Serverless die `aoss:DashboardsAccessAll` Berechtigungen `aoss:APIAccessAll` und für die Erfassung von Ressourcen. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Vorrang der Richtlinie
Es kann Situationen geben, in denen sich Netzwerkrichtlinienregeln innerhalb oder zwischen Richtlinien überschneiden. In diesem Fall überschreibt eine Regel, die den öffentlichen Zugriff festlegt, eine Regel, die privaten Zugriff für alle Sammlungen festlegt, die *beiden* Regeln gemeinsam sind.
In der folgenden Richtlinie weisen beispielsweise beide Regeln der `finance`-Sammlung Netzwerkzugriff zu, aber eine Regel legt den VPC-Zugriff fest, während die andere den öffentlichen Zugriff festlegt. In dieser Situation überschreibt der öffentliche Zugriff den VPC-Zugriff *nur für die Finanzsammlung* (weil er in beiden Regeln vorhanden ist), sodass die Finanzsammlung über öffentliche Netzwerke zugänglich ist. Die Verkaufssammlung verfügt über VPC-Zugriff vom angegebenen Endpunkt aus.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Wenn mehrere VPC-Endpunkte aus unterschiedlichen Regeln auf eine Sammlung zutreffen, sind die Regeln additiv und die Sammlung ist von allen angegebenen Endpunkten aus zugänglich. Wenn Sie `AllowFromPublic` auf oder festlegen, `true` aber auch eines `SourceVPCEs` oder mehrere angeben`SourceServices`, ignoriert OpenSearch Serverless die VPC-Endpunkte und Dienstkennungen, sodass die zugehörigen Sammlungen öffentlich zugänglich sind.
## Erstellen von Netzwerkrichtlinien (Konsole)
Netzwerkrichtlinien können sowohl für bestehende Sammlungen als auch für zukünftige Sammlungen gelten. Wir empfehlen, dass Sie Netzwerkrichtlinien erstellen, bevor Sie mit dem Erstellen von Sammlungen beginnen.
**Um eine serverlose Netzwerkrichtlinie zu erstellen OpenSearch**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **Network policies** (Netzwerkrichtlinien) aus.
1. Wählen Sie **Create network policy** (Netzwerkrichtlinie erstellen) aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sammlung an.
1. Geben Sie eine oder mehrere *Regeln* an. Diese Regeln definieren die Zugriffsberechtigungen für Ihre OpenSearch serverlosen Sammlungen und deren OpenSearch Dashboard-Endpunkte.
Jede Regel enthält die folgenden Elemente:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-network.html)
Für jeden ausgewählten Ressourcentyp können Sie vorhandene Sammlungen auswählen, auf die Sie die Richtlinieneinstellungen anwenden möchten, und ein oder mehrere Ressourcenmuster and/or erstellen. Ressourcenmuster bestehen aus einem Präfix und einem Platzhalter (\$1) und definieren, für welche Sammlungen die Richtlinieneinstellungen gelten.
Wenn Sie beispielsweise ein Muster mit dem Namen `Marketing*` einfügen, werden auf alle neuen oder vorhandenen Sammlungen, deren Namen mit „Marketing“ beginnen, automatisch die Netzwerkeinstellungen in dieser Richtlinie angewendet. Ein einzelner Platzhalter (`*`) wendet die Richtlinie auf alle aktuellen und zukünftigen Sammlungen an.
Darüber hinaus können Sie den Namen einer *future* Sammlung ohne Platzhalter angeben, z. B. `Finance` OpenSearch Serverless wendet die Richtlinieneinstellungen auf jede neu erstellte Sammlung mit genau diesem Namen an.
1. Wenn Sie mit der Konfiguration Ihrer Richtlinie zufrieden sind, wählen Sie **Create** (Erstellen).
## Erstellen von Netzwerkrichtlinien (AWS CLI)
Um mithilfe der OpenSearch serverlosen API-Operationen eine Netzwerkrichtlinie zu erstellen, geben Sie Regeln im JSON-Format an. Die [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)Anfrage akzeptiert sowohl Inline-Richtlinien als auch JSON-Dateien. Alle Sammlungen und Muster müssen das Format `collection/` aufweisen.
**Anmerkung**
Der Ressourcentyp erlaubt `dashboards` nur Zugriff auf OpenSearch Dashboards. Damit OpenSearch Dashboards funktionieren, müssen Sie jedoch auch den Zugriff auf Sammlungen aus denselben Quellen zulassen. Ein Beispiel finden Sie in der zweiten Richtlinie unten.
Um den privaten Zugriff festzulegen, fügen Sie eines oder beide der folgenden Elemente hinzu:
+ `SourceVPCEs`— Geben Sie einen oder mehrere OpenSearch serverlos verwaltete VPC-Endpunkte an.
+ `SourceServices`— Geben Sie die Kennung eines oder mehrerer unterstützter Geräte an. AWS-Services Derzeit werden die folgenden Dienstkennungen unterstützt:
+ `bedrock.amazonaws.com`— Amazonas-Grundgestein
Die folgende Beispielnetzwerkrichtlinie bietet privaten Zugriff auf einen VPC-Endpunkt und Amazon Bedrock auf Sammlungsendpunkte nur für Sammlungen, die mit dem Präfix beginnen. `log*` Authentifizierte Benutzer können sich nicht bei OpenSearch Dashboards anmelden. Sie können nur programmgesteuert auf den Sammlungsendpunkt zugreifen.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
Die folgende Richtlinie gewährt öffentlichen Zugriff auf den OpenSearch Endpunkt *und* die OpenSearch Dashboards für eine einzelne Sammlung mit dem Namen. `finance` Wenn die Sammlung nicht vorhanden ist, werden die Netzwerkeinstellungen auf die Sammlung angewendet, wenn und sobald sie erstellt wird.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Die folgende Anfrage erstellt die oben genannte Netzwerkrichtlinie:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Verwenden Sie das Format `--policy file://my-policy.json` die Richtlinie in einer JSON-Datei bereitzustellen
## Anzeigen von Netzwerkrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Netzwerkrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. Die folgende [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)Anfrage listet alle Netzwerkrichtlinien in Ihrem Konto auf:
```
aws opensearchserverless list-security-policies --type network
```
Die Anfrage gibt Informationen zu allen konfigurierten Netzwerkrichtlinien zurück. Um die in einer bestimmten Richtlinie definierten Musterregeln einzusehen, suchen Sie die Richtlinieninformationen im Inhalt des `securityPolicySummaries` Elements in der Antwort. Notieren Sie sich das `name` Ende `type` dieser Richtlinie und verwenden Sie diese Eigenschaften in einer [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Anfrage, um eine Antwort mit den folgenden Richtliniendetails zu erhalten:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Verwenden Sie den [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)Befehl, um detaillierte Informationen zu einer bestimmten Richtlinie anzuzeigen.
## Aktualisieren von Netzwerkrichtlinien
Wenn Sie die VPC-Endpunkte oder die Bezeichnung des öffentlichen Zugriffs für ein Netzwerk ändern, sind alle zugehörigen Sammlungen betroffen. Um eine Netzwerkrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, erweitern Sie **Netzwerkrichtlinien**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Verwenden Sie den Befehl, um eine Netzwerkrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren. [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html) Sie müssen eine Richtlinienversion in die Anfrage aufnehmen. Sie können die Richtlinienversion mithilfe der `ListSecurityPolicies`- oder `GetSecurityPolicy`-Befehle abrufen. Durch die Angabe der neuesten Richtlinienversion wird sichergestellt, dass Sie nicht versehentlich eine von einem anderen Benutzer vorgenommene Änderung überschreiben.
Die folgende Anfrage aktualisiert eine Netzwerkrichtlinie mit einem neuen JSON-Richtliniendokument:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Löschen von Netzwerkrichtlinien
Bevor Sie eine Netzwerkrichtlinie löschen können, müssen Sie sie von allen Sammlungen trennen. **Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf Löschen.**
Sie können auch den [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)folgenden Befehl verwenden:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```
# FIPS-Konformität bei Amazon Serverless OpenSearch
Amazon OpenSearch Serverless unterstützt die Federal Information Processing Standards (FIPS) 140-2, einen Standard der US-amerikanischen und kanadischen Regierung, der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Wenn Sie mit OpenSearch Serverless eine Verbindung zu FIPS-fähigen Endpunkten herstellen, werden kryptografische Operationen mithilfe von FIPS-validierten kryptografischen Bibliotheken ausgeführt.
OpenSearch Serverlose FIPS-Endpunkte sind dort verfügbar, wo FIPS unterstützt wird. AWS-Regionen Diese Endpunkte verwenden TLS 1.2 oder höher und FIPS-validierte kryptografische Algorithmen für die gesamte Kommunikation. *Weitere Informationen finden Sie unter [FIPS-Konformität](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) im Verified Access-Benutzerhandbuch.AWS *
**Topics**
+ [Verwenden von FIPS-Endpunkten mit Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Verwenden Sie FIPS-Endpunkte mit AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Sicherheitsgruppen für VPC-Endpoints konfigurieren](#configuring-security-groups-vpc-endpoints)
+ [Verwenden Sie den FIPS VPC-Endpunkt](#using-fips-vpc-endpoint)
+ [Überprüfen Sie die FIPS-Konformität](#verifying-fips-compliance)
+ [Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen](serverless-fips-endpoint-issues.md)
## Verwenden von FIPS-Endpunkten mit Serverless OpenSearch
AWS-Regionen Dort, wo FIPS unterstützt wird, sind OpenSearch serverlose Sammlungen sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich. *Weitere Informationen finden Sie unter [FIPS-Konformität](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) im Benutzerhandbuch für verifizierten Zugriff.AWS *
Ersetzen Sie in den folgenden Beispielen *collection\$1id* und *AWS-Region* durch Ihre Sammlungs-ID und deren AWS-Region.
+ **Standardendpunkt** —**https://*collection\$1id*.*AWS-Region*.aoss.amazonaws.com**.
+ **FIPS-konformer** Endpunkt —. **https://*collection\$1id*.*AWS-Region*.aoss-fips.amazonaws.com**
In ähnlicher Weise sind OpenSearch Dashboards sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich:
+ **Standard-Dashboard-Endpunkt —.** **https://*collection\$1id*.*AWS-Region*.aoss.amazonaws.com/\$1dashboards**
+ Endpunkt für **FIPS-konforme Dashboards** —. **https://*collection\$1id*.*AWS-Region*.aoss-fips.amazonaws.com/\$1dashboards**
**Anmerkung**
In FIPS-fähigen Regionen bieten sowohl Standard- als auch FIPS-konforme Endpunkte FIPS-konforme Kryptografie. **Die FIPS-spezifischen Endpunkte helfen Ihnen dabei, Compliance-Anforderungen zu erfüllen, die ausdrücklich die Verwendung von Endpunkten mit FIPS im Namen vorschreiben.**
## Verwenden Sie FIPS-Endpunkte mit AWS SDKs
Bei der Verwendung AWS SDKs können Sie den FIPS-Endpunkt bei der Erstellung des Clients angeben. Ersetzen Sie im folgenden Beispiel *collection\$1id* und *AWS-Region* durch Ihre Sammlungs-ID und deren AWS-Region.
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS-Region.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Sicherheitsgruppen für VPC-Endpoints konfigurieren
Um eine ordnungsgemäße Kommunikation mit Ihrem FIPS-konformen Amazon VPC (VPC) -Endpunkt sicherzustellen, erstellen oder ändern Sie eine Sicherheitsgruppe, um eingehenden HTTPS-Verkehr (TCP-Port 443) von den Ressourcen in Ihrer VPC zuzulassen, die auf Serverless zugreifen müssen. OpenSearch Ordnen Sie diese Sicherheitsgruppe dann während der Erstellung oder indem Sie den Endpunkt nach der Erstellung ändern, VPC VPC-Endpunkt zu. Weitere Informationen finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) im *Amazon-VPC-Benutzerhandbuch*.
## Verwenden Sie den FIPS VPC-Endpunkt
Nachdem Sie den FIPS-kompatiblen VPC-Endpunkt erstellt haben, können Sie ihn verwenden, um von Ressourcen innerhalb Ihrer VPC aus auf OpenSearch Serverless zuzugreifen. Um den Endpunkt für API-Operationen zu verwenden, konfigurieren Sie Ihr SDK so, dass es den regionalen FIPS-Endpunkt verwendet, wie im Abschnitt beschrieben. [Verwenden von FIPS-Endpunkten mit Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless) Verwenden Sie für den Zugriff auf OpenSearch Dashboards die sammlungsspezifische Dashboard-URL, die automatisch über den FIPS-konformen VPC-Endpunkt weitergeleitet wird, wenn von Ihrer VPC aus darauf zugegriffen wird. Weitere Informationen finden Sie unter [Verwenden von OpenSearch Dashboards mit Amazon Service OpenSearch](dashboards.md).
## Überprüfen Sie die FIPS-Konformität
Um zu überprüfen, ob Ihre Verbindungen zu OpenSearch Serverless FIPS-konforme Kryptografie verwenden, verwenden Sie diese Option AWS CloudTrail zur Überwachung von API-Aufrufen an Serverless. OpenSearch Vergewissern Sie sich, dass das `eventSource` Feld in CloudTrail den Protokollen für API-Aufrufe angezeigt wird. `aoss-fips.amazonaws.com`
Für den Zugriff auf OpenSearch Dashboards können Sie Browser-Entwicklertools verwenden, um die TLS-Verbindungsdetails zu überprüfen und sicherzustellen, dass FIPS-konforme Cipher Suites verwendet werden.
# Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen
FIPS-Endpunkte funktionieren mit Amazon OpenSearch Serverless-Sammlungen, die öffentlich zugänglich sind. Für neu erstellte VPC-Sammlungen, die neu erstellte VPC-Endpunkte verwenden, funktionieren FIPS-Endpunkte wie erwartet. Für andere VPC-Sammlungen müssen Sie möglicherweise eine manuelle Einrichtung durchführen, um sicherzustellen, dass die FIPS-Endpunkte ordnungsgemäß funktionieren.
**So konfigurieren Sie private, gehostete FIPS-Zonen in Amazon Route 53**
1. Öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Überprüfen Sie Ihre gehosteten Zonen:
1. Suchen Sie die Hosting-Zonen für die Bereiche, in denen sich AWS-Regionen Ihre Sammlungen befinden.
1. Überprüfen Sie die Benennungsmuster für gehostete Zonen:
+ Nicht-FIPS-Format:. `region.aoss.amazonaws.com`
+ FIPS-Format:. `region.aoss-fips.amazonaws.com`
1. Vergewissern Sie sich, dass der **Typ** für alle Ihre gehosteten Zonen auf **Private gehostete Zone** eingestellt ist.
1. Wenn die private gehostete FIPS-Zone fehlt:
1. Wählen Sie die entsprechende private gehostete Nicht-FIPS-Zone aus.
1. Kopieren Sie die **zugehörigen Informationen VPCs**. Beispiel: `vpc-1234567890abcdef0 | us-east-2`.
1. Suchen Sie den Wildcard-Domaineintrag. Beispiel: `*.us-east-2.aoss.amazonaws.com`.
1. Kopieren Sie den **Value/Route-Verkehr** in die Information. Zum Beispiel:. `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`
1. Erstellen Sie die private gehostete FIPS-Zone:
1. Erstellen Sie eine neue private gehostete Zone im FIPS-Format. Beispiel: `us-east-2.aoss-fips.amazonaws.com`.
1. Geben Sie **unter** Zugeordnet die VPC-Informationen ein VPCs, die Sie aus der privaten Hosting-Zone ohne FIPS kopiert haben.
1. Fügen Sie einen neuen Datensatz mit den folgenden Einstellungen hinzu:
1. Name des Datensatzes: \$1
1. Datensatztyp: CNAME
1. Wert: Geben Sie den **Wert ein/leiten Sie den Verkehr zu** Informationen weiter, die Sie zuvor kopiert haben.
## Häufige Fehler
Wenn Sie Verbindungsprobleme mit Ihren FIPS-kompatiblen VPC-Endpunkten haben, verwenden Sie die folgenden Informationen, um das Problem zu lösen.
+ Fehler bei der DNS-Auflösung — Sie können den FIPS-Endpunktdomänennamen in Ihrer VPC nicht auflösen
+ Verbindungs-Timeouts — Bei Ihren Anfragen an den FIPS-Endpunkt wird das Timeout überschritten
+ Fehler „Zugriff verweigert“ — Die Authentifizierung oder Autorisierung schlägt fehl, wenn FIPS-Endpunkte verwendet werden
+ Fehlende private gehostete Zoneneinträge für Sammlungen, die nur auf VPN basieren
**Um Probleme mit der FIPS-Endpunktkonnektivität zu beheben**
1. Überprüfen Sie die Konfiguration Ihrer privaten gehosteten Zone:
1. Vergewissern Sie sich, dass eine private gehostete Zone für die FIPS-Endpunktdomäne vorhanden ist (`*.region.aoss-fips.amazonaws.com`.
1. Stellen Sie sicher, dass die private gehostete Zone der richtigen VPC zugeordnet ist.
Weitere Informationen finden Sie unter [Private Hosted Zones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) im *Amazon Route 53 Developer Guide* und [Manage DNS Names](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) im *AWS PrivateLink Guide*.
1. Testen Sie die DNS-Auflösung:
1. Stellen Sie eine Connect zu einer EC2-Instance in Ihrer VPC her.
1. Führen Sie den folgenden Befehl aus:
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. Vergewissern Sie sich, dass die Antwort die private IP-Adresse Ihres VPC-Endpunkts enthält.
Weitere Informationen finden Sie unter [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) und [DNS-Attribute](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie die Einstellungen Ihrer Sicherheitsgruppe:
1. Stellen Sie sicher, dass die mit dem VPC-Endpunkt verbundene Sicherheitsgruppe HTTPS-Verkehr (Port 443) von Ihren Ressourcen zulässt.
1. Vergewissern Sie sich, dass Sicherheitsgruppen für Ihre Ressourcen ausgehenden Datenverkehr zum VPC-Endpunkt zulassen.
Weitere Informationen finden Sie unter [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) im *AWS PrivateLink Handbuch* und [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie Ihre Netzwerk-ACL-Konfiguration:
1. Stellen Sie sicher, dass das Netzwerk den Verkehr zwischen Ihren Ressourcen und dem VPC-Endpunkt ACLs zulässt.
Weitere Informationen finden Sie unter [Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie Ihre Endpunktrichtlinie:
1. Vergewissern Sie sich, dass die VPC-Endpunktrichtlinie die erforderlichen Aktionen für Ihre OpenSearch serverlosen Ressourcen zulässt.
*Weitere Informationen finden Sie im Handbuch unter [Erforderliche VPC-Endpunktberechtigungen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) und [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies).AWS PrivateLink *
**Tipp**
Wenn Sie in Ihrer VPC benutzerdefinierte DNS-Resolver verwenden, konfigurieren Sie sie so, dass Anfragen für `*.amazonaws.com` Domänen an die AWS Server weitergeleitet werden.
# Datenzugriffskontrolle für Amazon OpenSearch Serverless
Mit der Datenzugriffskontrolle in Amazon OpenSearch Serverless können Sie Benutzern den Zugriff auf Sammlungen und Indizes ermöglichen, unabhängig von ihrem Zugriffsmechanismus oder ihrer Netzwerkquelle. Sie können IAM-Rollen und [SAML-Identitäten](serverless-saml.md) Zugriff gewähren.
Sie verwalten Zugriffsberechtigungen über *Datenzugriffsrichtlinien*, die für Sammlungen und Indexressourcen gelten. Datenzugriffsrichtlinien unterstützen Sie bei der Verwaltung von Sammlungen in großem Umfang, indem sie automatisch Zugriffsberechtigungen für Sammlungen und Indizes zuweisen, die einem bestimmten Muster übereinstimmen. Für eine einzelne Ressource können mehrere Datenzugriffsrichtlinien gelten. Beachten Sie, dass Sie über eine Datenzugriffsrichtlinie für Ihre Sammlung verfügen müssen, um auf Ihre OpenSearch Dashboard-URL zugreifen zu können.
**Topics**
+ [Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien](#serverless-data-access-vs-iam)
+ [Für die Konfiguration von Datenzugriffsrichtlinien sind IAM-Berechtigungen erforderlich](#serverless-data-access-permissions)
+ [Richtliniensyntax](#serverless-data-access-syntax)
+ [Unterstützte Richtlinienberechtigungen](#serverless-data-supported-permissions)
+ [Beispieldatensätze auf Dashboards OpenSearch](#serverless-data-sample-index)
+ [Erstellen von Datenzugriffsrichtlinien (Konsole)](#serverless-data-access-console)
+ [Erstellen von Datenzugriffsrichtlinien (AWS CLI)](#serverless-data-access-cli)
+ [Ansicht von Datenzugriffsrichtlinien](#serverless-data-access-list)
+ [Aktualisieren von Datenzugriffsrichtlinien](#serverless-data-access-update)
+ [Löschen von Datenzugriffsrichtlinien](#serverless-data-access-delete)
+ [Kontoübergreifender Datenzugriff](#serverless-data-access-cross)
## Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien
Datenzugriffsrichtlinien sind logisch von AWS Identity and Access Management (IAM-) Richtlinien getrennt. IAM-Berechtigungen steuern den Zugriff auf die [Serverless API-Operationen](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html) wie z. B. `CreateCollection` und `ListAccessPolicies`. Datenzugriffsrichtlinien steuern den Zugriff auf die von OpenSearch Serverless unterstützten [OpenSearch Operationen](#serverless-data-supported-permissions) wie oder. `PUT ` `GET _cat/indices`
Die IAM-Berechtigungen, die den Zugriff auf API-Operationen der Datenzugriffsrichtlinie steuern, wie z. B. `aoss:CreateAccessPolicy` and `aoss:GetAccessPolicy` (im nächsten Abschnitt beschrieben), wirken sich nicht auf die in einer Datenzugriffsrichtlinie angegebene Berechtigung aus.
Angenommen, eine IAM-Richtlinie verweigert einem Benutzer beispielsweise das Erstellen von Datenzugriffsrichtlinien für `collection-a`, erlaubt ihm jedoch, Datenzugriffsrichtlinien für alle Sammlungen (`*`) zu erstellen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "collection-a"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*"
}
]
}
```
------
Wenn der Benutzer eine Datenzugriffsrichtlinie erstellt, die bestimmte Berechtigungen für *alle* Sammlungen (`collection/*` oder `index/*/*`) gewährt, gilt die Richtlinie für alle Sammlungen, einschließlich Sammlung A.
**Wichtig**
Die Erteilung von Berechtigungen im Rahmen einer Datenzugriffsrichtlinie reicht nicht aus, um auf Daten in Ihrer OpenSearch serverlosen Sammlung zuzugreifen. Einem zugehörigen Principal muss *außerdem* Zugriff auf die IAM-Berechtigungen `aoss:APIAccessAll` und gewährt werden. `aoss:DashboardsAccessAll` Beide Berechtigungen gewähren vollen Zugriff auf Sammlungsressourcen, während die Dashboard-Berechtigung auch Zugriff OpenSearch auf Dashboards gewährt. Wenn ein Principal nicht über diese beiden IAM-Berechtigungen verfügt, erhält er 403-Fehler, wenn er versucht, Anfragen an die Sammlung zu senden. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Für die Konfiguration von Datenzugriffsrichtlinien sind IAM-Berechtigungen erforderlich
Die Datenzugriffskontrolle für OpenSearch Serverless verwendet die folgenden IAM-Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Zugriffsrichtliniennamen zu beschränken.
+ `aoss:CreateAccessPolicy` – Erstellt eine Zugriffsrichtlinie.
+ `aoss:ListAccessPolicies` – Listet alle Zugriffsrichtlinien auf.
+ `aoss:GetAccessPolicy` – Zeigt Details zu einer bestimmten Zugriffsrichtlinie an.
+ `aoss:UpdateAccessPolicy` – Ändert eine Zugriffsrichtlinie.
+ `aoss:DeleteAccessPolicy` – Löscht eine Zugriffsrichtlinie.
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Zugriffsrichtlinien anzuzeigen und Richtlinien zu aktualisieren, die das Ressourcenmuster `collection/logs` enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListAccessPolicies",
"aoss:GetAccessPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"aoss:UpdateAccessPolicy"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"logs"
]
}
}
}
]
}
```
------
**Anmerkung**
Darüber hinaus benötigt OpenSearch Serverless die `aoss:DashboardsAccessAll` Berechtigungen `aoss:APIAccessAll` und für die Erfassung von Ressourcen. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Richtliniensyntax
Eine Datenzugriffsrichtlinie enthält eine Reihe von Regeln, die jeweils die folgenden Elemente enthalten:
| Element | Description |
| --- | --- |
| ResourceType | Der Ressourcentyp (Sammlung oder Index), für den die Berechtigungen gelten. Alias- und Vorlagenberechtigungen befinden sich auf Sammlungsebene, während Berechtigungen zum Erstellen, Ändern und Suchen von Daten auf Indexebene liegen. Weitere Informationen finden Sie unter [Unterstützte Richtlinienberechtigungen](#serverless-data-supported-permissions). |
| Resource | Eine Liste von and/or Mustern für Ressourcennamen. Muster sind Präfixe gefolgt von einem Platzhalter (\$1), wodurch die zugehörigen Berechtigungen auf mehrere Ressourcen angewendet werden können.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-data-access.html) |
| Permission | Eine Liste der Berechtigungen, die für die angegebenen Ressourcen gewährt werden sollen. Eine vollständige Liste der Berechtigungen und der zulässigen API-Operationen finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations). |
| Principal | Eine Liste mit einem oder mehreren Prinzipalen, denen Zugriff gewährt werden soll. Bei den Prinzipalen kann es sich um IAM-Rollen ARNs - oder SAML-Identitäten handeln. Diese Prinzipien müssen dem aktuellen AWS-Konto entsprechen. Datenzugriffsrichtlinien unterstützen den kontoübergreifenden Zugriff nicht direkt, Sie können jedoch eine Rolle in Ihre Richtlinie aufnehmen, die ein Benutzer aus einem anderen Land in dem Konto übernehmen AWS-Konto kann, dem die Sammlung gehört. Weitere Informationen finden Sie unter [Kontoübergreifender Datenzugriff](#serverless-data-access-cross). |
Die folgende Beispielrichtlinie gewährt Alias- und Vorlagenberechtigungen für die Sammlung mit dem Namen `autopartsinventory` sowie alle Sammlungen, die mit dem Präfix `sales*` beginnen. Es gewährt auch Lese- und Schreibberechtigungen für alle Indizes innerhalb der `autopartsinventory`-Sammlung und alle Indizes in der `salesorders`-Sammlung, die mit dem Präfix `orders*` beginnen.
```
[
{
"Description": "Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
],
"Permission":[
"aoss:CreateCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DescribeCollectionItems"
]
},
{
"ResourceType":"index",
"Resource":[
"index/autopartsinventory/*",
"index/salesorders/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie",
"saml/123456789012/anotherprovider/group/Accounting"
]
}
]
```
Sie können den Zugriff innerhalb einer Richtlinie nicht explizit verweigern. Daher sind alle Richtlinienberechtigungen additiv. Wenn beispielsweise eine Richtlinie einem Benutzer `aoss:ReadDocument` und eine andere Richtlinie `aoss:WriteDocument` gewährt, verfügt der Benutzer über *beide* Berechtigungen. Wenn eine dritte Richtlinie denselben Benutzer `aoss:*` gewährt, kann der Benutzer *alle* Aktionen für den zugeordneten Index ausführen. Restriktivere Berechtigungen überschreiben weniger restriktive nicht.
## Unterstützte Richtlinienberechtigungen
Die folgenden Berechtigungen werden in Datenzugriffsrichtlinien unterstützt. Informationen zu den OpenSearch API-Vorgängen, die die einzelnen Berechtigungen zulassen, finden Sie unter. [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations)
**Sammlungssberechtigungen**
+ `aoss:CreateCollectionItems`
+ `aoss:DeleteCollectionItems`
+ `aoss:UpdateCollectionItems`
+ `aoss:DescribeCollectionItems`
+ `aoss:*`
**Indexberechtigungen**
+ `aoss:ReadDocument`
+ `aoss:WriteDocument`
+ `aoss:CreateIndex`
+ `aoss:DeleteIndex`
+ `aoss:UpdateIndex`
+ `aoss:DescribeIndex`
+ `aoss:*`
## Beispieldatensätze auf Dashboards OpenSearch
OpenSearch Dashboards bietet [Beispieldatensätze](https://opensearch.org/docs/latest/dashboards/quickstart-dashboards/#adding-sample-data) mit Visualisierungen, Dashboards und anderen Tools, die Ihnen helfen, Dashboards zu erkunden, bevor Sie Ihre eigenen Daten hinzufügen. Um Indizes aus diesen Beispieldaten zu erstellen, benötigen Sie eine Datenzugriffsrichtlinie, die Berechtigungen für den Datensatz bereitstellt, mit dem Sie arbeiten möchten. Die folgende Richtlinie verwendet einen Platzhalter (`*`), um Berechtigungen für alle drei Beispieldatensätze zu gewähren.
```
[
{
"Rules": [
{
"Resource": [
"index//opensearch_dashboards_sample_data_*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam:::user/"
]
}
]
```
## Erstellen von Datenzugriffsrichtlinien (Konsole)
Sie können eine Datenzugriffsrichtlinie mit dem visuellen Editor oder im JSON-Format erstellen. Allen neuen Sammlungen, die mit einem der in der Richtlinie definierten Muster übereinstimmen, werden beim Erstellen der Sammlung die entsprechenden Berechtigungen zugewiesen.
**Um eine Richtlinie für den OpenSearch serverlosen Datenzugriff zu erstellen**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie unter **Sicherheit** die Option **Datenzugriffsrichtlinien** aus.
1. Wählen Sie **Create access policy** (Zugriffsrichtlinie erstellen) aus.
1. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an.
1. Geben Sie einen Namen für die erste Regel in Ihrer Richtlinie an. Beispiel: „Zugriff auf die Protokollsammlung“.
1. Wählen Sie **Add principals** (Prinzipale hinzufügen) und wählen Sie eine oder mehrere IAM-Rollen oder [SAML users and groups](serverless-saml.md) (SAML-Benutzer und -Gruppen) aus, denen Sie Datenzugriff gewähren möchten.
**Anmerkung**
Um Prinzipale aus den Dropdown-Menüs auswählen zu können, müssen Sie über die `iam:ListUsers`- und `iam:ListRoles`-Berechtigungen (für IAM-Prinzipale) und die `aoss:ListSecurityConfigs`-Berechtigung (für SAML-Identitäten) verfügen.
1. Wählen Sie **Grant** (Gewähren) und wählen Sie die Alias-, Vorlagen- und Indexberechtigungen aus, um die zugehörigen Prinzipale zu erteilen. Eine vollständige Liste der Berechtigungen und des von ihnen gewährten Zugriffs finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations).
1. (Optional) Konfigurieren Sie zusätzliche Regeln für die Richtlinie.
1. Wählen Sie **Erstellen** aus. Zwischen der Erstellung der Richtlinie und dem Erzwingen von Berechtigungen kann eine Verzögerung von etwa einer Minute liegen. Wenn es länger als 5 Minuten dauert, wenden Sie sich an [Support](https://console.aws.amazon.com/support/home).
**Wichtig**
Wenn Ihre Richtlinie nur Indexberechtigungen (und keine Sammlungsberechtigungen) umfasst, wird Ihnen möglicherweise trotzdem eine Meldung mit dem Hinweis `Collection cannot be accessed yet. Configure data access policies so that users can access the data within this collection` für passende Sammlungen angezeigt. Sie können diese Warnung ignorieren. Zulässige Prinzipale können weiterhin ihre zugewiesenen indexbezogenen Operationen für die Sammlung ausführen.
## Erstellen von Datenzugriffsrichtlinien (AWS CLI)
Verwenden Sie den Befehl, um eine Datenzugriffsrichtlinie mithilfe der OpenSearch Serverless API zu erstellen. `CreateAccessPolicy` Der Befehl akzeptiert sowohl Inline-Richtlinien als auch .json-Dateien. Inline-Richtlinien müssen als [JSON-Zeichenfolge mit Escape-Zeichen](https://www.freeformatter.com/json-escape.html) codiert werden.
Die folgende Anfrage erstellt eine Datenzugriffsrichtlinie:
```
aws opensearchserverless create-access-policy \
--name marketing \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]"
```
Verwenden Sie das Format `--policy file://my-policy.json`, um die Richtlinie in einer .json-Datei bereitzustellen.
Die in der Richtlinie enthaltenen Prinzipale können jetzt die [OpenSearch Operationen](#serverless-data-supported-permissions) verwenden, für die ihnen Zugriff gewährt wurde.
## Ansicht von Datenzugriffsrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Datenzugriffsrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. In der folgenden [ListAccessPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListAccessPolicies.html)Anfrage werden alle Datenzugriffsrichtlinien in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-access-policies --type data
```
Die Anfrage gibt Informationen über alle konfigurierten Datenzugriffsrichtlinien zurück. Die Musterregeln, die in einer bestimmten Richtlinie definiert sind, finden Sie im Inhalt des `accessPolicySummaries` Elements in der Antwort. Notieren Sie sich das `name` Ende `type` dieser Richtlinie und verwenden Sie diese Eigenschaften in einer [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)Anfrage, um eine Antwort mit den folgenden Richtliniendetails zu erhalten:
```
{
"accessPolicyDetails": [
{
"type": "data",
"name": "my-policy",
"policyVersion": "MTY2NDA1NDE4MDg1OF8x",
"description": "My policy",
"policy": "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]",
"createdDate": 1664054180858,
"lastModifiedDate": 1664054180858
}
]
}
```
Sie können Ressourcenfilter einbeziehen, um die Ergebnisse auf Richtlinien zu beschränken, die bestimmte Sammlungen oder Indizes enthalten:
```
aws opensearchserverless list-access-policies --type data --resource "index/autopartsinventory/*"
```
Verwenden Sie den [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)Befehl, um Details zu einer bestimmten Richtlinie anzuzeigen.
## Aktualisieren von Datenzugriffsrichtlinien
Wenn Sie eine Datenzugriffsrichtlinie aktualisieren, wirkt sich dies auf alle zugehörigen Sammlungen aus. Um eine Datenzugriffsrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **Datenzugriffskontrolle**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Um eine Datenzugriffsrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren, senden Sie eine `UpdateAccessPolicy` Anfrage. Sie müssen eine Richtlinienversion einbeziehen, die Sie mit den `ListAccessPolicies`- oder `GetAccessPolicy`-Befehlen abrufen können. Durch die Angabe der neuesten Richtlinienversion wird sichergestellt, dass Sie nicht versehentlich eine von einem anderen Benutzer vorgenommene Änderung überschreiben.
Die folgende [UpdateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccessPolicy.html)Anfrage aktualisiert eine Datenzugriffsrichtlinie mit einem neuen JSON-Richtliniendokument:
```
aws opensearchserverless update-access-policy \
--name sales-inventory \
--type data \
--policy-version MTY2NDA1NDE4MDg1OF8x \
--policy file://my-new-policy.json
```
Zwischen dem Aktualisieren der Richtlinie und dem Erzwingen der neuen Berechtigungen kann es einige Minuten Verzögerung geben.
## Löschen von Datenzugriffsrichtlinien
Wenn Sie eine Datenzugriffsrichtlinie löschen, verlieren alle zugehörigen Sammlungen den in der Richtlinie definierten Zugriff. Stellen Sie sicher, dass Ihre IAM- und SAML-Benutzer über den entsprechenden Zugriff auf die Sammlung verfügen, bevor Sie eine Richtlinie löschen. Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf **Löschen**.
Sie können auch den [DeleteAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteAccessPolicy.html)folgenden Befehl verwenden:
```
aws opensearchserverless delete-access-policy --name my-policy --type data
```
## Kontoübergreifender Datenzugriff
Sie können zwar keine Datenzugriffsrichtlinie mit kontoübergreifender Identität oder kontoübergreifender Erfassung erstellen, aber Sie können mit der Option „Rolle übernehmen“ dennoch einen kontoübergreifenden Zugriff einrichten. Wenn Sie beispielsweise `account-a` Eigentümer einer Sammlung sind, für die Zugriff `account-b` erforderlich ist, `account-b` kann der Benutzer von aus eine Rolle darin übernehmen. `account-a` Die Rolle muss über die IAM-Berechtigungen verfügen `aoss:APIAccessAll` und `aoss:DashboardsAccessAll` in der Datenzugriffsrichtlinie enthalten sein. `account-a`
# Zugriff auf Datenebene über AWS PrivateLink
Amazon OpenSearch Serverless unterstützt zwei Arten von AWS PrivateLink Verbindungen für den Betrieb auf der Steuerungsebene und der Datenebene. Zu den Vorgängen auf der Kontrollebene gehören das Erstellen und Löschen von Sammlungen sowie die Verwaltung von Zugriffsrichtlinien. Operationen auf Datenebene dienen der Indizierung und Abfrage von Daten innerhalb einer Sammlung. Diese Seite behandelt VPC-Endpunkte auf Datenebene. Informationen zu AWS PrivateLink Endpunkten der Steuerungsebene finden Sie unter. [Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink](serverless-vpc-cp.md)
Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Serverless herstellen. Sie können auf OpenSearch Serverless zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf OpenSearch Serverless zuzugreifen. Weitere Informationen zum VPC-Netzwerkzugriff finden Sie unter [Netzwerkverbindungsmuster für Amazon OpenSearch Serverless](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/).
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt angeben. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Serverless bestimmt ist. OpenSearch
Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
**Topics**
+ [DNS-Auflösung der Sammlungsendpunkte](#vpc-endpoint-dnc)
+ [VPCs und Richtlinien für den Netzwerkzugriff](#vpc-endpoint-network)
+ [VPCs und Endpunktrichtlinien](#vpc-endpoint-policy)
+ [Überlegungen](#vpc-endpoint-considerations)
+ [Erforderliche Berechtigungen](#serverless-vpc-permissions)
+ [Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch](#serverless-vpc-create)
+ [Gemeinsames VPC-Setup für Amazon Serverless OpenSearch](#shared-vpc-setup)
## DNS-Auflösung der Sammlungsendpunkte
Wenn Sie über die OpenSearch Serverless-Konsole einen VPC-Endpunkt auf Datenebene erstellen, erstellt der Service eine neue Amazon Route 53 [private gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) und fügt sie der VPC hinzu. Diese private gehostete Zone besteht aus einem Datensatz zur Auflösung des Platzhalter-DNS-Eintrags für OpenSearch serverlose Sammlungen (`*.us-east-1.aoss.amazonaws.com`) in die für den Endpunkt verwendeten Schnittstellenadressen. Sie benötigen nur einen OpenSearch serverlosen VPC-Endpunkt in einer VPC, um auf alle Sammlungen und Dashboards in jeder VPC zuzugreifen. AWS-Region Jeder VPC mit einem Endpunkt für OpenSearch Serverless ist eine eigene private Hosting-Zone zugeordnet.
Der Endpunkt der OpenSearch serverlosen Schnittstelle erstellt außerdem einen öffentlichen Route 53-Platzhalter-DNS-Eintrag für alle Sammlungen in der Region. Der DNS-Name wird in die OpenSearch serverlosen öffentlichen IP-Adressen aufgelöst. Clients OpenSearch ohne serverlosen VPC-Endpunkt oder Clients in öffentlichen Netzwerken können den öffentlichen Route 53-Resolver verwenden und mit VPCs diesen IP-Adressen auf die Sammlungen und Dashboards zugreifen. Der IP-Adresstyp (IPv4, IPv6, oder Dualstack) des VPC-Endpunkts wird anhand der Subnetze bestimmt, die beim [Erstellen eines Schnittstellenendpunkts](#serverless-vpc-create) für Serverless bereitgestellt werden. OpenSearch
**Anmerkung**
OpenSearch Serverless erstellt eine zusätzliche private gehostete Amazon Route 53-Zone (``.opensearch.amazonaws.com``) für die Auflösung einer OpenSearch Service-Domain. Sie können Ihren vorhandenen IPv4 VPC-Endpunkt auf Dualstack aktualisieren, indem Sie den [update-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-vpc-endpoint.html)Befehl in der verwenden. AWS CLI
Die DNS-Resolver-Adresse für eine bestimmte VPC ist die zweite IP-Adresse der VPC CIDR. Jeder Client in der VPC muss diesen Resolver verwenden, um die VPC-Endpunktadresse für jede Sammlung abzurufen. Der Resolver verwendet eine private gehostete Zone, die von Serverless erstellt wurde. OpenSearch Es reicht aus, diesen Resolver für alle Sammlungen in einem beliebigen Konto zu verwenden. Es ist auch möglich, den VPC-Resolver für einige Sammlungsendpunkte und den öffentlichen Resolver für andere zu verwenden, obwohl dies normalerweise nicht erforderlich ist.
## VPCs und Richtlinien für den Netzwerkzugriff
Um Netzwerkberechtigungen OpenSearch APIs und Dashboards für Ihre Sammlungen zu gewähren, können Sie Richtlinien für den OpenSearch serverlosen [Netzwerkzugriff](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html) verwenden. Sie können diesen Netzwerkzugriff entweder von Ihren VPC-Endpunkten oder dem öffentlichen Internet aus steuern. Da Ihre Netzwerkrichtlinie nur die Zugriffsberechtigungen steuert, müssen Sie auch eine [Datenzugriffsrichtlinie](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) einrichten, die die Erlaubnis festlegt, mit den Daten in einer Sammlung und ihren Indizes zu arbeiten. Stellen Sie sich einen OpenSearch serverlosen VPC-Endpunkt als Zugriffspunkt für den Service, eine Netzwerkzugriffsrichtlinie als Zugriffspunkt auf Netzwerkebene für Sammlungen und Dashboards und eine Datenzugriffsrichtlinie als Zugriffspunkt für eine detaillierte Zugriffskontrolle für jeden Vorgang mit Daten in der Sammlung vor.
Da Sie IDs in einer Netzwerkrichtlinie mehrere VPC-Endpunkte angeben können, empfehlen wir, für jede VPC, die auf eine Sammlung zugreifen muss, einen VPC-Endpunkt zu erstellen. Diese VPCs können zu anderen AWS Konten gehören als dem Konto, dem die OpenSearch serverlose Sammlung und die Netzwerkrichtlinie gehören. Es wird nicht empfohlen, eine VPC-to-VPC Peering- oder andere Proxylösung zwischen zwei Konten zu erstellen, sodass die VPC eines Kontos den VPC-Endpunkt eines anderen Kontos verwenden kann. Dies ist weniger sicher und kostengünstiger als wenn jede VPC ihren eigenen Endpunkt hat. Die erste VPC wird für den Administrator der anderen VPC, der in der Netzwerkrichtlinie den Zugriff auf den Endpunkt dieser VPC eingerichtet hat, nicht ohne weiteres sichtbar sein.
## VPCs und Endpunktrichtlinien
Amazon OpenSearch Serverless unterstützt Endpunktrichtlinien für VPCs. Eine Endpunktrichtlinie ist eine ressourcenbasierte IAM-Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Principals den Endpunkt für den Zugriff auf Ihren Service verwenden können. AWS Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Um eine Endpunktrichtlinie zu verwenden, müssen Sie zunächst einen Schnittstellenendpunkt erstellen. Sie können einen Schnittstellenendpunkt entweder mit der OpenSearch Serverless-Konsole oder der OpenSearch Serverless-API erstellen. Nachdem Sie Ihren Schnittstellenendpunkt erstellt haben, müssen Sie die Endpunktrichtlinie zum Endpunkt hinzufügen. Weitere Informationen finden Sie unter [Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch](#serverless-vpc-create).
**Anmerkung**
Sie können eine Endpunktrichtlinie nicht direkt in der OpenSearch Servicekonsole definieren.
Eine Endpunktrichtlinie überschreibt oder ersetzt keine anderen identitätsbasierten Richtlinien, ressourcenbasierten Richtlinien, Netzwerkrichtlinien oder Datenzugriffsrichtlinien, die Sie möglicherweise konfiguriert haben. Weitere Informationen zur Aktualisierung von Endpunktrichtlinien finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Standardmäßig gewährt eine Endpunktrichtlinie vollen Zugriff auf Ihren VPC-Endpunkt.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
Obwohl die standardmäßige VPC-Endpunktrichtlinie vollen Endpunktzugriff gewährt, können Sie eine VPC-Endpunktrichtlinie konfigurieren, um den Zugriff auf bestimmte Rollen und Benutzer zu ermöglichen. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"987654321098"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Sie können eine OpenSearch serverlose Sammlung angeben, die als bedingtes Element in Ihre VPC-Endpunktrichtlinie aufgenommen werden soll. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"coll-abc"
]
}
}
}
]
}
```
------
Support für `aoss:CollectionId` wird unterstützt.
```
Condition": {
"StringEquals": {
"aoss:CollectionId": "collection-id"
}
}
```
Sie können SAML-Identitäten in Ihrer VPC-Endpunktrichtlinie verwenden, um den VPC-Endpunktzugriff zu bestimmen. Sie müssen `(*)` im Hauptbereich Ihrer VPC-Endpunktrichtlinie einen Platzhalter verwenden. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
}
]
}
```
------
Darüber hinaus können Sie Ihre Endpunktrichtlinie so konfigurieren, dass sie eine bestimmte SAML-Prinzipalrichtlinie enthält. Sehen Sie sich dazu Folgendes an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Department": [
"Engineering"]
}
}
}
]
}
```
------
Weitere Informationen zur Verwendung der SAML-Authentifizierung mit Amazon OpenSearch Serverless finden Sie unter [SAML-Authentifizierung für](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html) Amazon Serverless. OpenSearch
Sie können auch IAM- und SAML-Benutzer in dieselbe VPC-Endpunktrichtlinie aufnehmen. Sehen Sie sich dazu das folgende Beispiel an:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Sie können auch von Amazon EC2 aus über Schnittstellen-VPC-Endpunkte auf eine Amazon OpenSearch Serverless-Sammlung zugreifen. Weitere Informationen finden Sie unter [Zugriff auf eine OpenSearch serverlose Sammlung von Amazon EC2 aus (über VPC-Endpunkte mit Schnittstelle](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/)).
## Überlegungen
Bevor Sie einen Schnittstellenendpunkt für OpenSearch Serverless einrichten, sollten Sie Folgendes beachten:
+ OpenSearch Serverless unterstützt Aufrufe aller unterstützten [OpenSearch API-Operationen (nicht Konfigurations-API-Operationen](serverless-genref.md#serverless-operations)) über den Schnittstellenendpunkt.
+ Nachdem Sie einen Schnittstellenendpunkt für OpenSearch Serverless erstellt haben, müssen Sie ihn dennoch in die [Netzwerkzugriffsrichtlinien](serverless-network.md) aufnehmen, damit er auf serverlose Sammlungen zugreifen kann.
+ Standardmäßig ist der vollständige Zugriff auf OpenSearch Serverless über den Schnittstellenendpunkt zulässig. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu OpenSearch Serverless über den Schnittstellenendpunkt zu steuern.
+ Ein einzelner AWS-Konto kann maximal 50 OpenSearch serverlose VPC-Endpunkte haben.
+ Wenn Sie in einer Netzwerkrichtlinie den öffentlichen Internetzugriff auf die API oder die Dashboards Ihrer Sammlung aktivieren, ist Ihre Sammlung von jeder VPC und über das öffentliche Internet zugänglich.
+ Wenn Sie sich vor Ort und außerhalb der VPC befinden, können Sie einen DNS-Resolver nicht direkt für die OpenSearch serverlose VPC-Endpunktlösung verwenden. Wenn Sie VPN-Zugriff benötigen, benötigt die VPC einen DNS-Proxy-Resolver, den externe Clients verwenden können. Route 53 bietet eine Option für eingehende Endpunkte, mit der Sie DNS-Abfragen an Ihre VPC von Ihrem lokalen Netzwerk oder einer anderen VPC aus auflösen können.
+ Die private gehostete Zone, die OpenSearch Serverless erstellt und an die VPC anhängt, wird vom Service verwaltet, sie wird jedoch in Ihren Amazon Route 53 Ressourcen angezeigt und Ihrem Konto in Rechnung gestellt.
+ Weitere Überlegungen finden Sie unter [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink -Leitfaden*.
## Erforderliche Berechtigungen
Der VPC-Zugriff für OpenSearch Serverless verwendet die folgenden AWS Identity and Access Management (IAM-) Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Sammlungen zu beschränken.
+ `aoss:CreateVpcEndpoint` – Erstellt einen VPC-Endpunkt.
+ `aoss:ListVpcEndpoints` – Listet alle VPC-Endpunkte auf.
+ `aoss:BatchGetVpcEndpoint` – Zeigt Details zu einer Untergruppe von VPC-Endpunkten an.
+ `aoss:UpdateVpcEndpoint` – Ändert einen VPC-Endpunkt.
+ `aoss:DeleteVpcEndpoint` – Löscht einen VPC-Endpunkt.
Darüber hinaus benötigen Sie die folgenden Amazon-EC2- und Route-53-Berechtigungen, um einen VPC-Endpunkt zu erstellen.
+ `ec2:CreateTags`
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndPoints`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:ModifyVpcEndPoint`
+ `route53:AssociateVPCWithHostedZone`
+ `route53:ChangeResourceRecordSets`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:GetChange`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZonesByVPC`
+ `route53:ListResourceRecordSets`
## Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch
Sie können einen Schnittstellenendpunkt für OpenSearch Serverless entweder mit der Konsole oder der OpenSearch Serverless API erstellen.
**Um einen Schnittstellenendpunkt für eine serverlose Sammlung zu erstellen OpenSearch**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **VPC endpoints** (VPC-Endpunkte) aus.
1. Wählen Sie **Create VPC endpoint** (VPC-Endpunkt) erstellen.
1. Geben Sie einen Namen für den Endpunkt an.
1. Wählen Sie für **VPC** die VPC aus, von der aus Sie auf OpenSearch Serverless zugreifen möchten.
1. Wählen Sie für **Subnetze** ein Subnetz aus, von dem aus Sie auf Serverless zugreifen möchten. OpenSearch
+ Die IP-Adresse und der DNS-Typ des Endpunkts basieren auf dem Subnetztyp
+ Dualstack: Wenn alle Subnetze sowohl als auch Adressbereiche haben IPv4 IPv6
+ IPv6: Wenn alle Subnetze nur Subnetze sind IPv6
+ IPv4: Wenn alle Subnetze Adressbereiche haben IPv4
1. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den **Security groups** (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein wichtiger Schritt, bei dem Sie die Ports, Protokolle und Quellen für eingehenden Datenverkehr einschränken, den Sie für Ihren Endpunkt autorisieren. Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit OpenSearch Serverless verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.
1. Wählen Sie **Endpunkt erstellen** aus.
Verwenden Sie den Befehl, um einen VPC-Endpunkt mithilfe der OpenSearch Serverless API zu erstellen. `CreateVpcEndpoint`
**Anmerkung**
Nachdem Sie einen Endpunkt erstellt haben, notieren Sie sich seine ID, z. B. `vpce-abc123def4EXAMPLE`. Um dem Endpunkt Zugriff auf Ihre Sammlungen zu gewähren, müssen Sie diese ID in eine oder mehrere Netzwerkzugriffsrichtlinien aufnehmen.
Nachdem Sie einen Schnittstellen-Endpunkt erstellt haben, müssen Sie ihm über Netzwerkzugriffsrichtlinien Zugriff auf Sammlungen gewähren. Weitere Informationen finden Sie unter [Netzwerkzugriff für Amazon OpenSearch Serverless](serverless-network.md).
## Gemeinsames VPC-Setup für Amazon Serverless OpenSearch
Sie können Amazon Virtual Private Cloud (VPC) verwenden, um VPC-Subnetze mit anderen AWS-Konten in Ihrer Organisation zu teilen und Netzwerkinfrastruktur wie ein VPN zwischen mehreren Ressourcen gemeinsam zu nutzen. AWS-Konten
Derzeit unterstützt Amazon OpenSearch Serverless das Herstellen einer AWS PrivateLink Verbindung zu einer gemeinsam genutzten VPC nur, wenn Sie Eigentümer dieser VPC sind. AWS PrivateLink unterstützt auch nicht die gemeinsame Nutzung von Verbindungen zwischen. AWS-Konten
Basierend auf der flexiblen und modularen Architektur von OpenSearch Serverless können Sie jedoch weiterhin eine gemeinsam genutzte VPC einrichten. Dies liegt daran, dass die OpenSearch serverlose Netzwerkinfrastruktur von der Infrastruktur für individuelle Datenerfassungen (OpenSearch Dienste) getrennt ist. Sie können daher einen AWS PrivateLink VPCe Endpunkt für ein Konto erstellen, auf dem sich eine VPC befindet, und dann eine VPCe ID in der Netzwerkrichtlinie anderer Konten verwenden, um den Datenverkehr so zu beschränken, dass er nur von dieser gemeinsam genutzten VPC kommt.
Die folgenden Verfahren beziehen sich auf ein *Besitzerkonto* und ein *Verbraucherkonto*.
Ein Besitzerkonto fungiert als gemeinsames Netzwerkkonto, mit dem Sie eine VPC einrichten und sie mit anderen Konten teilen. Verbraucherkonten sind Konten, die ihre OpenSearch serverlosen Sammlungen in der VPC erstellen und verwalten, die ihnen vom Eigentümerkonto zur Verfügung gestellt werden.
**Voraussetzungen**
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie die gemeinsam genutzte VPC einrichten:
+ Das Konto des beabsichtigten Besitzers muss bereits eine VPC, Subnetze, eine Routing-Tabelle und andere erforderliche Ressourcen in Amazon Virtual Private Cloud eingerichtet haben. Weitere Informationen finden Sie im *[Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/)*.
+ Das Konto des beabsichtigten Besitzers und die Benutzerkonten müssen derselben Organisation in gehören. AWS Organizations Weitere Informationen finden Sie im *[AWS Organizations -Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/)*.
**Um eine gemeinsam genutzte VPC in einem account/common Besitzer-Netzwerkkonto einzurichten.**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Führen Sie die Schritte unter [Erstellen Sie einen Schnittstellenendpunkt für Serverless OpenSearch](#serverless-vpc-create) aus. Treffen Sie dabei die folgenden Auswahlen:
+ Wählen Sie eine VPC und Subnetze aus, die mit den Verbraucherkonten in Ihrer Organisation gemeinsam genutzt werden.
1. Nachdem Sie den Endpunkt erstellt haben, notieren Sie sich die generierte VPCe ID und geben Sie sie an die Administratoren weiter, die die Einrichtungsaufgabe für Verbraucherkonten ausführen sollen.
VPCe IDs sind im Format`vpce-abc123def4EXAMPLE`.
**So richten Sie eine gemeinsam genutzte VPC in einem Verbraucherkonto ein**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home) bei der Amazon OpenSearch Service-Konsole an.
1. Verwenden Sie die angegebenen Informationen, [Verwaltung von Amazon OpenSearch Serverless-Sammlungen](serverless-manage.md) um eine Sammlung zu erstellen, falls Sie noch keine haben.
1. Verwenden Sie die Informationen unter[Erstellen von Netzwerkrichtlinien (Konsole)](serverless-network.md#serverless-network-console), um eine Netzwerkrichtlinie zu erstellen. Treffen Sie dabei die folgenden Auswahlen.
**Anmerkung**
Sie können zu diesem Zweck auch eine bestehende Netzwerkrichtlinie aktualisieren.
1. Wählen Sie als **Zugriffstyp** **VPC (empfohlen)** aus.
1. Wählen Sie für **VPC-Endpunkte für den Zugriff** die VPCe ID, die Sie vom Besitzerkonto erhalten haben, im folgenden Format aus. `vpce-abc123def4EXAMPLE`
1. Gehen Sie im Bereich **Ressourcentyp** wie folgt vor:
+ Wählen Sie das Feld **Zugriff auf OpenSearch Endpunkt aktivieren** und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu aktivieren.
+ Wählen Sie das Feld **Zugriff auf OpenSearch Dashboard aktivieren** und wählen Sie dann den Sammlungsnamen oder das Sammlungsmuster aus, das verwendet werden soll, um den Zugriff von dieser gemeinsam genutzten VPC aus zu ermöglichen.
1. Wählen Sie Erstellen aus, um eine neue Richtlinie **zu erstellen**. Wählen Sie für eine bestehende Richtlinie die Option **Aktualisieren** aus.
# Steuern Sie den Flugzeug-Zugriff über AWS PrivateLink
Amazon OpenSearch Serverless unterstützt zwei Arten von AWS PrivateLink Verbindungen für den Betrieb auf der Steuerungsebene und der Datenebene. Zu den Vorgängen auf der Kontrollebene gehören das Erstellen und Löschen von Sammlungen sowie die Verwaltung von Zugriffsrichtlinien. Operationen auf Datenebene dienen der Indizierung und Abfrage von Daten innerhalb einer Sammlung. Diese Seite behandelt den Endpunkt der Steuerungsebene. AWS PrivateLink Informationen zu VPC-Endpunkten auf Datenebene finden Sie unter. [Zugriff auf Datenebene über AWS PrivateLink](serverless-vpc.md)
## Einen Endpunkt auf der Steuerungsebene erstellen AWS PrivateLink
Sie können die Sicherheitslage Ihrer VPC verbessern, indem Sie OpenSearch Serverless so konfigurieren, dass es einen VPC-Endpunkt mit Schnittstelle verwendet. Schnittstellen-Endpunkte werden mit Strom versorgt von. AWS PrivateLink Diese Technologie ermöglicht Ihnen den privaten Zugriff auf OpenSearch Serverless APIs ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect-Verbindung.
Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints) im Amazon VPC-Benutzerhandbuch.
### Überlegungen
+ VPC-Endpunkte werden nur in derselben Region unterstützt.
+ VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53.
+ VPC-Endpunkte unterstützen Endpunktrichtlinien zur Steuerung des Zugriffs auf OpenSearch serverlose Sammlungen, Richtlinien und. VpcEndpoints
+ OpenSearch Serverless unterstützt nur Schnittstellen-Endpunkte. Gateway-Endpunkte werden nicht unterstützt.
### VPC-Endpunkt erstellen
Um den VPC-Endpunkt der Steuerungsebene für Amazon OpenSearch Serverless zu erstellen, verwenden Sie das Verfahren [Access an AWS service using an interface VPC-Endpoint im *Amazon VPC*](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) Developer Guide. Erstellen Sie den folgenden Endpunkt:
+ `com.amazonaws.region.aoss`
**So erstellen Sie mit der Konsole einen VPC-Endpunkt auf Steuerungsebene**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Klicken Sie auf **Endpunkt erstellen**.
1. Wählen Sie für **Servicekategorie** die Option **AWS-Services** aus.
1. Wählen Sie für **Dienste** die Option`com.amazonaws.region.aoss`. Beispiel, `com.amazonaws.us-east-1.aoss`.
1. Wählen Sie für **VPC** die VPC, in der der Endpunkt erstellt werden soll.
1. Wählen Sie für **Subnets** Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen.
1. Wählen Sie für **Sicherheitsgruppen** die Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen zugeordnet werden sollen. Stellen Sie sicher, dass HTTPS (Port 443) zulässig ist.
1. Wählen Sie für **Richtlinie die** Option **Vollzugriff** aus, um alle Vorgänge zuzulassen, oder wählen Sie **Benutzerdefiniert**, um eine benutzerdefinierte Richtlinie anzuhängen.
1. Wählen Sie **Endpunkt erstellen** aus.
### Eine Endpunktrichtlinie erstellen
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon OpenSearch Serverless steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
**Example VPC-Endpunktrichtlinie für Serverless OpenSearch**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection"
],
"Resource": "*"
}
]
}
```
**Example Restriktive Richtlinie, die nur Listenoperationen erlaubt**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "aoss:ListCollections",
"Resource": "*"
}
]
}
```
# SAML-Authentifizierung für Amazon Serverless OpenSearch
Mit der SAML-Authentifizierung für Amazon OpenSearch Serverless können Sie Ihren bestehenden Identitätsanbieter verwenden, um Single Sign-On (SSO) für die OpenSearch Dashboard-Endpunkte serverloser Sammlungen anzubieten.
Mit der SAML-Authentifizierung können Sie externe Identitätsanbieter verwenden, um sich bei Dashboards anzumelden, um Daten zu indizieren und zu suchen OpenSearch . OpenSearch Serverless unterstützt Anbieter, die den SAML 2.0-Standard verwenden, wie IAM Identity Center, Okta, Keycloak, Active Directory Federation Services (AD FS) und Auth0. Sie können IAM Identity Center so konfigurieren, dass Benutzer und Gruppen aus anderen Identitätsquellen wie Okta und Microsoft OneLogin Entra ID synchronisiert werden. Eine Liste der von IAM Identity Center unterstützten Identitätsquellen und Schritte zu ihrer Konfiguration finden Sie in den [Tutorials Erste](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) Schritte im *IAM* Identity Center-Benutzerhandbuch.
**Anmerkung**
Die SAML-Authentifizierung ist nur für den Zugriff auf OpenSearch Dashboards über einen Webbrowser vorgesehen. Authentifizierte Benutzer können nur über die **Entwicklungstools** in Dashboards Anfragen an die OpenSearch API-Operationen stellen. OpenSearch Mit Ihren SAML-Anmeldeinformationen können Sie *keine* direkten HTTP-Anfragen an die OpenSearch API-Operationen stellen.
Zum Einrichten der SAML-Authentifizierung konfigurieren Sie zuerst einen SAML-Identitätsanbieter (IdP). Anschließend nehmen Sie einen oder mehrere Benutzer von diesem IdP in eine [Datenzugriffsrichtlinie](serverless-data-access.md) auf. Diese Richtlinie gewährt ihr bestimmte Berechtigungen für and/or Sammlungsindizes. Ein Benutzer kann sich dann bei OpenSearch Dashboards anmelden und die Aktionen ausführen, die in der Datenzugriffsrichtlinie zulässig sind.
![\[SAML authentication flow with data access policy, OpenSearch interface, and JSON configuration.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/serverless-saml-flow.png)
**Topics**
+ [Überlegungen](#serverless-saml-considerations)
+ [Erforderliche Berechtigungen](#serverless-saml-permissions)
+ [Erstellen von SAML-Anbietern (Konsole)](#serverless-saml-creating)
+ [Auf Dashboards zugreifen OpenSearch](#serverless-saml-dashboards)
+ [Gewährung von Zugriff für SAML-Identitäten auf Sammlungsdaten](#serverless-saml-policies)
+ [Erstellen von SAML-Anbietern (AWS CLI)](#serverless-saml-creating-api)
+ [Anzeigen von SAML-Anbietern](#serverless-saml-viewing)
+ [Aktualisieren von SAML-Anbietern](#serverless-saml-updating)
+ [Löschen von SAML-Anbietern](#serverless-saml-deleting)
## Überlegungen
Berücksichtigen Sie beim Konfigurieren der SAML-Authentifizierung Folgendes:
+ Signierte und verschlüsselte Anfragen werden nicht unterstützt.
+ Verschlüsselte Aussagen werden nicht unterstützt.
+ Vom Identitätsanbieter initiierte Authentifizierung und Abmeldung werden nicht unterstützt.
+ Service Control Policies (SCP) werden im Fall von Nicht-IAM-Identitäten (wie SAML in Amazon OpenSearch Serverless und SAML und grundlegende interne Benutzerautorisierung für Amazon Service) nicht angewendet oder bewertet. OpenSearch
## Erforderliche Berechtigungen
Die SAML-Authentifizierung für OpenSearch Serverless verwendet die folgenden (IAM-) Berechtigungen: AWS Identity and Access Management
+ `aoss:CreateSecurityConfig` – Erstellt einen SAML-Anbieter.
+ `aoss:ListSecurityConfig` – Listet alle SAML-Anbieter im aktuellen Konto auf.
+ `aoss:GetSecurityConfig` – Zeigt Informationen zum SAML-Anbieter an.
+ `aoss:UpdateSecurityConfig` – Ändert eine bestimmte SAML-Anbieterkonfiguration, einschließlich der XML-Metadaten.
+ `aoss:DeleteSecurityConfig` – Löscht einen SAML-Anbieter.
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht einem Benutzer die Verwaltung aller IdP-Konfigurationen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Beachten Sie, dass das `Resource`-Element ein Platzhalter sein muss.
## Erstellen von SAML-Anbietern (Konsole)
In diesen Schritten wird erläutert, wie SAML-Anbieter erstellt werden. Dies ermöglicht die SAML-Authentifizierung mit vom Service Provider (SP) initiierter Authentifizierung für Dashboards. OpenSearch Die vom Identitätsanbieter initiierte Authentifizierung wird nicht unterstützt.
**Um die SAML-Authentifizierung für Dashboards zu aktivieren OpenSearch**
1. Melden Sie sich zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ) bei der Amazon OpenSearch Service-Konsole an.
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie **SAML authentication** (SAML-Authentifizierung) aus.
1. Wählen Sie **Add SAML provider** (SAML-Anbieter hinzufügen).
1. Geben Sie einen Namen und eine Beschreibung für die Sammlung an.
**Anmerkung**
Der von Ihnen angegebene Name ist öffentlich zugänglich und wird in einem Drop-down-Menü angezeigt, wenn sich Benutzer bei OpenSearch Dashboards anmelden. Stellen Sie sicher, dass der Name leicht erkennbar ist und keine vertraulichen Informationen über Ihren Identitätsanbieter preisgibt.
1. Kopieren Sie unter **Configure your IdP** (Konfigurieren Ihres IdP) die URL des Assertion Consumer Service (ACS).
1. Verwenden Sie die ACS-URL, die Sie gerade kopiert haben, um Ihren Identitätsanbieter zu konfigurieren. Terminologie und Schritte variieren je nach Anbieter. Schlagen Sie in der Dokumentation Ihres Anbieters nach.
In Okta erstellen Sie beispielsweise eine „SAML 2.0-Webanwendung“ und geben die ACS-URL als **Single Sign On URL** (Single-Sign-On-URL), **Recipient URL** (Empfänger-URL) und **Destination URL** (Ziel-URL) an. **Für Auth0 geben Sie ihn unter Zulässiger Rückruf an. URLs**
1. Geben Sie die Zielgruppeneinschränkung an, falls Ihr IdP ein Feld dafür aufweist. Die Zielgruppenbeschränkung ist ein Wert innerhalb der SAML-Aussagen, der angibt, für wen die Aussagen bestimmt ist. Mit OpenSearch Serverless können Sie Folgendes tun. Stellen Sie sicher, dass Sie das *content* im folgenden Codebeispiel durch Ihre eigene AWS-Konto ID ersetzen:
1. Verwenden Sie die standardmäßige Zielgruppenbeschränkung`:opensearch:111122223333`.
1. (Optional) konfigurieren Sie eine benutzerdefinierte Zielgruppenbeschränkung mit dem AWS CLI. Weitere Informationen finden Sie unter [Erstellen von SAML-Anbietern (AWS CLI)](#serverless-saml-creating-api).
Der Name des Feldes für die Zielgruppenbeschränkung variiert je nach Anbieter. Für Okta ist es der **Audience URI (SP Entity ID)** (Zielgruppen-URI (SP-Entitäts-ID)). Für IAM Identity Center ist es die **Application SAML audience** (SAML-Zielgruppe der Anwendung).
1. Wenn Sie IAM Identity Center verwenden, müssen Sie außerdem die folgende [Attributzuordnung](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html) angeben: `Subject=${user:name}`, mit einem Format von `unspecified`.
1. Nachdem Sie Ihren Identitätsanbieter konfiguriert haben, wird eine IdP-Metadatendatei generiert. Diese XML-Datei enthält Informationen zum Anbieter, z. B. ein TLS-Zertifikat, Single Sign-On-Endpunkte und die Entitäts-ID des Identitätsanbieters.
Kopieren Sie den Text aus der IdP-Metadaten-Datei und fügen Sie ihn in das Feld **Provide metadata from your IdP** (Metadaten von Ihrem IdP bereitstellen) ein. Wählen Sie alternativ **Aus XML-Datei importieren** und laden Sie die Datei hoch. Die Metadatendatei sollte ungefähr so aussehen:
```
tls-certificate
s
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
```
1. Lassen Sie das Feld **Benutzerdefiniertes Benutzer-ID-Attribut** leer, um das `NameID` Element der SAML-Assertion für den Benutzernamen zu verwenden. Wenn Ihre Assertion dieses Standardelement nicht verwendet und stattdessen den Benutzernamen als benutzerdefiniertes Attribut enthält, geben Sie dieses Attribut hier an. Bei Attributen wird zwischen Groß- und Kleinschreibung unterschieden. Es wird nur ein einzelnes Benutzerattribut unterstützt.
Das folgende Beispiel zeigt ein Überschreibungsattribut für `NameID` in der SAML-Aussage:
```
annie
```
1. (Optional) Geben Sie im Feld **Group attribute** (Gruppenattribut) ein benutzerdefiniertes Attribut an, z. B. `role` oder `group`. Es wird nur ein einzelnes Gruppenattribut unterstützt. Es gibt kein Standard-Gruppenattribut. Wenn Sie keine angeben, können Ihre Datenzugriffsrichtlinien nur Benutzerprinzipale enthalten.
Das folgende Beispiel zeigt ein Gruppenattribut in der SAML-Aussage:
```
finance
```
1. Standardmäßig meldet OpenSearch Dashboards Benutzer nach 24 Stunden ab. Sie können diesen Wert auf eine beliebige Zahl zwischen 1 und 12 Stunden (15 und 720 Minuten) konfigurieren, indem Sie das **OpenSearch Dashboard-Timeout** angeben. Wenn Sie versuchen, das Timeout auf 15 Minuten oder weniger festzulegen, wird Ihre Sitzung auf eine Stunde zurückgesetzt.
1. Wählen Sie **Create SAML provider** (SAML-Anbieter erstellen).
## Auf Dashboards zugreifen OpenSearch
Nachdem Sie einen SAML-Anbieter konfiguriert haben, können alle Benutzer und Gruppen, die diesem Anbieter zugeordnet sind, zum OpenSearch Dashboards-Endpunkt navigieren. Die Dashboard-URL hat das Format `collection-endpoint/_dashboards/` *für* alle Sammlungen.
Wenn Sie SAML aktiviert haben, werden Sie durch Auswahl des Links in der AWS-Managementkonsole zur IdP-Auswahlseite weitergeleitet, auf der Sie sich mit Ihren SAML-Anmeldeinformationen anmelden können. Verwenden Sie zunächst das Dropdown-Menü, um einen Identitätsanbieter auszuwählen:
![\[OpenSearch login page with dropdown menu for selecting SAML Identity Provider options.\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/images/idpList.png)
Melden Sie sich anschließend mit den Anmeldeinformationen Ihres Identitätsanbieters an.
Wenn Sie SAML nicht aktiviert haben, werden Sie durch Auswahl des Links auf der AWS-Managementkonsole weitergeleitet, um sich als IAM-Benutzer oder als IAM-Rolle anzumelden, ohne dass SAML aktiviert ist.
## Gewährung von Zugriff für SAML-Identitäten auf Sammlungsdaten
Nachdem Sie einen SAML-Anbieter erstellt haben, müssen Sie den zugrunde liegenden Benutzern und Gruppen immer noch Zugriff auf die Daten in Ihren Sammlungen gewähren. Sie gewähren Zugriff über [Datenzugriffsrichtlinien](serverless-data-access.md). Solange Sie Benutzern keinen Zugriff gewähren, können diese keine Daten in Ihren Sammlungen lesen, schreiben oder löschen.
Um Zugriff zu gewähren, erstellen Sie eine Datenzugriffsrichtlinie und geben Sie Ihre and/or SAML-Benutzergruppe IDs in der Erklärung an: `Principal`
```
[
{
"Rules":[
...
],
"Principal":[
"saml/987654321098/myprovider/user/Shaheen",
"saml/987654321098/myprovider/group/finance"
]
}
]
```
Sie können Zugriff auf Sammlungen, Indizes oder beides gewähren. Wenn Sie möchten, dass verschiedene Benutzer über unterschiedliche Berechtigungen verfügen, erstellen Sie mehrere Regeln. Eine Liste der verfügbaren Berechtigungen finden Sie unter [Unterstützte Richtlinienberechtigungen](serverless-data-access.md#serverless-data-supported-permissions). Weitere Informationen zum Formatieren einer Zugriffsrichtlinie finden Sie unter [Richtliniensyntax](serverless-data-access.md).
## Erstellen von SAML-Anbietern (AWS CLI)
Um einen SAML-Anbieter mithilfe der OpenSearch Serverless API zu erstellen, senden Sie eine Anfrage: [CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)
```
aws opensearchserverless create-security-config \
--name myprovider \
--type saml \
--saml-options file://saml-auth0.json
```
Geben Sie `saml-options`, einschließlich der Metadaten-XML, als Schlüsselwert-Zuordnung in einer .json-Datei an. Die Metadaten-XML muss als [JSON-Escape-Zeichenfolge](https://www.freeformatter.com/json-escape.html) codiert werden.
```
{
"sessionTimeout": 70,
"groupAttribute": "department",
"userAttribute": "userid",
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"metadata": "EntityDescriptor xmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ... ... ... IDPSSODescriptor\r\n\/EntityDescriptor"
}
```
**Anmerkung**
(Optional) Konfigurieren Sie eine benutzerdefinierte Zielgruppenbeschränkung mit dem. AWS CLI Weitere Informationen finden Sie unter [Erstellen von SAML-Anbietern (AWS CLI)](#serverless-saml-creating-api).
## Anzeigen von SAML-Anbietern
In der folgenden [ListSecurityConfigs](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityConfigs.html)Anfrage sind alle SAML-Anbieter in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-security-configs --type saml
```
Die Anfrage gibt Informationen zu allen vorhandenen SAML-Anbietern zurück, einschließlich der vollständigen IdP-Metadaten, die Ihr Identitätsanbieter generiert:
```
{
"securityConfigDetails": [
{
"configVersion": "MTY2NDA1MjY4NDQ5M18x",
"createdDate": 1664054180858,
"description": "Example SAML provider",
"id": "saml/111122223333/myprovider",
"lastModifiedDate": 1664054180858,
"samlOptions": {
"groupAttribute": "department",
"metadata": "EntityDescriptorxmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ...... ...IDPSSODescriptor\r\n/EntityDescriptor",
"sessionTimeout": 120,
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"userAttribute": "userid"
}
}
]
}
```
Um Details zu einem bestimmten Anbieter anzuzeigen, einschließlich des `configVersion` für zukünftige Updates, senden Sie eine `GetSecurityConfig`-Anfrage.
## Aktualisieren von SAML-Anbietern
**Um einen SAML-Anbieter mithilfe der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **SAML-Authentifizierung**, wählen Sie Ihren Identitätsanbieter aus und klicken Sie auf Bearbeiten.** Sie können alle Felder ändern, einschließlich der Metadaten und derb benutzerdefinierten Attribute.
Um einen Anbieter über die OpenSearch Serverless API zu aktualisieren, senden Sie eine [UpdateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityConfig.html)Anfrage und geben Sie die ID der zu aktualisierenden Richtlinie an. Sie müssen auch eine Konfigurationsversion angeben, die Sie mithilfe der `ListSecurityConfigs`- oder `GetSecurityConfig`-Befehle abrufen können. Die Angabe der neuesten Version stellt sicher, dass Sie nicht versehentlich eine Änderung überschreiben, die von jemand anderem vorgenommen wurde.
Die folgende Anfrage aktualisiert die SAML-Optionen für einen Anbieter:
```
aws opensearchserverless update-security-config \
--id saml/123456789012/myprovider \
--type saml \
--saml-options file://saml-auth0.json \
--config-version MTY2NDA1MjY4NDQ5M18x
```
Geben Sie Ihre SAML-Konfigurationsoptionen als Schlüsselwert-Zuordnung in einer .json-Datei an.
**Wichtig**
**Aktualisierungen von SAML-Optionen erfolgen *nicht* inkrementell**. Wenn Sie bei einer Aktualisierung keinen Wert für einen Parameter im `SAMLOptions`-Objekt angeben, werden die vorhandenen Werte mit leeren Werten überschrieben. Wenn die aktuelle Konfiguration beispielsweise einen Wert für `userAttribute` enthält und Sie dann eine Aktualisierung vornehmen und diesen Wert nicht angeben, wird der Wert aus der Konfiguration entfernt. Stellen Sie sicher, dass Sie die vorhandenen Werte kennen, bevor Sie eine Aktualisierung durch Aufrufen der `GetSecurityConfig`-Operation vornehmen.
## Löschen von SAML-Anbietern
Wenn Sie einen SAML-Anbieter löschen, sind alle Verweise auf zugeordnete Benutzer und Gruppen in Ihren Datenzugriffsrichtlinien nicht mehr funktionsfähig. Um Verwirrung zu vermeiden, empfehlen wir Ihnen, alle Verweise auf den Endpunkt in Ihren Zugriffsrichtlinien zu entfernen, bevor Sie den Endpunkt löschen.
**Um einen SAML-Anbieter mithilfe der OpenSearch Serverless-Konsole zu löschen, wählen Sie **Authentifizierung**, wählen Sie den Anbieter aus und klicken Sie auf Löschen.**
Um einen Anbieter über die OpenSearch Serverless API zu löschen, senden Sie eine Anfrage: [DeleteSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityConfig.html)
```
aws opensearchserverless delete-security-config --id saml/123456789012/myprovider
```
# Konformitätsvalidierung für Amazon OpenSearch Serverless
Externe Prüfer bewerten die Sicherheit und Konformität von Amazon OpenSearch Serverless im Rahmen mehrerer AWS Compliance-Programme. Zu diesen Programmen gehören SOC, PCI und HIPAA.
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).