Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management en Amazon OpenSearch Service
Amazon OpenSearch Service ofrece varias formas de controlar el acceso a tus dominios. En este tema, se tratan los diversos tipos de política, la forma en que interactúan entre sí y cómo crear sus propias políticas personalizadas.
**importante**
La compatibilidad con VPC introduce algunas consideraciones adicionales en el control de acceso al OpenSearch servicio. Para obtener más información, consulte [Acerca de las políticas de acceso en los dominios de VPC](vpc.md#vpc-security).
## Tipos de políticas
OpenSearch El servicio admite tres tipos de políticas de acceso:
+ [Políticas basadas en recursos](#ac-types-resource)
+ [Políticas basadas en identidades](#ac-types-identity)
+ [Políticas basadas en IP](#ac-types-ip)
### Políticas basadas en recursos
Al crear un dominio, agrega una política basada en recursos, a veces denominada política de acceso al dominio. Estas políticas especifican qué acciones puede realizar una entidad principal en los *subrecursos* del dominio (con la excepción de la [búsqueda entre clústeres](cross-cluster-search.md#cross-cluster-search-walkthrough)). Los subrecursos incluyen OpenSearch índices y. APIs El elemento de la política JSON [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) (Entidad principal) en IAM especifica las cuentas, los usuarios o los roles que tienen permitido el acceso. El elemento de la política JSON [Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) (Recurso) especifica los subrecursos a los que pueden obtener acceso estas entidades principales.
Por ejemplo, la siguiente política basada en recursos concede a `test-user` acceso completo (`es:*`) a los subrecursos en `test-domain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:*"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
Dos consideraciones importantes se aplican a esta política:
+ Estos privilegios se aplican únicamente a este dominio. A menos que cree políticas similares en otros dominios, `test-user` solo puede acceder a `test-domain`.
+ El `/*` final en el elemento `Resource` es significativo e indica que las políticas basadas en recursos solo se aplican a los subrecursos del dominio, no al propio dominio. En las políticas basadas en recursos, la acción `es:*` es equivalente a `es:ESHttp*`.
Por ejemplo, `test-user` puede realizar solicitudes frente a un índice (`GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index`), pero no puede actualizar la configuración del dominio (`POST https://es.us-west-1.amazonaws.com/2021-01-01/opensearch/domain/test-domain/config`). Observe la diferencia entre los dos puntos de conexión. El acceso a la API de configuración requiere una [política basada en identidad](#ac-types-identity).
Puede especificar un nombre de índice parcial agregando un comodín. Este ejemplo identifica cualquier índice que empiecen con `commerce`:
```
arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce*
```
En este caso, el comodín significa que `test-user` puede realizar solicitudes a índices dentro de `test-domain` que tengan nombres que comiencen con `commerce`.
Para restringir aún más `test-user`, puede aplicar la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/_search"
}
]
}
```
------
Ahora `test-user` puede realizar solo una operación: búsquedas del índice `commerce-data`. Todos los demás índices del dominio son inaccesibles y, sin permisos para utilizar las acciones `es:ESHttpPut` o `es:ESHttpPost`, `test-user` no puede agregar ni modificar documentos.
A continuación, podría decidir configurar un rol para usuarios avanzados. Esta política da `power-user-role` acceso a los métodos HTTP GET y PUT para todos los elementos del URIs índice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/power-user-role"
]
},
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/*"
}
]
}
```
------
Si el dominio se encuentra en una VPC o utiliza un control de acceso detallado, puede utilizar una política de acceso al dominio abierto. De lo contrario, la política de acceso al dominio debe contener alguna restricción, ya sea por entidad principal o dirección IP.
Para obtener información sobre todas las acciones disponibles, consulte [Referencia de los elementos de las políticas](#ac-reference). Para obtener un control mucho más pormenorizado sobre sus datos, utilice una política de acceso al dominio abierto con [control de acceso detallado](fgac.md).
### Políticas basadas en identidades
A diferencia de las políticas basadas en recursos, que forman parte de cada dominio de OpenSearch servicio, las políticas basadas en la identidad se asocian a los usuarios o roles mediante el servicio AWS Identity and Access Management (IAM). Al igual que las [políticas basadas en recursos](#ac-types-resource), las políticas basadas en identidad especifican quién puede obtener acceso a un servicio, las acciones que puede realizar y, si corresponde, los recursos en los que se pueden realizar dichas acciones.
Aunque en realidad no tienen por qué serlo, las políticas basadas en identidad suelen ser más genéricas. Normalmente, solo determinan las acciones de la API de configuración que un usuario puede realizar. Una vez implementadas estas políticas, puede usar políticas basadas en recursos (o un [control de acceso detallado) en Service para ofrecer a los usuarios acceso a](fgac.md) los índices y. OpenSearch OpenSearch APIs
**nota**
Los usuarios con la `AmazonOpenSearchServiceReadOnlyAccess` política AWS gestionada no pueden ver el estado del clúster en la consola. Para que puedan ver el estado del clúster (y otros OpenSearch datos), añada la `es:ESHttpGet` acción a una política de acceso y adjúntela a sus cuentas o funciones.
Dado que las políticas basadas en identidad se adjuntan a usuarios o roles (entidades principales), el JSON no especifica una entidad principal. La siguiente política concede acceso a las acciones que comienzan por `Describe` y `List`. Esta combinación de acciones proporciona acceso de solo lectura a las configuraciones de dominio, pero no a los datos almacenados en el dominio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:Describe*",
"es:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Un administrador puede tener acceso total al OpenSearch Servicio y a todos los datos almacenados en todos los dominios:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Las políticas basadas en identidad permiten utilizar etiquetas para controlar el acceso a la API de configuración. La siguiente política, por ejemplo, permite a las entidades principales adjuntas ver y actualizar la configuración de un dominio si el dominio tiene la etiqueta `team:devops`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:UpdateDomainConfig",
"es:DescribeDomain",
"es:DescribeDomainConfig"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/team": [
"devops"
]
}
}
}]
}
```
------
También puedes usar etiquetas para controlar el acceso a la OpenSearch API. Las políticas basadas en etiquetas para la OpenSearch API solo se aplican a los métodos HTTP. Por ejemplo, la siguiente política permite a los directores adjuntos enviar solicitudes GET y PUT a la OpenSearch API si el dominio tiene la `environment:production` etiqueta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}]
}
```
------
Para un control más detallado de la OpenSearch API, considera la posibilidad de utilizar un control de [acceso más detallado](fgac.md).
**nota**
Después de añadir una o varias OpenSearch APIs políticas basadas en etiquetas, debe realizar una sola [operación](managedomains-awsresourcetagging.md) de etiquetado (como añadir, eliminar o modificar una etiqueta) para que los cambios surtan efecto en un dominio. Debe utilizar el software de servicio R20211203 o posterior para incluir las operaciones de la OpenSearch API en las políticas basadas en etiquetas.
OpenSearch El servicio admite las claves de condición `TagKeys` globales `RequestTag` y las claves de condición de la API de configuración, no de la API. OpenSearch Estas condiciones solo se aplican a las llamadas a la API que incluyen etiquetas dentro de la solicitud, como `CreateDomain`, `AddTags` y `RemoveTags`. La siguiente política permite a las entidades principales adjuntas crear dominios, pero solo si incluyen la etiqueta `team:it` en la solicitud:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"es:CreateDomain",
"es:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/team": [
"it"
]
}
}
}
}
```
------
Para obtener más información sobre el uso de etiquetas para el control de acceso y las diferencias entre las políticas basadas en recursos y las políticas basadas en identidad, consulte [Definición de permisos en función de los atributos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
### Políticas basadas en IP
Las políticas basadas en IP restringen el acceso a un dominio a una o más direcciones IP o bloques de CIDR. Técnicamente, las políticas basadas en IP no son un tipo de política distinto. En lugar de ello, son solo políticas basadas en recursos que especifican una entidad principal anónima e incluyen una Condición especial. Para obtener información, consulte [Elementos de la política JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
El principal atractivo de las políticas basadas en IP es que permiten realizar solicitudes sin firmar a un dominio de OpenSearch servicio, lo que permite utilizar clientes como [curl](https://curl.haxx.se/) y [OpenSearch Dashboards](dashboards.md) o acceder al dominio a través de un servidor proxy. Para obtener más información, consulte [Uso de un proxy para acceder al servicio desde los paneles OpenSearch](dashboards.md#dashboards-proxy).
**nota**
Si ha habilitado acceso VPC para su dominio, no puede configurar una política basada en IP. En su lugar, puede utilizar `security groups` para controlar qué direcciones IP pueden tener acceso al dominio. Para obtener más información, consulte los temas siguientes:
[Acerca de las políticas de acceso en los dominios de VPC](vpc.md#vpc-security)
[Controle el tráfico a sus AWS recursos mediante grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) en la Guía del *usuario de Amazon VPC*
La siguiente política concede a todas las solicitudes HTTP que se originan en el intervalo de IP especificado acceso a `test-domain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
Si su dominio tiene un punto de conexión público y no utiliza un [control de acceso detallado](fgac.md), recomendamos combinar direcciones IP y entidades principales de IAM. Esta política concede acceso HTTP `test-user` únicamente si la solicitud se origina en el intervalo IP especificado:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}]
}
```
------
# Realizar y firmar solicitudes OpenSearch de servicio
Incluso si configuras una política de acceso completamente abierta y basada en recursos, *todas las* solicitudes a la API de configuración del OpenSearch servicio deben estar firmadas. Si sus políticas especifican funciones o usuarios de IAM, las solicitudes que se envíen OpenSearch APIs también deben firmarse con la versión 4 de AWS Signature. El método de firma difiere en función de la API:
+ Para realizar llamadas a la API OpenSearch de configuración del servicio, le recomendamos que utilice una de las [AWS SDKs](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html). Esto simplifica SDKs enormemente el proceso y puede ahorrarle una cantidad significativa de tiempo en comparación con la creación y firma de sus propias solicitudes. Los puntos de conexión de la API de configuración utilizan el siguiente formato:
```
es.region.amazonaws.com/2021-01-01/
```
Por ejemplo, la siguiente solicitud introduce un cambio de configuración en el dominio `movies`, pero es preciso identificarse (no recomendado):
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/movies/config
{
"ClusterConfig": {
"InstanceType": "c5.xlarge.search"
}
}
```
Si utilizas uno de ellos SDKs, como [Boto 3](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html#OpenSearchService.Client.update_domain_config), el SDK gestiona automáticamente la firma de las solicitudes:
```
import boto3
client = boto3.client(es)
response = client.update_domain_config(
DomainName='movies',
ClusterConfig={
'InstanceType': 'c5.xlarge.search'
}
)
```
Para ver un código de muestra de Java, consulte [Uso del OpenSearch Servicio AWS SDKs para interactuar con Amazon](configuration-samples.md).
+ Para realizar llamadas al OpenSearch APIs, debes firmar tus propias solicitudes. OpenSearch APIs Utilizan el siguiente formato:
```
domain-id.region.es.amazonaws.com
```
Por ejemplo, la siguiente solicitud busca en el índice `movies` de *thor*:
```
GET https://my-domain.us-east-1.es.amazonaws.com/movies/_search?q=thor
```
**nota**
El servicio ignora los parámetros transferidos a las URLs solicitudes HTTP POST firmadas con la versión 4 de Signature.
## Cuando las políticas chocan
Surgen complejidades cuando las políticas están en desacuerdo o no hacen mención explícita a un usuario. [Cómo funciona IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html) en la *Guía del usuario de IAM* ofrece un breve resumen de la lógica de evaluación de políticas:
+ De forma predeterminada, se deniegan todas las solicitudes.
+ Un permiso explícito anula esta opción predeterminada.
+ Una denegación explícita anula cualquier permiso concedido.
Por ejemplo, si una política basada en recursos le concede acceso a un subrecurso de dominio (un OpenSearch índice o una API), pero una política basada en la identidad le niega el acceso, se le deniega el acceso. Si una política basada en identidad concede acceso y una política basada en recursos no especifica si debe tener acceso o no, tiene permitido el acceso. Consulte la siguiente tabla de políticas que se entrecruzan para acceder a un resumen completo de resultados de subrecursos del dominio.
****
| | Permitido en política basada en recursos | Denegado en política basada en recursos | Ni permitido ni denegado en política basada en recursos |
| --- |--- |--- |--- |
| **Allowed in identity-based policy** | Permitir | Denegar | Permitir |
| --- |--- |--- |--- |
| **Denied in identity-based policy** | Denegar | Denegar | Denegar |
| --- |--- |--- |--- |
| **Neither allowed nor denied in identity-based policy** | Permitir | Denegar | Denegar |
| --- |--- |--- |--- |
## Referencia de los elementos de las políticas
OpenSearch El servicio es compatible con la mayoría de los elementos de política de la [Referencia de elementos de política de IAM, con la excepción](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) de. `NotPrincipal` La siguiente tabla muestra los elementos más comunes.
****
| Elemento de política JSON | Resumen |
| --- | --- |
| Version | La versión actual del idioma de la política es `2012-10-17`. Todas las políticas de acceso deben especificar este valor. |
| Effect | Este elemento especifica si la instrucción permite o deniega el acceso a las acciones especificadas. Los valores válidos son `Allow` o `Deny`. |
| Principal | Este elemento especifica el rol Cuenta de AWS o el usuario de IAM al que se le permite o deniega el acceso a un recurso y puede adoptar varias formas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/ac.html) Especificar el comodín `*` habilita el acceso anónimo al dominio, lo que no se recomienda a menos que agregue una [condición basada en IP](#ac-types-ip), utilice la [compatibilidad con la VPC](vpc.md) o habilite un [control de acceso detallado](fgac.md). Además, analice detenidamente las siguientes políticas para confirmar que no otorgan acceso amplio: Políticas basadas en identidad asociadas a las entidades principales de AWS vinculadas (por ejemplo, los roles de IAM) Políticas basadas en recursos asociadas a AWS los recursos asociados (por ejemplo, claves de AWS Key Management Service KMS) |
| Action | OpenSearch El servicio usa `ESHttp*` acciones para los métodos OpenSearch HTTP. El resto de las acciones se aplican a la API de configuración.Determinadas acciones `es:` admiten permisos de nivel de recursos. Por ejemplo, puede otorgar a un usuario permisos para eliminar un dominio particular sin dar a dicho usuario permisos para eliminar *cualquier* dominio. Otras acciones se aplican solo al propio servicio. Por ejemplo, `es:ListDomainNames` no tiene sentido en el contexto de un dominio único y, por lo tanto, requiere un comodín.Para obtener una lista de todas las acciones disponibles y saber si se aplican a los subrecursos del dominio (`test-domain/*`), a la configuración del dominio (`test-domain`) o solo al servicio (`*`), consulte [Acciones, recursos y claves de condición de Amazon OpenSearch Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html) en la Referencia de *autorización de servicios*Las políticas basadas en recursos difieren de los permisos en el nivel de recursos. Las [políticas basadas en recursos](#ac-types-resource) son políticas JSON completas que se adjuntan a dominios. Los permisos de nivel de recurso permiten restringir acciones a dominios o subrecursos particulares. En la práctica, puede pensar en permisos de nivel de recursos como parte opcional de una política basada en recursos o identidades.Aunque los permisos de nivel de recurso para `es:CreateDomain` puedan parecer poco intuitivos (después de todo, ¿por qué darle a un usuario permisos para crear un dominio que ya existe?), la utilización de un comodín permite aplicar un esquema de nomenclatura sencillo para sus dominios, por ejemplo `"Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*"`.Por supuesto, nada impide que incluya acciones junto a elementos de recursos menos restrictivos, como las siguientes: JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeDomain"
],
"Resource": "*"
}
]
}
``` Para obtener más información acerca de las acciones y recursos de emparejamiento, consulte el elemento `Resource` en esta tabla. |
| Condition | OpenSearch El servicio admite la mayoría de las condiciones que se describen en las [claves de contexto de condiciones AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) de la Guía del *usuario de IAM*. Entre las excepciones más destacables se incluye la `aws:PrincipalTag` clave, que el OpenSearch servicio no admite. Al configurar una [política basada en IP](#ac-types-ip), debe especificar las direcciones IP o bloque de CIDR como condición, como en el ejemplo siguiente: "Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/32"
]
}
} Como se indica en [Políticas basadas en identidades](#ac-types-identity) `aws:ResourceTag``aws:RequestTag`, las claves de `aws:TagKeys` condición y las claves de condición se aplican tanto a la API de configuración como a la OpenSearch APIs. |
| Resource | OpenSearch El servicio utiliza `Resource` los elementos de tres formas básicas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/ac.html) Para conocer detalles sobre qué acciones admiten los permisos en el nivel de recursos, consulte el elemento `Action` en esta tabla. |
## Opciones avanzadas y consideraciones de la API
OpenSearch El servicio tiene varias opciones avanzadas, una de las cuales tiene implicaciones en el control de acceso:`rest.action.multi.allow_explicit_index`. En su configuración predeterminada como verdadero, permite a los usuarios omitir los permisos de subrecursos en determinadas circunstancias.
Por ejemplo, tomemos la siguiente política basada en recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": [
"arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*",
"arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
Esta política otorga acceso `test-user` completo a la API OpenSearch masiva `test-index` y a la misma. También permite solicitudes `GET` a `restricted-index`.
La siguiente solicitud de indexación, como cabría esperar, falla debido a un error de permisos:
```
PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1
{
"title": "Your Name",
"director": "Makoto Shinkai",
"year": "2016"
}
```
A diferencia de la API index, la API bulk permite crear, actualizar y eliminar muchos documentos en una única llamada. Sin embargo, con frecuencia especifica estas operaciones en el cuerpo de la solicitud, en lugar de la URL de solicitud. Dado que OpenSearch Service utiliza URLs para controlar el acceso a los subrecursos del dominio, `test-user` puede, de hecho, utilizar la API masiva para realizar cambios en ella. `restricted-index` Aunque el usuario carezca de permisos `POST` en el índice, la siguiente solicitud **tiene éxito**:
```
POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk
{ "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } }
{ "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }
```
En esta situación, la política de acceso no consigue cumplir su objetivo. Para evitar que los usuarios omitan este tipo de restricciones, puede cambiar `rest.action.multi.allow_explicit_index` a falso. Si este valor es falso, dejarán de funcionar todas las llamadas a bulk, mget y msearch APIs que especifiquen nombres de índice en el cuerpo de la solicitud. En otras palabras, las llamadas a `_bulk` ya no funcionan, pero las llamadas a `test-index/_bulk` sí. Este segundo punto de conexión contiene un nombre de índice, por lo que no es necesario especificar uno en el cuerpo de la solicitud.
[OpenSearch Los paneles](dashboards.md) dependen en gran medida de mget y msearch, por lo que es poco probable que funcionen correctamente después de este cambio. Para una corrección parcial, puede dejar `rest.action.multi.allow_explicit_index` como true y denegar a determinados usuarios el acceso a una o más de estas opciones. APIs
Para obtener más información acerca de cómo cambiar esta configuración, consulte [Configuración avanzada de clústeres](createupdatedomains.md#createdomain-configure-advanced-options).
Del mismo modo, la siguiente política basada en recursos contiene dos problemas sutiles:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
},
{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
+ A pesar de la denegación explícita, `test-user` puede seguir realizando llamadas como, por ejemplo, `GET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_search` y `GET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search` para acceder a los documentos en `restricted-index`.
+ Dado que el elemento `Resource` hace referencia a `restricted-index/*`, `test-user` no tiene permisos para acceder directamente a los documentos del índice. El usuario, sin embargo, tiene permisos para *eliminar todo el índice*. Para evitar el acceso y la eliminación, la política debe especificar en su lugar `restricted-index*`.
En lugar de combinar permisos amplios y denegaciones delimitadas, el enfoque más seguro consiste en seguir el principio de [privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) y conceder solo los permisos requeridos para realizar una tarea. Para obtener más información sobre cómo controlar el acceso a índices u OpenSearch operaciones individuales, consulte. [Control de acceso detallado en Amazon Service OpenSearch](fgac.md)
**importante**
Especificar el comodín \$1 permite el acceso anónimo al dominio. No se recomienda el uso del comodín. Además, analice detenidamente las siguientes políticas para confirmar que no otorgan acceso amplio:
Políticas basadas en la identidad asociadas a las entidades AWS principales asociadas (por ejemplo, las funciones de IAM)
Políticas basadas en recursos asociadas a los AWS recursos asociados (por ejemplo, claves de KMS) AWS Key Management Service
## Configurar políticas de acceso
+ Para obtener instrucciones sobre cómo crear o modificar políticas basadas en recursos e IP en OpenSearch Service, consulte. [Configurar políticas de acceso](createupdatedomains.md#createdomain-configure-access-policies)
+ Para obtener instrucciones acerca de la creación o modificación de políticas basadas en identidad en IAM, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
## Políticas de muestra adicionales
Si bien este capítulo incluye muchos ejemplos de políticas, el control de AWS acceso es un tema complejo que se entiende mejor con ejemplos. Para más información, consulte [Ejemplos de políticas de IAM basadas en identidad](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html) en la *Guía del usuario de IAM*.
# Referencia de permisos OpenSearch de la API de Amazon Service
Cuando configura el [control de acceso](ac.md), escribe políticas de permiso que puede adjuntar a una identidad de IAM (políticas basadas en identidad). Para obtener más información detallada de referencia, consulte los siguientes temas en la *Referencia de autorizaciones de servicio*:
+ [Claves de condición, recursos y acciones](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html) del servicio. OpenSearch
+ [Claves de acciones, recursos y condiciones de OpenSearch Ingestion](https://docs.aws.amazon.com/service-authorization/latest/reference/list_opensearchingestionservice.html).
Esta referencia contiene información sobre las operaciones de la API que se pueden utilizar en una política de IAM. También incluye el AWS recurso para el que puede conceder los permisos y las claves de condición que puede incluir para un control de acceso detallado.
Las acciones se especifican en el campo `Action` de la política, el valor del recurso en el campo `Resource` de la política y las condiciones en el campo `Condition` de la política. Para especificar una acción para el OpenSearch Servicio, usa el `es:` prefijo seguido del nombre de la operación de la API (por ejemplo,). `es:CreateDomain` Para especificar una acción para la OpenSearch ingestión, usa el `osis:` prefijo seguido de la operación de API (por ejemplo,). `osis:CreatePipeline`
# AWS políticas gestionadas para Amazon OpenSearch Service
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AmazonOpenSearchDirectQueryGlueCreateAccess
Concede a Amazon OpenSearch Service Direct Query Service acceso a `CreateDatabase``CreatePartition`,`CreateTable`, y `BatchCreatePartition` AWS Glue API.
Puede encontrar la [AmazonOpenSearchDirectQueryGlueCreateAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchDirectQueryGlueCreateAccess)política en la consola de IAM.
## AmazonOpenSearchServiceFullAccess
Otorga acceso completo a las operaciones y los recursos de la API de configuración del OpenSearch servicio para un Cuenta de AWS.
Puede encontrar la [AmazonOpenSearchServiceFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceFullAccess)política en la consola de IAM.
## AmazonOpenSearchServiceReadOnlyAccess
Otorga acceso de solo lectura a todos los recursos del OpenSearch Servicio para un. Cuenta de AWS
Puede encontrar la [AmazonOpenSearchServiceReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceReadOnlyAccess)política en la consola de IAM.
## AmazonOpenSearchServiceRolePolicy
No puede asociar `AmazonOpenSearchServiceRolePolicy` a sus entidades IAM. Esta política está asociada a un rol vinculado al servicio que permite al OpenSearch Servicio acceder a los recursos de la cuenta. Para obtener más información, consulte [Permisos](slr-aos.md#slr-permissions).
Puede encontrar la [AmazonOpenSearchServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)política en la consola de IAM.
## AmazonOpenSearchServiceCognitoAccess
Proporciona los permisos mínimos de Amazon Cognito necesarios para habilitar la [autenticación de Cognito](cognito-auth.md).
Puedes encontrar la [AmazonOpenSearchServiceCognitoAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceCognitoAccess)política en la consola de IAM.
## AmazonOpenSearchIngestionServiceRolePolicy
No puede asociar `AmazonOpenSearchIngestionServiceRolePolicy` a sus entidades IAM. Esta política se adjunta a una función vinculada a un servicio que permite a OpenSearch Ingestion habilitar el acceso a la VPC para las canalizaciones de ingestión, crear etiquetas y publicar métricas relacionadas con la ingestión en su cuenta. CloudWatch Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Service OpenSearch](slr.md).
Puedes encontrar la política en la consola de IAM. [AmazonOpenSearchIngestionServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)
## OpenSearchIngestionSelfManagedVpcePolicy
No puede asociar `OpenSearchIngestionSelfManagedVpcePolicy` a sus entidades IAM. Esta política se adjunta a un rol vinculado a un servicio que permite a OpenSearch Ingestion habilitar el acceso autogestionado a la VPC para los canales de ingestión, crear etiquetas y publicar métricas relacionadas con la ingestión en su cuenta. CloudWatch Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Service OpenSearch](slr.md).
Puedes encontrar la política en la consola de IAM. [OpenSearchIngestionSelfManagedVpcePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/OpenSearchIngestionSelfManagedVpcePolicy)
## AmazonOpenSearchIngestionFullAccess
Otorga acceso completo a las operaciones y los recursos de la API de OpenSearch ingestión para un. Cuenta de AWS
Puede encontrar la [AmazonOpenSearchIngestionFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)política en la consola de IAM.
## AmazonOpenSearchIngestionReadOnlyAccess
Otorga acceso de solo lectura a todos los recursos de OpenSearch Ingestion durante un. Cuenta de AWS
Puede encontrar la [AmazonOpenSearchIngestionReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)política en la consola de IAM.
## AmazonOpenSearchServerlessServiceRolePolicy
Proporciona los Amazon CloudWatch permisos mínimos necesarios para enviar datos de métricas OpenSearch sin servidor a. CloudWatch
Puede encontrar la [AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)política en la consola de IAM.
## OpenSearch Actualizaciones del servicio para las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas del OpenSearch Servicio desde que este servicio comenzó a realizar un seguimiento de los cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Se actualizó el `AmazonOpenSearchIngestionServiceRolePolicy` | La actualización otorga permiso a OpenSearch Ingestion para modificar los puntos de enlace de VPC creados OpenSearch por para compartir canalizaciones entre sí. VPCs Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy). | 28 de agosto de 2025 |
| Se actualizó el `AmazonOpenSearchServiceRolePolicy` | Se agregó la siguiente sentencia a la política. Cuando Amazon OpenSearch Service asume la función `AWSServiceRoleForAmazonOpenSearchService` vinculada al servicio, esta nueva declaración de la política permite OpenSearch actualizar el alcance de acceso de cualquier AWS IAM Identity Center aplicación que solo esté gestionada por. OpenSearch {
"Effect": "Allow",
"Action": "sso:PutApplicationAccessScope",
"Resource": "arn:aws:sso::*:application/*/*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
} | 31 de marzo de 2025 |
| Se actualizó `AmazonOpenSearchServerlessServiceRolePolicy` | Se agregó el Sid `AllowAOSSCloudwatchMetrics` a la política `AmazonOpenSearchServerlessServiceRolePolicy`. Un Sid es un ID de instrucción que actúa como identificador opcional para la instrucción de la política. | 12 de julio de 2024 |
| Se ha agregado `OpenSearchIngestionSelfManagedVpcePolicy` | Una nueva política que permite a OpenSearch Ingestion habilitar el acceso autogestionado a las VPC para las canalizaciones de ingestión, crear etiquetas y publicar métricas relacionadas con la ingestión en su cuenta. CloudWatch Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy). | 12 de junio de 2024 |
| Added`AmazonOpenSearchDirectQueryGlueCreateAccess` | Concede a Amazon OpenSearch Service Direct Query Service acceso a `CreateDatabase``CreatePartition`,`CreateTable`, y `BatchCreatePartition` AWS Glue API. | 6 de mayo de 2024 |
| Actualización de `AmazonOpenSearchServiceRolePolicy` y `AmazonElasticsearchServiceRolePolicy` | Se han añadido los permisos necesarios para [que el rol vinculado al servicio pueda](slr-aos.md#slr-permissions) asignar y IPv6 desasignar direcciones. La política de Elasticsearch en desuso también se ha actualizado para garantizar la compatibilidad con versiones anteriores. | 18 de octubre de 2023 |
| Se ha agregado `AmazonOpenSearchIngestionServiceRolePolicy` | Una nueva política que permite a OpenSearch Ingestion habilitar el acceso a la VPC para las canalizaciones de ingestión, crear etiquetas y publicar métricas relacionadas con la CloudWatch ingestión en su cuenta. Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy). | 26 de abril de 2023 |
| Se ha agregado `AmazonOpenSearchIngestionFullAccess` | Una nueva política que otorga acceso total a las operaciones y los recursos de la API de OpenSearch Ingestion para un. Cuenta de AWS Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess). | 26 de abril de 2023 |
| Se ha agregado `AmazonOpenSearchIngestionReadOnlyAccess` | Una nueva política que otorga acceso de solo lectura a todos los recursos de OpenSearch Ingestion para un. Cuenta de AWS Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess). | 26 de abril de 2023 |
| Se ha agregado `AmazonOpenSearchServerlessServiceRolePolicy` | Una nueva política que proporciona los permisos mínimos necesarios para enviar datos de métricas OpenSearch sin servidor a. Amazon CloudWatch Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy). | 29 de noviembre de 2022 |
| Actualización de `AmazonOpenSearchServiceRolePolicy` y `AmazonElasticsearchServiceRolePolicy` | Se agregaron los permisos necesarios para que [la función vinculada al servicio](slr-aos.md#slr-permissions) cree puntos de enlace de VPC [OpenSearch gestionados por el servicio](slr-aos.md#slr-permissions). Algunas acciones solo se pueden realizar cuando la solicitud contiene la etiqueta `OpenSearchManaged=true`. La política de Elasticsearch en desuso también se ha actualizado para garantizar la compatibilidad con versiones anteriores. | 7 de noviembre de 2022 |
| Actualización de `AmazonOpenSearchServiceRolePolicy` y `AmazonElasticsearchServiceRolePolicy` | Se agregó soporte para la `PutMetricData` acción, que es necesario para publicar las métricas OpenSearch del clúster en Amazon CloudWatch. La política de Elasticsearch en desuso también se ha actualizado para garantizar la compatibilidad con versiones anteriores. Para ver la política JSON, consulte la [consola de IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy). | 12 de septiembre de 2022 |
| Actualización de `AmazonOpenSearchServiceRolePolicy` y `AmazonElasticsearchServiceRolePolicy` | Se ha agregado compatibilidad con el tipo de recurso `acm`. [La política proporciona el permiso mínimo AWS Certificate Manager (ACM) de solo lectura necesario para que el [rol vinculado al servicio](slr-aos.md#slr-permissions) verifique y valide los recursos de ACM con el fin de crear y actualizar dominios personalizados habilitados para terminales.](customendpoint.md) La política de Elasticsearch en desuso también se ha actualizado para garantizar la compatibilidad con versiones anteriores. | 28 de julio de 2022 |
| Actualización de `AmazonOpenSearchServiceCognitoAccess` y `AmazonESCognitoAccess` | Se agregó soporte para la `UpdateUserPoolClient` acción, que es necesario para establecer la configuración del grupo de usuarios de Cognito durante la actualización de Elasticsearch a. OpenSearch Se han corregido los permisos de la acción `SetIdentityPoolRoles` para permitir el acceso a todos los recursos. La política de Elasticsearch en desuso también se ha actualizado para garantizar la compatibilidad con versiones anteriores. | 20 de diciembre de 2021 |
| Se ha actualizado `AmazonOpenSearchServiceRolePolicy` | Se ha agregado compatibilidad con el tipo de recurso `security-group`. La política proporciona los permisos mínimos de Amazon EC2 y Elastic Load Balancing necesarios para [el rol vinculado a servicios](slr-aos.md#slr-permissions) a fin de habilitar el [acceso mediante la VPC](cognito-auth.md). | 9 de septiembre de 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/ac-managed.html) | Esta nueva política tiene por objeto sustituir a la política anterior. Ambas políticas proporcionan acceso completo a la API de configuración del OpenSearch servicio y a todos los métodos HTTP del. OpenSearch APIs El [control de acceso detallado](fgac.md) y las [políticas basadas en recursos](ac.md#ac-types-resource) aún pueden restringir el acceso. | 7 de septiembre de 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/ac-managed.html) | Esta nueva política tiene por objeto sustituir a la política anterior. Ambas políticas proporcionan acceso de solo lectura a la API de configuración del OpenSearch servicio (`es:Describe*``es:List*`, y`es:Get*`) y *no* proporcionan acceso a los métodos HTTP para la. OpenSearch APIs | 7 de septiembre de 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/ac-managed.html) | Esta nueva política tiene por objeto sustituir a la política anterior. Ambas políticas proporcionan los permisos mínimos de Amazon Cognito necesarios para habilitar la [autenticación de Cognito](cognito-auth.md). | 7 de septiembre de 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/ac-managed.html) | Esta nueva política tiene por objeto sustituir a la política anterior. Ambas políticas proporcionan los permisos mínimos de Amazon EC2 y Elastic Load Balancing necesarios para [el rol vinculado a servicios](slr-aos.md#slr-permissions) a fin de habilitar el [acceso mediante la VPC](cognito-auth.md). | 7 de septiembre de 2021 |
| Comenzó el seguimiento de los cambios | Amazon OpenSearch Service ahora rastrea los cambios en las políticas AWS gestionadas. | 7 de septiembre de 2021 |