Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción general de la seguridad en Amazon OpenSearch Serverless
La seguridad de Amazon OpenSearch Serverless se diferencia fundamentalmente de la seguridad de Amazon OpenSearch Service en los siguientes aspectos:
| Característica | OpenSearch Servicio | OpenSearch Sin servidor |
| --- | --- | --- |
| Control de acceso a los datos | El acceso a los datos está determinado por las políticas de IAM y el control de acceso detallado. | El acceso a los datos está determinado por las políticas de acceso a los datos. |
| Cifrado en reposo | El cifrado en reposo es opcional para los dominios. | El cifrado en reposo es obligatorio para las colecciones. |
| Configuración y administración de seguridad | Debe configurar la red, el cifrado y el acceso a los datos de forma individual para cada dominio. | Puede usar políticas de seguridad para administrar la configuración de seguridad de varias colecciones a escala. |
El siguiente diagrama ejemplifica los componentes de seguridad que componen una colección funcional. A una colección se le debe asignar una clave de cifrado, una configuración de acceso a la red y una política de acceso a los datos coincidente que otorgue permisos a sus recursos.
![\[Diagram showing encryption, network, data access, and authentication policies for a collection.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-security.png)
**Topics**
+ [Políticas de cifrado](#serverless-security-encryption)
+ [Políticas de red](#serverless-security-network)
+ [Políticas de acceso a datos](#serverless-security-data-access)
+ [Autenticación SAML e IAM](#serverless-security-authentication)
+ [Seguridad de la infraestructura](#serverless-infrastructure-security)
+ [Introducción a la seguridad en Amazon OpenSearch Serverless](serverless-tutorials.md)
+ [Identity and Access Management para Amazon OpenSearch Serverless](security-iam-serverless.md)
+ [Cifrado en Amazon OpenSearch Serverless](serverless-encryption.md)
+ [Acceso a la red para Amazon OpenSearch Serverless](serverless-network.md)
+ [Conformidad con FIPS en Amazon Serverless OpenSearch](fips-compliance-opensearch-serverless.md)
+ [Control de acceso a datos para Amazon OpenSearch Serverless](serverless-data-access.md)
+ [Acceso al plano de datos a través de AWS PrivateLink](serverless-vpc.md)
+ [Acceso al plano de control a través de AWS PrivateLink](serverless-vpc-cp.md)
+ [Autenticación SAML para Amazon Serverless OpenSearch](serverless-saml.md)
+ [Validación de conformidad para Amazon OpenSearch Serverless](serverless-compliance-validation.md)
## Políticas de cifrado
[Las políticas de cifrado](serverless-encryption.md) definen si sus colecciones se cifran con una clave gestionada por el cliente Clave propiedad de AWS o con una clave gestionada por el cliente. Las políticas de cifrado constan de dos componentes: un **patrón de recursos** y una **clave de cifrado**. El patrón de recursos define a qué colección o colecciones se aplica la política. La clave de cifrado determina cómo se protegerán las colecciones asociadas.
Para aplicar una política a varias colecciones debe incluir un comodín (\$1) en la regla de política. Por ejemplo, la siguiente política se aplica a todas las colecciones cuyos nombres comiencen por “logs” (registros).
![\[Input field for specifying a prefix term or collection name, with "logs*" entered.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-security-encryption.png)
Las políticas de cifrado agilizan el proceso de creación y administración de colecciones, especialmente cuando se hace mediante programación. Puede crear una colección especificando un nombre y, al crearla, se le asigna de forma automática una clave de cifrado.
## Políticas de red
Las [políticas de red](serverless-network.md) definen si se puede acceder a las colecciones de forma privada o a través de Internet desde redes públicas. *Se puede acceder a las colecciones privadas a través de puntos de enlace de VPC OpenSearch gestionados sin servidor o mediante dispositivos específicos, Servicios de AWS como Amazon Bedrock, mediante acceso privado.Servicio de AWS * Al igual que las políticas de cifrado, las políticas de red se pueden aplicar a varias colecciones, lo que le permite administrar el acceso a la red para muchas colecciones a gran escala.
Las políticas de red constan de dos componentes: un **tipo de acceso** y un **tipo de recurso**. El tipo de acceso puede ser público o privado. El tipo de recurso determina si el acceso que elija se aplica al punto final de la colección, al punto final de Dashboards o a ambos. OpenSearch
![\[Access type and resource type options for configuring network policies in OpenSearch.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-security-network.png)
Si planea configurar el acceso a la VPC dentro de una política de red, primero debe crear uno o más puntos de enlace de VPC [OpenSearch administrados sin servidor](serverless-vpc.md). Estos puntos de enlace le permiten acceder a OpenSearch Serverless como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect
El acceso privado a solo Servicios de AWS se puede aplicar al punto final de la colección, no al OpenSearch punto final de Dashboards. OpenSearch Servicios de AWS no se le puede conceder acceso a los OpenSearch paneles.
## Políticas de acceso a datos
Las [políticas de acceso a datos](serverless-data-access.md) definen la forma en que los usuarios acceden a los datos de sus colecciones. Las políticas de acceso a datos le ayudan a administrar las colecciones a escala mediante la asignación automática de permisos de acceso a las colecciones e índices que coinciden con un patrón específico. Se pueden aplicar varias políticas a un solo recurso.
Las políticas de acceso a datos constan de un conjunto de reglas, cada una con tres componentes: un **tipo de recurso**, **los recursos concedidos** y un conjunto de **permisos**. El tipo de recurso puede ser una colección o un índice. Los recursos otorgados pueden ser collection/index nombres o patrones con un comodín (\$1). La lista de permisos especifica a qué [operaciones de OpenSearch API](serverless-genref.md#serverless-operations) concede acceso la política. Además, la política contiene una lista de **entidades principales**, que especifican los roles, los usuarios y las identidades SAML de IAM a los que se debe conceder acceso.
![\[Selected principals and granted resources with permissions for collection and index access.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-data-access.png)
Para obtener más información sobre el formato de una política de acceso a datos, consulte la [sintaxis de la política](serverless-data-access.md#serverless-data-access-syntax).
Antes de crear una política de acceso a datos, debe tener uno o más roles o usuarios de IAM, o identidades SAML, a los que proporcionar acceso en la política. Para más información, consulte la siguiente sección.
**nota**
Al cambiar del acceso público al privado para su colección, se eliminará la pestaña Índices de la consola de colecciones OpenSearch sin servidor.
## Autenticación SAML e IAM
La entidad principal de IAM y las identidades de SAML son uno de los componentes básicos de una política de acceso a los datos. En la instrucción `principal` de una política de acceso puede incluir roles, usuarios e identidades SAML de IAM. A estas entidades principales se le conceden los permisos que usted especifique en las reglas de política asociadas.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/marketing/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie"
]
}
]
```
La autenticación SAML se configura directamente en Serverless. OpenSearch Para obtener más información, consulte [Autenticación SAML para Amazon Serverless OpenSearch](serverless-saml.md).
## Seguridad de la infraestructura
Amazon OpenSearch Serverless está protegido por la seguridad de AWS la red global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon OpenSearch Serverless a través de la red. Los clientes deben admitir Transport Layer Security (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3. Para obtener una lista de los cifrados compatibles con TLS 1.3, consulte los [protocolos y cifrados TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html#tls-protocols-ciphers) en la documentación de Elastic Load Balancing.
Además, debe firmar las solicitudes mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
# Introducción a la seguridad en Amazon OpenSearch Serverless
Los siguientes tutoriales le ayudan a empezar a utilizar Amazon OpenSearch Serverless. Ambos tutoriales siguen los mismos pasos básicos, pero uno usa la consola mientras que el otro usa la AWS CLI.
Tenga en cuenta que los casos de uso de estos tutoriales están simplificados. Las políticas de red y seguridad son bastante abiertas. En las cargas de trabajo de producción, se recomienda configurar funciones de seguridad más sólidas, como la autenticación SAML, el acceso a la VPC y las políticas de acceso restrictivo a los datos.
**Topics**
+ [Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (consola)](gsg-serverless.md)
+ [Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md)
# Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (consola)
En este tutorial, se explican los pasos básicos para crear y gestionar políticas de seguridad mediante la consola Amazon OpenSearch Serverless.
En este tutorial, debe completar los siguientes pasos:
1. [Configurar permisos](#gsgpermissions)
1. [Crear una política de cifrado](#gsg-encryption)
1. [Crear una política de red](#gsg-network)
1. [Configurar la política de acceso a datos](#gsg-data-access)
1. [Crear una colección](#gsgcreate-collection)
1. [Cargar y buscar datos](#gsgindex-collection)
En este tutorial se explica cómo configurar una colección mediante. Consola de administración de AWS Para ver los mismos pasos con el AWS CLI, consulte[Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md).
## Paso 1: Configurar los permisos
**nota**
Puedes omitir este paso si ya utilizas una política más amplia basada en la identidad, como `Action":"aoss:*"` o `Action":"*"`. Sin embargo, en entornos de producción, le recomendamos que siga la entidad principal del privilegio mínimo y solo asigne los permisos mínimos necesarios para completar una tarea.
Para completar este tutorial, debe tener los permisos de IAM correctos. Su usuario o rol debe tener adjunta una [política basada en la identidad](security-iam-serverless.md#security-iam-serverless-id-based-policies) con los siguientes permisos mínimos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:CreateCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:ListSecurityPolicies",
"aoss:CreateAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:ListAccessPolicies"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Para obtener una lista completa de los permisos OpenSearch sin servidor, consulte[Identity and Access Management para Amazon OpenSearch Serverless](security-iam-serverless.md).
## Paso 2: Crear una política de cifrado
[Las políticas de cifrado](serverless-encryption.md) especifican la AWS KMS clave que OpenSearch Serverless utilizará para cifrar la colección. Puede cifrar las colecciones con una clave Clave administrada de AWS o una clave diferente. Para simplificar este tutorial, cifraremos nuestra colección con un Clave administrada de AWS.
**Para crear una política de cifrado**
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Expanda **Sin servidor** en el panel de navegación de la izquierda y seleccione **Políticas de red**.
1. Seleccione **Crear política de cifrado**.
1. Asigne el nombre de esta política a **los libros de políticas**. Para la descripción, introduzca **Política de cifrado para la colección de libros**.
1. En **Recursos**, introduzca **libros**, que es el nombre con el que llamará su colección. Si desea que este sea más extenso, puede incluir un asterisco (`books*`) para que la política se aplique a todas las colecciones que comiencen por la palabra “libros”.
1. Para el **cifrado**, mantén seleccionada la ** AWS opción Usar clave** propia.
1. Seleccione **Crear**.
## Paso 3: crear una política de red
[Las políticas de red](serverless-network.md) determinan si se puede acceder a la colección a través de Internet desde redes públicas o si se debe acceder a ella a través de puntos de conexión de VPC OpenSearch gestionados sin servidor. En este tutorial, configuraremos el acceso público.
**Crear una política de red**
1. Seleccione **Políticas** en el panel de navegación de la izquierda y, a continuación, **Crear política**.
1. Asigne el nombre de esta política a **los libros de políticas**. Para la descripción, introduzca **Política de redes para la colección de libros**.
1. En la **Regla 1**, asígnele un nombre a la regla **Acceso público a la colección de libros**.
1. Para simplificar este tutorial, configuraremos el acceso público para la colección de *libros*. Para el tipo de acceso, seleccione **Público**.
1. Vamos a acceder a la colección desde los paneles. OpenSearch Para ello, debe configurar el acceso a la red para los paneles *y* el OpenSearch punto final; de lo contrario, los paneles no funcionarán.
Para el tipo de recurso, habilite el **acceso a los OpenSearch puntos finales y el **acceso** a** los paneles. OpenSearch
1. En ambos cuadros de entrada, introduzca **Nombre de la colección = libros**. Esta configuración reduce el alcance de la política para que solo se aplique a una única colección (`books`). La regla debe tener un aspecto similar al siguiente:
![\[Search interface showing two input fields for collection or prefix term selection, both set to "books".\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-tutorial-network.png)
1. Seleccione **Crear**.
## Paso 4: crear una política de acceso a datos
No podrá acceder a los datos de su colección hasta que configure el acceso a los datos. Las [políticas de acceso a los datos](serverless-data-access.md) son independientes de la política basada en identidades de IAM que configuró en el paso 1. Permiten a los usuarios acceder a los datos reales de una colección.
En este tutorial, le brindamos a un solo usuario los permisos necesarios para indexar datos en la colección de *libros*.
**Para crear una política de acceso a datos**
1. En el panel de navegación de la izquierda, seleccione **Políticas de acceso a datos** y **Crear política de acceso**.
1. Asigne el nombre de esta política a **los libros de políticas**. Para la descripción, introduzca **Política de acceso de datos para la colección de libros**.
1. Seleccione **JSON** para el método de definición de políticas y pegue la siguiente política en el editor de JSON.
Sustituya el ARN principal por el ARN de la cuenta que usará para iniciar sesión en los OpenSearch paneles e indexar datos.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/books/*"
],
"Permission":[
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/my-user"
]
}
]
```
Esta política proporciona a un solo usuario los permisos mínimos necesarios para crear un índice en la colección de *libros*, indexar algunos datos y buscarlos.
1. Seleccione **Crear**.
## Paso 5: crear una colección
Como ya configuró las políticas de cifrado y red, puede crear una colección coincidente y la configuración de seguridad se le aplicará automáticamente.
**Para crear una colección sin servidor OpenSearch**
1. Seleccione **Colecciones** en el panel de navegación de la izquierda y elija **Crear colección**.
1. Nombre los **libros** de la colección.
1. Para el tipo de colección, seleccione **Buscar**.
1. En **Cifrado**, OpenSearch Serverless le informa de que el nombre de la colección coincide con la política de `books-policy` cifrado.
1. En la **configuración de acceso a la red**, OpenSearch Serverless le informa de que el nombre de la colección coincide con la política de `books-policy` red.
1. Elija **Siguiente**.
1. En **las opciones de la política de acceso a los datos**, OpenSearch Serverless le informa de que el nombre de la colección coincide con la política de acceso a los `books-policy` datos.
1. Elija **Siguiente**.
1. Revise la configuración de la colección y seleccione **Enviar**. Las colecciones suelen tardar menos de un minuto en inicializarse.
## Paso 6: Cargar y buscar datos
Puede cargar datos a una colección OpenSearch sin servidor mediante Postman o curl. Para abreviar, en estos ejemplos se utilizan las **herramientas de desarrollo** de la consola de Dashboards. OpenSearch
**Para indexar y buscar datos en la colección**
1. Seleccione **Colecciones** en el panel de navegación de la izquierda y elija la colección de **libros** para abrir su página de detalles.
1. Elija la URL de los OpenSearch paneles de control para la colección. La URL toma el formato `https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards`.
1. Inicie sesión en OpenSearch Dashboards con las [claves de AWS acceso y secreta](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-appendix-sign-up.html) del director que especificó en su política de acceso a los datos.
1. En los OpenSearch paneles, abra el menú de navegación de la izquierda y seleccione Herramientas de **desarrollo**.
1. Para crear un índice único denominado *books-index*, ejecute el siguiente comando:
```
PUT books-index
```
![\[OpenSearch Dashboards console showing PUT request for books-index with JSON response.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-createindex.png)
1. Para indexar un solo documento en *books-index*, ejecute el siguiente comando:
```
PUT books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
1. Para buscar datos en los OpenSearch paneles, debe configurar al menos un patrón de índice. OpenSearch utiliza estos patrones para identificar los índices que desea analizar. Abra el menú principal de Dashboards, seleccione **Gestión de pilas**, luego seleccione **Patrones de índice** y, a continuación, seleccione **Crear patrón de índice**. Para este tutorial, introduzca *books-index*.
1. seleccione **Siguiente paso** y, a continuación, seleccione **Crear patrón de índice**. Una vez creado el patrón, puede ver los diversos campos de documento, como `author` y `title`.
1. Para comenzar a buscar los datos, vuelva a abrir el menú principal y elija **Explorar** o utilice la [API de búsqueda](https://opensearch.org/docs/latest/opensearch/rest-api/search/).
# Tutorial: Introducción a la seguridad en Amazon OpenSearch Serverless (CLI)
En este tutorial se explican los pasos descritos en el tutorial de [introducción a la consola](gsg-serverless.md) en materia de seguridad, pero se utiliza la consola de servicio AWS CLI en lugar de la consola de OpenSearch servicio.
En este tutorial, deberá completar los siguientes pasos:
1. Creación de una política de permisos de IAM
1. Anexo de la política de IAM a un rol de IAM
1. Crear una política de cifrado
1. Crear una política de red
1. Crear una recopilación
1. Configurar la política de acceso a datos
1. Recuperación del punto de conexión de la colección
1. Carga de los datos a su conexión
1. Búsqueda de datos en su colección
El objetivo de este tutorial es configurar una única colección OpenSearch sin servidor con una configuración bastante sencilla de cifrado, red y acceso a los datos. Por ejemplo, configuraremos el acceso a la red pública, el cifrado y una Clave administrada de AWS política de acceso a los datos simplificada que conceda permisos mínimos a un solo usuario.
En un escenario de producción, considere implementar una configuración más robusta, incluyendo autenticación SAML, una clave de cifrado personalizada y acceso VPC.
**Para empezar con las políticas de seguridad en OpenSearch Serverless**
1.
**nota**
Puede omitir este paso si ya utilizas una política más amplia basada en la identidad, como `Action":"aoss:*"` o `Action":"*"`. Sin embargo, en entornos de producción, le recomendamos que siga la entidad principal del privilegio mínimo y solo asigne los permisos mínimos necesarios para completar una tarea.
Para empezar, cree una AWS Identity and Access Management política con los permisos mínimos necesarios para realizar los pasos de este tutorial. Le pondremos a la política el siguiente nombre `TutorialPolicy`:
```
aws iam create-policy \
--policy-name TutorialPolicy \
--policy-document "{\"Version\": \"2012-10-17\",\"Statement\": [{\"Action\": [\"aoss:ListCollections\",\"aoss:BatchGetCollection\",\"aoss:CreateCollection\",\"aoss:CreateSecurityPolicy\",\"aoss:GetSecurityPolicy\",\"aoss:ListSecurityPolicies\",\"aoss:CreateAccessPolicy\",\"aoss:GetAccessPolicy\",\"aoss:ListAccessPolicies\"],\"Effect\": \"Allow\",\"Resource\": \"*\"}]}"
```
**Respuesta de ejemplo**
```
{
"Policy": {
"PolicyName": "TutorialPolicy",
"PolicyId": "ANPAW6WRAECKG6QJWUV7U",
"Arn": "arn:aws:iam::123456789012:policy/TutorialPolicy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-10-16T20:57:18+00:00",
"UpdateDate": "2022-10-16T20:57:18+00:00"
}
}
```
1. Asocie `TutorialPolicy` al rol de IAM que indexará y buscará datos en la colección. Le pondremos al usuario el siguiente nombre `TutorialRole`:
```
aws iam attach-role-policy \
--role-name TutorialRole \
--policy-arn arn:aws:iam::123456789012:policy/TutorialPolicy
```
1. Antes de crear una colección, debe crear una [política de cifrado](serverless-encryption.md) que asigne una Clave propiedad de AWS a la colección de *libros* que creará en un paso posterior.
Envíe la siguiente solicitud para crear una política de cifrado para la colección de *libros*:
```
aws opensearchserverless create-security-policy \
--name books-policy \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AWSOwnedKey\":true}"
```
**Respuesta de ejemplo**
```
{
"securityPolicyDetail": {
"type": "encryption",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDAwNTk5MF8x",
"policy": {
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AWSOwnedKey": true
},
"createdDate": 1669240005990,
"lastModifiedDate": 1669240005990
}
}
```
1. Cree una [política de red](serverless-network.md) que proporcione acceso público a la colección de *libros*:
```
aws opensearchserverless create-security-policy --name books-policy --type network \
--policy "[{\"Description\":\"Public access for books collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/books\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AllowFromPublic\":true}]"
```
**Respuesta de ejemplo**
```
{
"securityPolicyDetail": {
"type": "network",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDI1Njk1NV8x",
"policy": [
{
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "dashboard"
},
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AllowFromPublic": true,
"Description": "Public access for books collection"
}
],
"createdDate": 1669240256955,
"lastModifiedDate": 1669240256955
}
}
```
1. Crea la colección de *libros*:
```
aws opensearchserverless create-collection --name books --type SEARCH
```
**Respuesta de ejemplo**
```
{
"createCollectionDetail": {
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "CREATING",
"type": "SEARCH",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"kmsKeyArn": "auto",
"createdDate": 1669240325037,
"lastModifiedDate": 1669240325037
}
}
```
1. Cree una [política de acceso a datos](serverless-data-access.md) que proporcione los permisos mínimos para indexar y buscar datos en la colección de *libros*. Reemplace entidad principal de ARN por el ARN de `TutorialRole` del paso 1:
```
aws opensearchserverless create-access-policy \
--name books-policy \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"index\",\"Resource\":[\"index\/books\/books-index\"],\"Permission\":[\"aoss:CreateIndex\",\"aoss:DescribeIndex\",\"aoss:ReadDocument\",\"aoss:WriteDocument\",\"aoss:UpdateIndex\",\"aoss:DeleteIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:role\/TutorialRole\"]}]"
```
**Respuesta de ejemplo**
```
{
"accessPolicyDetail": {
"type": "data",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDM5NDY1M18x",
"policy": [
{
"Rules": [
{
"Resource": [
"index/books/books-index"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateDocument",
"aoss:DeleteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::123456789012:role/TutorialRole"
]
}
],
"createdDate": 1669240394653,
"lastModifiedDate": 1669240394653
}
}
```
`TutorialRole` ahora debería poder indexar y buscar documentos en la colección de *libros*.
1. Para realizar llamadas a la OpenSearch API, necesitas el punto final de recopilación. Envíe la siguiente solicitud para recuperar el parámetro `collectionEndpoint`:
```
aws opensearchserverless batch-get-collection --names books
```
**Respuesta de ejemplo**
```
{
"collectionDetails": [
{
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "ACTIVE",
"type": "SEARCH",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"createdDate": 1665765327107,
"collectionEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/_dashboards"
}
],
"collectionErrorDetails": []
}
```
**nota**
No podrá ver el punto de conexión de la colección hasta que el estado de la colección cambie a `ACTIVE`. Puede que tenga que hacer varias llamadas para comprobar el estado hasta que la colección se haya creado de forma correcta.
1. Utilice una herramienta HTTP como [Postman](https://www.getpostman.com/) o curl para indexar los datos de la colección de *libros*. Crearemos un índice llamado *books-index* y agregaremos un solo documento.
Envíe la siguiente solicitud al punto de conexión de la colección que recuperó en el paso anterior, con las credenciales `TutorialRole`.
```
PUT https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
**Respuesta de ejemplo**
```
{
"_index" : "books-index",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 0,
"successful" : 0,
"failed" : 0
},
"_seq_no" : 0,
"_primary_term" : 0
}
```
1. Para empezar a buscar datos en tu colección, utilice la [API de búsqueda](https://opensearch.org/docs/latest/opensearch/rest-api/search/). La siguiente consulta representa una búsqueda básica:
```
GET https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_search
```
**Respuesta de ejemplo**
```
{
"took": 405,
"timed_out": false,
"_shards": {
"total": 6,
"successful": 6,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 2,
"relation": "eq"
},
"max_score": 1.0,
"hits": [
{
"_index": "books-index:0::3xJq14MBUaOS0wL26UU9:0",
"_id": "F_bt4oMBLle5pYmm5q4T",
"_score": 1.0,
"_source": {
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
}
]
}
}
```
# Identity and Access Management para Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) para usar OpenSearch los recursos sin servidor. La IAM es una opción Servicio de AWS que puede utilizar sin coste adicional.
**Topics**
+ [Políticas basadas en la identidad para Serverless OpenSearch](#security-iam-serverless-id-based-policies)
+ [Acciones políticas para Serverless OpenSearch](#security-iam-serverless-id-based-policies-actions)
+ [Recursos de políticas para Serverless OpenSearch](#security-iam-serverless-id-based-policies-resources)
+ [Claves de condición de la política para Amazon OpenSearch Serverless](#security_iam_serverless-conditionkeys)
+ [ABAC con Serverless OpenSearch](#security_iam_serverless-with-iam-tags)
+ [Uso de credenciales temporales con Serverless OpenSearch](#security_iam_serverless-tempcreds)
+ [Funciones vinculadas a servicios para Serverless OpenSearch](#security_iam_serverless-slr)
+ [Otros tipos de políticas](#security_iam_access-manage-other-policies)
+ [Ejemplos de políticas basadas en la identidad para sistemas sin servidor OpenSearch](#security_iam_serverless_id-based-policy-examples)
+ [Soporte de IAM Identity Center para Amazon Serverless OpenSearch](serverless-iam-identity-center.md)
## Políticas basadas en la identidad para Serverless OpenSearch
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para Serverless OpenSearch
Para ver ejemplos de políticas basadas en la identidad de OpenSearch Serverless, consulte. [Ejemplos de políticas basadas en la identidad para sistemas sin servidor OpenSearch](#security_iam_serverless_id-based-policy-examples)
## Acciones políticas para Serverless OpenSearch
**Compatibilidad con las acciones de políticas:** sí
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones de política suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como *acciones de solo permiso* que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan *acciones dependientes*.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de política en OpenSearch Serverless utilizan el siguiente prefijo antes de la acción:
```
aoss
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
Puede especificar varias acciones utilizando caracteres comodín (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "aoss:List*"
```
Para ver ejemplos de políticas basadas en la identidad de OpenSearch Serverless, consulte. [Ejemplos de políticas basadas en la identidad para Serverless OpenSearch](#security_iam_id-based-policy-examples)
## Recursos de políticas para Serverless OpenSearch
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
## Claves de condición de la política para Amazon OpenSearch Serverless
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Además del control de acceso basado en atributos (ABAC), OpenSearch Serverless admite las siguientes claves de condición:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
Puede utilizar estas claves de condición incluso al proporcionar políticas de acceso y de seguridad. Por ejemplo:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
En este ejemplo, la condición se aplica a las políticas que contienen *reglas* que coinciden tanto con el nombre como con el patrón de una colección. Las condiciones funcionan de la el siguiente manera:
+ `StringEquals`: se aplica a políticas con reglas que contienen la cadena de *exacta* de recursos “log” (es decir,`collection/log`).
+ `StringLike`: se aplica a políticas con reglas que contienen la cadena de recursos que *incluye* la cadena “log” (es decir, `collection/log` pero también `collection/logs-application` o `collection/applogs123`).
**nota**
Las claves de condiciones de *colección* no se aplican a nivel de índice. Por ejemplo, en la política anterior, la condición no se aplicaría a una política de acceso o seguridad que contenga la cadena de recursos`index/logs-application/*`.
Para ver una lista de claves de condición de OpenSearch Serverless, consulte [Claves de condición de Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys) en la Referencia de *autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions).
## ABAC con Serverless OpenSearch
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre el etiquetado de recursos OpenSearch sin servidor, consulte. [Etiquetado de colecciones de Amazon OpenSearch Serverless](tag-collection.md)
## Uso de credenciales temporales con Serverless OpenSearch
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Funciones vinculadas a servicios para Serverless OpenSearch
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación y administración de funciones vinculadas a servicios OpenSearch sin servidor, consulte. [Uso de roles vinculados a servicios para crear colecciones sin servidor OpenSearch](serverless-service-linked-roles.md)
## Otros tipos de políticas
AWS admite tipos de políticas adicionales y menos comunes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
+ **Políticas de control de servicios (SCPs)**: SCPs son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). AWS Organizations AWS Organizations es un servicio para agrupar y administrar de forma centralizada varias AWS cuentas que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. El SCP limita los permisos de las entidades en las cuentas de los miembros, incluido cada usuario raíz de la AWS cuenta. Para obtener más información sobre Organizations SCPs, consulte las [políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de control de recursos (RCPs)**: RCPs son políticas de JSON que puedes usar para establecer los permisos máximos disponibles para los recursos de tus cuentas sin actualizar las políticas de IAM asociadas a cada recurso que poseas. La RCP limita los permisos de los recursos en las cuentas de miembros y puede afectar a los permisos efectivos de las identidades, incluidos los usuarios raíz de la cuenta de AWS , independientemente de si pertenecen a su organización. Para obtener más información sobre Organizations e RCPs incluir una lista de AWS los servicios compatibles RCPs, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
## Ejemplos de políticas basadas en la identidad para sistemas sin servidor OpenSearch
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar OpenSearch recursos de Serverless. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon OpenSearch Serverless, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html) en la Referencia de *autorización de servicios*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_serverless-policy-best-practices)
+ [Uso de Serverless en la consola OpenSearch](#security_iam_serverless_id-based-policy-examples-console)
+ [Administrar colecciones OpenSearch sin servidor](#security_iam_id-based-policy-examples-collection-admin)
+ [Visualización de colecciones OpenSearch sin servidor](#security_iam_id-based-policy-examples-view-collections)
+ [Uso de operaciones OpenSearch de API](#security_iam_id-based-policy-examples-data-plane)
+ [ABAC para operaciones de API OpenSearch](#security_iam_id-based-policy-examples-data-plane-abac)
### Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades son muy eficaces. Determinan si alguien puede crear, eliminar o acceder a los recursos de OpenSearch Serverless de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
Las políticas basadas en la identidad determinan si alguien puede crear recursos OpenSearch sin servidor de su cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
### Uso de Serverless en la consola OpenSearch
Para acceder a OpenSearch Serverless desde la consola de OpenSearch servicio, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de OpenSearch Serverless de su AWS cuenta. Si se crea una política basada en identidades que es más restrictiva que los permisos necesarios mínimos, la consola no funcionará del modo esperado para las entidades (tales como roles de IAM) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
La siguiente política permite a un usuario acceder a OpenSearch Serverless desde la consola OpenSearch de servicio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### Administrar colecciones OpenSearch sin servidor
Esta política es un ejemplo de una política de «administración de colecciones» que permite a un usuario gestionar y administrar las colecciones de Amazon OpenSearch Serverless. El usuario puede crear, ver y eliminar colecciones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### Visualización de colecciones OpenSearch sin servidor
Este ejemplo de política permite a un usuario ver los detalles de todas las colecciones de Amazon OpenSearch Serverless de su cuenta. El usuario no puede modificar las colecciones ni las políticas de seguridad asociadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### Uso de operaciones OpenSearch de API
Las operaciones de la API del plano de datos consisten en las funciones que se utilizan en OpenSearch Serverless para obtener el valor del servicio en tiempo real. Las operaciones de la API del plano de control consisten en las funciones que se utilizan para configurar el entorno.
Para acceder al plano de datos APIs y a los OpenSearch paneles de Amazon OpenSearch Serverless desde el navegador, debe añadir dos permisos de IAM para los recursos de recopilación. Estos permisos son `aoss:APIAccessAll` y `aoss:DashboardsAccessAll`.
**nota**
A partir del 10 de mayo de 2023, OpenSearch Serverless requerirá estos dos nuevos permisos de IAM para los recursos de recopilación. El `aoss:APIAccessAll` permiso permite el acceso al plano de datos y el `aoss:DashboardsAccessAll` permiso permite acceder a los OpenSearch paneles desde el navegador. Si no se agregan los dos nuevos permisos de IAM, se produce un error 403.
Este ejemplo de política permite a un usuario acceder al plano de datos APIs de una colección específica de su cuenta y acceder a los OpenSearch paneles de control de todas las colecciones de su cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
Ambos `aoss:APIAccessAll` `aoss:DashboardsAccessAll` otorgan permisos de IAM completos a los recursos de la colección, mientras que el permiso de paneles también proporciona OpenSearch acceso a los paneles. Cada permiso funciona de forma independiente, por lo que una denegación explícita de `aoss:APIAccessAll` no bloquea el acceso `aoss:DashboardsAccessAll` a los recursos, incluidas las herramientas para desarrolladores. Lo mismo ocurre con una denegación. `aoss:DashboardsAccessAll` OpenSearch Serverless admite las siguientes claves de condición globales:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
El siguiente es un ejemplo de cómo usar `aws:SourceIp` en el bloque de condición de la política de IAM de su principal para llamadas al plano de datos:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
El siguiente es un ejemplo de cómo usar `aws:SourceVpc` en el bloque de condición de la política de IAM de su principal para llamadas al plano de datos:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
Además, se ofrece soporte para las siguientes claves específicas de OpenSearch Serverless:
+ `aoss:CollectionId`
+ `aoss:collection`
El siguiente es un ejemplo de cómo usar `aoss:collection` en el bloque de condición de la política de IAM de su principal para llamadas al plano de datos:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### ABAC para operaciones de API OpenSearch
Las políticas basadas en la identidad le permiten usar etiquetas para controlar el acceso al plano de datos de Amazon OpenSearch Serverless. APIs La siguiente política es un ejemplo para permitir que los directores adjuntos accedan al plano de datos APIs si la colección tiene la etiqueta: `team:devops`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
La siguiente política es un ejemplo para denegar a los directores adjuntos el acceso al plano de datos APIs y a los paneles si la colección tiene la etiqueta: `environment:production`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless no admite claves `RequestTag` de condición `TagKeys` globales para el plano de datos. APIs
# Soporte de IAM Identity Center para Amazon Serverless OpenSearch
## Soporte de IAM Identity Center para Amazon Serverless OpenSearch
Puede utilizar los elementos principales del IAM Identity Center (usuarios y grupos) para acceder a los datos de Amazon OpenSearch Serverless a través de Amazon Applications. OpenSearch Para habilitar la compatibilidad con IAM Identity Center para Amazon OpenSearch Serverless, necesitará habilitar el uso de IAM Identity Center. Para obtener más información sobre cómo hacerlo, consulte [¿Qué es Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
**nota**
Para acceder a las colecciones de Amazon OpenSearch Serverless mediante usuarios o grupos del Centro de Identidad de IAM, debe utilizar la función de OpenSearch interfaz de usuario (aplicaciones). No se admite el acceso directo a los paneles de control OpenSearch sin servidor con las credenciales del IAM Identity Center. Para obtener más información, consulte [Introducción a la OpenSearch interfaz de usuario](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).
Una vez creada la instancia del IAM Identity Center, el administrador de la cuenta del cliente debe crear una aplicación del IAM Identity Center para el servicio Amazon OpenSearch Serverless. [Esto se puede hacer llamando al:. CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html) El administrador de la cuenta del cliente puede especificar qué atributos se usarán para autorizar la solicitud. Los atributos predeterminados que se usan son `UserId` y `GroupId.`.
La integración del Centro de identidad de IAM para Amazon OpenSearch Serverless utiliza los siguientes permisos del Centro de identidad de AWS IAM (IAM):
+ `aoss:CreateSecurityConfig`: crear un proveedor de Centro de identidades de IAM
+ `aoss:ListSecurityConfig`: enumerar todos los proveedores de Centro de identidades de IAM en la cuenta actual.
+ `aoss:GetSecurityConfig`: ver información del proveedor de Centro de identidades de IAM.
+ `aoss:UpdateSecurityConfig`: modificar una configuración determinada de Centro de identidades de IAM
+ `aoss:DeleteSecurityConfig`: eliminación de un proveedor de confianza de Centro de identidades de IAM.
La siguiente política de acceso basada en la identidad se puede utilizar para gestionar todas las configuraciones del centro de identidad de IAM:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**nota**
El elemento `Resource` debe ser un comodín.
## Crear un proveedor de Centro de identidades de IAM (consola)
Puede crear un proveedor de centros de identidad de IAM para habilitar la autenticación con la aplicación. OpenSearch Para habilitar la autenticación del IAM Identity Center para los OpenSearch paneles, lleve a cabo los siguientes pasos:
1. Inicia sesión en la [consola OpenSearch de Amazon Service](https://console.aws.amazon.com/aos/home.).
1. En el panel de navegación izquierdo, expanda **sin servidor** y elija **Autenticación**.
1. Seleccione **Autenticación de Centro de identidades de IAM**.
1. Seleccione **Editar**.
1. Marque la casilla junto a Autenticarse con Centro de identidades de IAM.
1. Seleccione la clave de atributo de **usuario y grupo** del menú desplegable. Los atributos de usuario se usarán para autorizar a los usuarios según `UserName`, `UserId` y `Email`. Los atributos de grupo se usarán para autenticar a los usuarios según `GroupName` y `GroupId`.
1. Seleccione la instancia de **Centro de identidades de IAM**.
1. Seleccione **Guardar**.
## Crear un proveedor de Centro de identidades de IAM (AWS CLI)
Para crear un proveedor de un centro de identidad de IAM mediante AWS Command Line Interface (AWS CLI), utilice el siguiente comando:
```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
"instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
"userAttribute": "UserName",
"groupAttribute": "GroupId"
}'
```
Después de habilitar un Centro de identidades de IAM, los clientes solo pueden modificar los **atributos de usuario y grupo**.
```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id \
--config-version \
--iam-identity-center-options-updates '{
"userAttribute": "UserId",
"groupAttribute": "GroupId"
}'
```
Para ver el proveedor del centro de identidad de IAM mediante el AWS Command Line Interface, utilice el siguiente comando:
```
aws opensearchserverless list-security-configs --type iamidentitycenter
```
## Eliminar un proveedor de Centro de identidades de IAM
El IAM Identity Center ofrece dos instancias de proveedores, una para su cuenta de organización y otra para su cuenta de miembro. Si necesita cambiar su instancia del Centro de identidades de IAM, debe eliminar su configuración de seguridad a través de la API de `DeleteSecurityConfig` y crear una nueva configuración de seguridad usando la nueva instancia del Centro de identidades de IAM. El siguiente comando se puede usar para eliminar un proveedor de Centro de identidades de IAM:
```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id
```
## Conceder acceso de Centro de identidades de IAM a los datos de la colección
Después de habilitar su proveedor del Centro de identidades de IAM, puede actualizar la política de acceso a los datos de la colección para incluir entidades principales del Centro de identidades de IAM. Las entidades principales de Centro de identidades de IAM deben actualizarse en el siguiente formato:
```
[
{
"Rules":[
...
],
"Principal":[
"iamidentitycenter//user/",
"iamidentitycenter//group/"
]
}
]
```
**nota**
Amazon OpenSearch Serverless solo admite una instancia del centro de identidad de IAM para todas las colecciones de clientes y puede admitir hasta 100 grupos para un solo usuario. Si intenta usar más de la cantidad de instancias permitidas, experimentará inconsistencias con el procesamiento de autorización de la política de acceso a datos y recibirá un mensaje de error `403`.
Puede concederles acceso a colecciones, índices o ambos. Si desea que diferentes usuarios tengan distintos permisos, deberá crear múltiples reglas. Para ver una lista de los permisos disponibles, consulta [Identity and Access Management in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Para obtener información sobre cómo formatear una política de acceso, consulte [Conceder acceso a identidades SAML a los datos de la colección](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies).
# Cifrado en Amazon OpenSearch Serverless
## Cifrado en reposo
Cada colección de Amazon OpenSearch Serverless que cree está protegida con el cifrado de los datos en reposo, una característica de seguridad que ayuda a evitar el acceso no autorizado a sus datos. El cifrado en reposo utiliza AWS Key Management Service (AWS KMS) para almacenar y administrar sus claves de cifrado. Utiliza el algoritmo estándar de cifrado avanzado con claves de 256 bits (AES-256) para realizar el cifrado.
**Topics**
+ [Políticas de cifrado](#serverless-encryption-policies)
+ [Consideraciones](#serverless-encryption-considerations)
+ [Permisos necesarios](#serverless-encryption-permissions)
+ [Política de claves para una clave administrada por el cliente](#serverless-customer-cmk-policy)
+ [Cómo utiliza Serverless las subvenciones en OpenSearch AWS KMS](#serverless-encryption-grants)
+ [Creación de políticas de cifrado (consola)](#serverless-encryption-console)
+ [Creación de políticas de cifrado (AWS CLI)](#serverless-encryption-cli)
+ [Visualización de políticas de cifrado](#serverless-encryption-list)
+ [Actualización de políticas de cifrado](#serverless-encryption-update)
+ [Eliminación de políticas de cifrado](#serverless-encryption-delete)
### Políticas de cifrado
Con las políticas de cifrado, puede administrar numerosas colecciones a escala mediante la asignación automática de una clave de cifrado a las colecciones más recientes que coincidan con un nombre o un patrón específicos.
Al crear una política de cifrado, puede especificar un *prefijo*, que es una regla de coincidencia basada en caracteres comodín, como `MyCollection*`, o escribir un nombre de colección único. Después, cuando se cree una colección que coincida con ese patrón de nombre o prefijo, se le asignarán de forma automática la política y la clave de KMS correspondientes.
Al crear una colección, puede especificar una AWS KMS clave de dos maneras: mediante políticas de seguridad o directamente en la `CreateCollection` solicitud. Si proporciona una AWS KMS clave como parte de la `CreateCollection` solicitud, esta tendrá prioridad sobre cualquier política de seguridad coincidente. Con este enfoque, tiene la flexibilidad de anular la configuración de cifrado basada en políticas para colecciones específicas cuando sea necesario.
![\[Encryption policy creation process with rules and collection matching to KMS key.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-encryption.png)
Las políticas de cifrado contienen los siguientes elementos:
+ `Rules`: una o más reglas de coincidencia de colecciones, cada una con los siguientes subelementos:
+ `ResourceType`: en la actualidad, la única opción es “colección”. Las políticas de cifrado solo se aplican a los recursos de colecciones.
+ `Resource`: uno o más nombres o patrones de colección a los que se aplicará la política, en el formato `collection/`.
+ `AWSOwnedKey`: si se utiliza una Clave propiedad de AWS o no.
+ `KmsARN`: si configura el valor `AWSOwnedKey` en falso, especifique el nombre de recurso de Amazon (ARN) de la clave KMS con la que se va a cifrar las colecciones asociadas. Si incluye este parámetro, OpenSearch Serverless lo ignora. `AWSOwnedKey`
El siguiente ejemplo de política asignará una clave administrada por el cliente a cualquier colección futura denominada `autopartsinventory`, así como a las colecciones que comiencen por el término “ventas”:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Incluso si una política coincide con el nombre de una colección, puede optar por anular esta asignación automática durante la creación de la colección si el patrón de recursos contiene un comodín (\$1). Si decide anular la asignación automática de claves, OpenSearch Serverless crea una política de cifrado para usted denominada **auto-< *collection-name* >** y la adjunta a la colección. En un principio, la política solo se aplica a una única colección, pero se puede modificar para que incluya colecciones adicionales.
Si modifica las reglas de políticas para que dejen de coincidir con una colección, la clave KMS asociada continuará asignada a esa colección. La colección siempre permanece cifrada con su clave de cifrado inicial. Si desea cambiar la clave de cifrado de una colección, debe volver a crear la colección.
Si las reglas de varias políticas coinciden con una colección, se utiliza la regla más específica. Por ejemplo, si una política contiene una regla para `collection/log*` y otra para `collection/logSpecial`, se utiliza la clave de cifrado de la segunda política porque es más específica.
No puede usar un nombre o un prefijo en una política si ya existe en otra política. OpenSearch Serverless muestra un error si intenta configurar patrones de recursos idénticos en distintas políticas de cifrado.
### Consideraciones
Cuando configure el cifrado de las colecciones, tenga en cuenta lo siguiente:
+ El cifrado en reposo es *obligatorio* para todas las colecciones sin servidor.
+ Puede elegir entre utilizar una clave administrada por el cliente o una Clave propiedad de AWS. Si elige una clave administrada por el cliente, le recomendamos habilitar la [rotación automática de claves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
+ No se puede cambiar la clave de cifrado de una colección después de su creación. Elija cuidadosamente cuál AWS KMS desea usar la primera vez que configure una colección.
+ Una colección solo puede coincidir con una única política de cifrado.
+ Las colecciones con claves KMS únicas no pueden compartir OpenSearch Compute Units (OCUs) con otras colecciones. Cada colección con una clave única requiere sus propias 4 OCUs.
+ Si actualiza la clave KMS de una política de cifrado, el cambio no afectará a las colecciones coincidentes existentes con claves KMS ya asignadas.
+ OpenSearch Serverless no comprueba explícitamente los permisos de usuario en las claves administradas por el cliente. Si un usuario tiene permisos para acceder a una colección mediante una política de acceso a los datos, podrá incorporar y consultar los datos cifrados con la clave asociada.
### Permisos necesarios
El cifrado en reposo para OpenSearch Serverless utiliza los siguientes permisos AWS Identity and Access Management (IAM). Puede especificar las condiciones de IAM para restringir a los usuarios a colecciones específicas.
+ `aoss:CreateSecurityPolicy`: cree una política de cifrado.
+ `aoss:ListSecurityPolicies` enumere todas las políticas y colecciones de cifrado a las que están adjuntas.
+ `aoss:GetSecurityPolicy`: consulte los detalles de una política de cifrado específica.
+ `aoss:UpdateSecurityPolicy`: modifique una política de cifrado.
+ `aoss:DeleteSecurityPolicy`: elimine una política de cifrado.
El siguiente ejemplo de política de acceso basada en la identidad proporciona los permisos mínimos necesarios para que un usuario administre las políticas de cifrado con el patrón de recursos `collection/application-logs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"aoss:CreateSecurityPolicy",
"aoss:UpdateSecurityPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aoss:collection":"application-logs"
}
}
},
{
"Effect":"Allow",
"Action":[
"aoss:ListSecurityPolicies"
],
"Resource":"*"
}
]
}
```
------
### Política de claves para una clave administrada por el cliente
Si selecciona una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para proteger una colección, OpenSearch Serverless obtiene permiso para usar la clave KMS en nombre del responsable que realiza la selección. Ese principal, un usuario o un rol, debe tener los permisos en la clave de KMS que requiere OpenSearch Serverless. Puede proporcionar estos permisos en una [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) o en una [política de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html).
OpenSearch Serverless realiza `GenerateDataKey` llamadas a la API de `Decrypt` KMS durante las operaciones de mantenimiento, como el escalado automático y las actualizaciones de software. Es posible que observe que estas llamadas están fuera de sus patrones de tráfico habituales. Estas llamadas forman parte de las operaciones normales del servicio y no indican que haya tráfico de usuarios activos.
OpenSearch Serverless lanza una `KMSKeyInaccessibleException` cuando no puede acceder a la clave KMS que cifra los datos en reposo. Esto ocurre al deshabilitar o eliminar la clave KMS, o al revocar las concesiones que permiten a OpenSearch Serverless usar la clave.
Como mínimo, OpenSearch Serverless requiere los siguientes permisos en una clave administrada por el cliente:
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
Por ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
}
}
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
OpenSearch Serverless crea una concesión con los permisos [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) y [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
Para más información, consulte [Uso de políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía del desarrollador de AWS Key Management Service *.
### Cómo utiliza Serverless las subvenciones en OpenSearch AWS KMS
OpenSearch Serverless requiere una [subvención](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para poder utilizar una clave gestionada por el cliente.
Cuando creas una política de cifrado en tu cuenta con una clave nueva, OpenSearch Serverless crea una subvención en tu nombre enviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a. AWS KMS Las concesiones in AWS KMS se utilizan para permitir que OpenSearch Serverless acceda a una clave de KMS de la cuenta de un cliente.
OpenSearch Serverless requiere la concesión para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:
+ Envíe [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitudes AWS KMS a para comprobar que el identificador de clave simétrico gestionado por el cliente proporcionado es válido.
+ Envíe [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitudes a la clave KMS para crear claves de datos con las que cifrar objetos.
+ Envíe solicitudes de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS a para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos.
Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, OpenSearch Serverless no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a todas las operaciones que dependen de esos datos y provocará `AccessDeniedException` errores y fallas en los flujos de trabajo asíncronos.
OpenSearch Serverless retira las concesiones en un flujo de trabajo asíncrono cuando una clave determinada administrada por el cliente no está asociada a ninguna política o colección de seguridad.
### Creación de políticas de cifrado (consola)
En una política de cifrado, se especifica una clave KMS y una serie de patrones de colección a los que se aplicará la política. A cualquier colección nueva que coincida con uno de los patrones definidos en la política se le asignará la clave KMS correspondiente al crear la colección. Recomendamos que cree las políticas de cifrado *antes* de empezar a crear las colecciones.
**Para crear una política de cifrado sin servidor OpenSearch**
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación izquierdo, amplíe **Sin servidor** y seleccione **Políticas de cifrado**.
1. Seleccione **Crear política de cifrado**.
1. Escriba un nombre y una descripción para la política.
1. En **Recursos**, ingrese uno o más patrones de recursos para esta política de cifrado. Todas las colecciones recién creadas en la región y Cuenta de AWS actuales que coincidan con uno de los patrones se asignan de forma automática a esta política. Por ejemplo, si introduce `ApplicationLogs` (sin comodín) y luego crea una colección con ese nombre, la política y la clave KMS correspondientes se asignarán a esa colección.
También puede proporcionar un prefijo como `Logs*`, que asigna la política a cualquier colección nueva cuyo nombre comience por `Logs`. Mediante el uso de comodines, puede administrar la configuración de cifrado de varias colecciones a escala.
1. En **Cifrado**, seleccione la clave KMS que se debe utilizar.
1. Seleccione **Crear**.
#### Siguiente paso: crear colecciones
Después de configurar una o más políticas de cifrado, puede empezar a crear colecciones que coincidan con las reglas definidas en esas políticas. Para obtener instrucciones, consulte [Creación de colecciones](serverless-create.md).
En el paso de **cifrado** de la creación de la colección, OpenSearch Serverless le informa de que el nombre que ha introducido coincide con el patrón definido en una política de cifrado y asigna automáticamente la clave KMS correspondiente a la colección. Si el patrón de recursos contiene un comodín (\$1), puede anular la coincidencia y seleccionar su propia clave.
### Creación de políticas de cifrado (AWS CLI)
Para crear una política de cifrado mediante las operaciones de la API OpenSearch sin servidor, debe especificar los patrones de recursos y una clave de cifrado en formato JSON. La [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)solicitud acepta tanto políticas en línea como archivos.json.
Las políticas de cifrado tienen el siguiente formato. El archivo de muestra `my-policy.json` coincidirá con cualquier colección futura con el nombre `autopartsinventory`, así como con cualquier colección cuyo nombre comience con `sales`.
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Para usar una clave propiedad del servicio, configure la `AWSOwnedKey` como `true`:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":true
}
```
La siguiente solicitud crea la política de cifrado:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type encryption \
--policy file://my-policy.json
```
A continuación, utilice la operación de la [CreateCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollection.html)API para crear una o más colecciones que coincidan con uno de los patrones de recursos.
### Visualización de políticas de cifrado
Antes de crear una colección, puede que desee obtener una vista previa de las políticas de cifrado existentes en su cuenta para ver cuál tiene un patrón de recursos que coincide con el nombre de su colección. La siguiente [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)solicitud muestra todas las políticas de cifrado de tu cuenta:
```
aws opensearchserverless list-security-policies --type encryption
```
La solicitud devuelve información sobre todas las políticas de cifrado configuradas. Utilice el contenido del elemento `policy` para ver las reglas de patrón que se definen en la política:
```
{
"securityPolicyDetails": [
{
"createdDate": 1663693217826,
"description": "Sample encryption policy",
"lastModifiedDate": 1663693217826,
"name": "my-policy",
"policy": "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"]}],\"AWSOwnedKey\":true}",
"policyVersion": "MTY2MzY5MzIxNzgyNl8x",
"type": "encryption"
}
]
}
```
Para ver información detallada sobre una política específica, incluida la clave KMS, usa el [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)comando.
### Actualización de políticas de cifrado
Si actualiza la clave KMS en una política de cifrado, el cambio solo se aplica a las colecciones recién creadas que coincidan con el nombre o patrón configurado. No afecta a las colecciones existentes que ya tienen claves KMS asignadas.
Lo mismo sucede con las reglas de coincidencia de las políticas. Si agrega, modifica o elimina una regla, el cambio solo se aplica a las colecciones recién creadas. Las colecciones existentes no pierden la clave KMS asignada si modifica las reglas de una política para que ya no coincida con el nombre de una colección.
Para actualizar una política de cifrado en la consola OpenSearch sin servidor, elija **Políticas de cifrado**, seleccione la política que desee modificar y elija **Editar**. Realice los cambios y elija **Guardar**.
Para actualizar una política de cifrado mediante la API OpenSearch sin servidor, utilice la [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)operación. La siguiente solicitud actualiza una política de cifrado con un nuevo documento JSON de política:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type encryption \
--policy-version 2 \
--policy file://my-new-policy.json
```
### Eliminación de políticas de cifrado
Cuando se elimina una política de cifrado, las colecciones que estén utilizando en ese momento la clave KMS definida en la política no se ven afectadas. **Para eliminar una política en la consola OpenSearch sin servidor, selecciónela y elija Eliminar.**
También puede utilizar la [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)operación:
```
aws opensearchserverless delete-security-policy --name my-policy --type encryption
```
## Cifrado en tránsito
En OpenSearch Serverless, todas las rutas de una colección se cifran en tránsito mediante Transport Layer Security 1.2 (TLS) y un cifrado AES-256 estándar del sector. El acceso a todos los paneles APIs y a los paneles de Opensearch también se realiza a través de TLS 1.2. TLS es un conjunto de protocolos criptográficos estándares del sector que se utilizan para cifrar la información que se intercambia a través de la red.
# Acceso a la red para Amazon OpenSearch Serverless
La configuración de red de una colección de Amazon OpenSearch Serverless determina si se puede acceder a la colección a través de Internet desde redes públicas o si se debe acceder a ella de forma privada.
El acceso privado puede aplicarse a uno de los siguientes lugares o ambos:
+ OpenSearch Terminales de VPC gestionados sin servidor
+ Compatible Servicios de AWS , como Amazon Bedrock
Puede configurar el acceso a la red por separado para el *OpenSearch*punto final de una colección y el punto final de *OpenSearch Dashboards* correspondiente.
El acceso a la red es el mecanismo de aislamiento que permite el acceso desde diferentes redes de origen. Por ejemplo, si el punto final de los OpenSearch paneles de una colección es de acceso público, pero el punto final de la OpenSearch API no, el usuario solo podrá acceder a los datos de la recopilación a través de los paneles cuando se conecte desde una red pública. Si intenta llamarlos OpenSearch APIs directamente desde una red pública, se bloqueará. La configuración de red se puede utilizar para estas permutaciones de origen a tipo de recurso. Amazon OpenSearch Serverless es compatible con ambos tipos IPv4 de IPv6 conectividad.
**Topics**
+ [Políticas de red](#serverless-network-policies)
+ [Consideraciones](#serverless-network-considerations)
+ [Permisos necesarios para configurar políticas de red](#serverless-network-permissions)
+ [Prioridad política](#serverless-network-precedence)
+ [Creación de políticas de (consola)](#serverless-network-console)
+ [Creación de políticas de (AWS CLI)](#serverless-network-cli)
+ [Visualización de políticas de red](#serverless-network-list)
+ [Actualización de las políticas de red](#serverless-network-update)
+ [Eliminar las políticas de red](#serverless-network-delete)
## Políticas de red
Las políticas de red le permiten administrar muchas colecciones a gran escala al asignar de forma automática la configuración de acceso a la red a las colecciones que cumplen con las reglas definidas en la política.
En una política de red, se especifican una serie de *reglas*. Estas reglas definen los permisos de acceso a los puntos de enlace de recopilación y a los puntos de enlace de OpenSearch Dashboards. Cada regla consta de un tipo de acceso (público o privado) y un tipo de recurso (punto final de colección o OpenSearch panel de control). Para cada tipo de recurso (`collection` y `dashboard`), especifique una serie de reglas que definen a qué colecciones se aplicará la política.
En este ejemplo de política, la primera regla especifica el acceso al punto de conexión de VPC tanto en el punto de conexión de la colección como al punto de conexión de Dashboards para todas las colecciones que comiencen por el término `marketing*`. También especifica el acceso a Amazon Bedrock.
**nota**
El acceso privado a Servicios de AWS Amazon Bedrock *solo* se aplica al punto final de la colección, no al OpenSearch punto final de OpenSearch Dashboards. Incluso si es así`dashboard`, Servicios de AWS no `ResourceType` se le puede conceder acceso a OpenSearch los paneles de control.
La segunda regla especifica el acceso público a la colección `finance`, pero solo para el punto de conexión de la colección (sin acceso a los paneles).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Esta política solo proporciona acceso público a los OpenSearch paneles de control para las colecciones que comiencen por «finanzas». Cualquier intento de acceder directamente a la OpenSearch API fallará.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Las políticas de red pueden aplicarse a las colecciones existentes, así como a las colecciones futuras. Por ejemplo, puede crear una colección y, a continuación, crear una política de red con una regla que coincida con el nombre de la colección. No es necesario crear políticas de red para crear colecciones.
## Consideraciones
Al configurar el acceso a la red para sus colecciones, tenga en cuenta lo siguiente:
+ Si planea configurar el acceso al punto de enlace de VPC para una colección, primero debe crear al [OpenSearch menos un punto de enlace de VPC administrado](serverless-vpc.md) sin servidor.
+ El acceso privado Servicios de AWS solo se aplica al punto final de la colección, no al OpenSearch punto final de Dashboards. OpenSearch Incluso si es así`dashboard`, Servicios de AWS no `ResourceType` se le puede conceder acceso a los OpenSearch paneles de control.
+ Si se puede acceder a una colección desde redes públicas, también se puede acceder a ella desde todos los puntos finales de VPC OpenSearch gestionados por Serverless y todos ellos. Servicios de AWS
+ Se pueden aplicar varias políticas de red a una sola colección. Para obtener más información, consulte [Prioridad política](#serverless-network-precedence).
## Permisos necesarios para configurar políticas de red
El acceso a la red para OpenSearch Serverless utiliza los siguientes permisos (IAM). AWS Identity and Access Management Puede especificar condiciones de IAM para restringir a los usuarios a las políticas de red asociadas con colecciones específicas.
+ `aoss:CreateSecurityPolicy`: cree una política de acceso a la red.
+ `aoss:ListSecurityPolicies`: enumere todas las políticas de red de la cuenta actual.
+ `aoss:GetSecurityPolicy`: vea una especificación de la política de acceso a la red.
+ `aoss:UpdateSecurityPolicy`: modifique una política de acceso a la red determinada y cambiar el ID de VPC o la designación de acceso público.
+ `aoss:DeleteSecurityPolicy`: elimine una política de acceso a la red (después de separarla de todas las colecciones).
La siguiente política de acceso basada en identidades permite al usuario ver todas las políticas de red y actualizarlas según el patrón de recursos`collection/application-logs`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**nota**
Además, OpenSearch Serverless requiere los `aoss:DashboardsAccessAll` permisos `aoss:APIAccessAll` y los permisos para los recursos de recopilación. Para obtener más información, consulte [Uso de operaciones OpenSearch de API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Prioridad política
Puede haber situaciones en las que las reglas de la política de red se superpongan, dentro de las políticas o entre ellas. Cuando esto ocurre, una regla que especifica el acceso público anula la regla que especifica el acceso privado para cualquier colección que sea común a *ambas* reglas.
Por ejemplo, en la siguiente política, ambas reglas asignan acceso a la red de la colección `finance`, pero una regla especifica el acceso a la VPC y la otra especifica el acceso público. En esta situación, el acceso público anula el acceso a la VPC *únicamente para la recaudación de fondos* (porque existe en ambas reglas), por lo que se podrá acceder a la colección de fondos desde las redes públicas. La colección de ventas tendrá acceso a VPC desde el punto de conexión especificado.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Si se aplican varios puntos de conexión de VPC de diferentes reglas a una colección, las reglas son aditivas y se podrá acceder a la colección desde todos los puntos de conexión especificados. Si lo configura `AllowFromPublic` `true` pero también proporciona uno `SourceVPCEs` o más`SourceServices`, OpenSearch Serverless ignora los puntos finales de la VPC y los identificadores de servicio, y las colecciones asociadas tendrán acceso público.
## Creación de políticas de (consola)
Las políticas de red pueden aplicarse a las colecciones existentes, así como a las colecciones futuras. Se recomienda crear políticas de red antes de empezar a crear colecciones.
**Para crear una política de red sin servidor OpenSearch**
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. En el panel de navegación de la izquierda, expanda **Sin servidor** y seleccione **Políticas de red**.
1. Seleccione **Crear políticas de red**.
1. Escriba un nombre y una descripción para la política.
1. Proporcione una o más *reglas*. Estas reglas definen los permisos de acceso para sus colecciones OpenSearch sin servidor y sus puntos finales de OpenSearch Dashboards.
Cada regla contiene los siguientes elementos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/serverless-network.html)
Para cada tipo de recurso que seleccione, puede elegir las colecciones existentes a las que aplicar la configuración de políticas y and/or crear uno o más patrones de recursos. Los patrones de recursos constan de un prefijo y un comodín (\$1) y definen a qué colecciones se aplicará la configuración de la política.
Por ejemplo, si incluye un patrón denominado `Marketing*`, a cualquier colección nueva o existente cuyo nombre comience por “Marketing” se le aplicará automáticamente la configuración de red de esta política. Un único comodín (`*`) aplica la política a todas las colecciones actuales y future.
Además, puede especificar el nombre de una colección *futura* sin caracteres comodín, como`Finance`. OpenSearch Serverless aplicará la configuración de la política a cualquier colección recién creada con ese nombre exacto.
1. Cuando esté satisfecho, seleccione **Crear**.
## Creación de políticas de (AWS CLI)
Para crear una política de red mediante las operaciones de la API OpenSearch sin servidor, debe especificar las reglas en formato JSON. La [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)solicitud acepta políticas en línea y archivos.json. Todas las colecciones y patrones deben tomar la forma `collection/`.
**nota**
El tipo de recurso `dashboards` solo permite el acceso a los OpenSearch paneles, pero para que los OpenSearch paneles funcionen, también debes permitir el acceso a la colección desde las mismas fuentes. Consulte la segunda política a continuación para ver un ejemplo.
Para especificar el acceso privado, incluya uno o los siguientes elementos:
+ `SourceVPCEs`— Especifique uno o más puntos finales de VPC OpenSearch gestionados sin servidor.
+ `SourceServices`— Especifique el identificador de uno o más de los compatibles. Servicios de AWS Actualmente, se admiten los siguientes identificadores de servicio:
+ `bedrock.amazonaws.com`: Amazon Bedrock
El siguiente ejemplo de política de red proporciona acceso privado, a una punto de conexión de VPC y Amazon Bedrock, a los puntos de conexión de las colecciones solo para las colecciones que comienzan con el prefijo `log*`. Los usuarios autenticados no pueden iniciar sesión en los OpenSearch paneles; solo pueden acceder al punto final de la colección mediante programación.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
La siguiente política proporciona acceso público al OpenSearch punto final *y* a los OpenSearch paneles de control de una sola colección denominada. `finance` Si la colección no existe, la configuración de red se aplicará a la colección siempre y cuando se cree.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
La siguiente solicitud crea la política de red anterior:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Para proporcionar la política en un archivo JSON, utilice el formato`--policy file://my-policy.json`
## Visualización de políticas de red
Antes de crear una colección, puede que desee obtener una vista previa de las políticas de red existentes en su cuenta para ver cuáles tienen un patrón de recursos que coincide con el nombre de su colección. La siguiente [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)solicitud muestra todas las políticas de red de su cuenta:
```
aws opensearchserverless list-security-policies --type network
```
La solicitud devuelve información sobre todas las políticas de red configuradas. Para ver las reglas de patrón definidas en una política específica, busque la información de la política en el contenido del elemento `securityPolicySummaries` en la respuesta. Tenga en cuenta el `name` `type` final de esta política y utilice estas propiedades en una [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)solicitud para recibir una respuesta con los siguientes detalles de la política:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Para ver información detallada sobre una política específica, utilice el [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)comando.
## Actualización de las políticas de red
Al modificar los puntos de conexión de VPC o la designación de acceso público de una red, todas las colecciones asociadas se ven afectadas. Para actualizar una política de red en la consola OpenSearch sin servidor, expanda **Políticas de red**, seleccione la política que desee modificar y elija **Editar**. Realice los cambios y elija **Guardar**.
Para actualizar una política de red mediante la API OpenSearch sin servidor, utilice el [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)comando. Debe incluir un control de versiones de política en la solicitud. Puede recuperar el control de versiones de la política mediante los comandos `ListSecurityPolicies` o `GetSecurityPolicy`. Incluir la versión más reciente de la política garantiza que no se anule inadvertidamente un cambio realizado por otra persona.
La siguiente solicitud actualiza una política de red con un nuevo documento JSON de política:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Eliminar las políticas de red
Para poder eliminar una política de red, debe desconectarla de todas las colecciones. **Para eliminar una política en la consola OpenSearch sin servidor, selecciónela y elija Eliminar.**
También puede usar el [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)comando:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```
# Conformidad con FIPS en Amazon Serverless OpenSearch
Amazon OpenSearch Serverless es compatible con los estándares federales de procesamiento de información (FIPS) 140-2, que son estándares gubernamentales de EE. UU. y Canadá que especifican los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial. Cuando se conecta a puntos de conexión compatibles con FIPS con OpenSearch Serverless, las operaciones criptográficas se realizan mediante bibliotecas criptográficas validadas por FIPS.
OpenSearch Los puntos finales FIPS sin servidor están disponibles en los lugares en los que se admite FIPS. Regiones de AWS Estos puntos de conexión utilizan TLS 1.2 o una versión posterior y algoritmos criptográficos validados FIPS para todas las comunicaciones. Para obtener más información, consulte [Cumplimiento FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) en la *Guía del usuario de AWS Verified Access*.
**Topics**
+ [Uso de puntos finales FIPS con Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Utilice los puntos finales de FIPS con AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Configurar grupos de seguridad para puntos de conexión de VPC](#configuring-security-groups-vpc-endpoints)
+ [Uso del punto de conexión de VPC compatible con FIPS](#using-fips-vpc-endpoint)
+ [Verificar el cumplimiento de FIPS](#verifying-fips-compliance)
+ [Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas](serverless-fips-endpoint-issues.md)
## Uso de puntos finales FIPS con Serverless OpenSearch
Regiones de AWS Cuando se admite FIPS, se puede acceder a las colecciones OpenSearch sin servidor a través de puntos de conexión estándar y compatibles con FIPS. Para obtener más información, consulte [Cumplimiento FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) en la *Guía del usuario de AWS Verified Access*.
En los siguientes ejemplos, sustituya *collection\$1id* y por su identificador de colección y el *Región de AWS* suyo. Región de AWS
+ **Puntos de conexión estándar**: **https://*collection\$1id*.*Región de AWS*.aoss.amazonaws.com**.
+ **Punto de conexión compatible con FIPS**: **https://*collection\$1id*.*Región de AWS*.aoss-fips.amazonaws.com**.
Del mismo modo, se puede acceder a los OpenSearch paneles de control a través de puntos de conexión estándar y compatibles con el FIPS:
+ **Punto de conexión estándar de Dashboards**: **https://*collection\$1id*.*Región de AWS*.aoss.amazonaws.com/\$1dashboards**.
+ **Punto de conexión de Dashboards compatible con FIPS**: **https://*collection\$1id*.*Región de AWS*.aoss-fips.amazonaws.com/\$1dashboards**.
**nota**
En las regiones habilitadas para FIPS, tanto los puntos de conexión estándar como los compatibles con FIPS proporcionan criptografía compatible con FIPS. Los puntos de conexión específicos de FIPS lo ayudan a cumplir con los requisitos de cumplimiento que exigen específicamente el uso de puntos de conexión con **FIPS** en el nombre.
## Utilice los puntos finales de FIPS con AWS SDKs
Cuando lo utilice AWS SDKs, puede especificar el punto final de FIPS al crear el cliente. En el siguiente ejemplo, sustituya *collection\$1id* y *Región de AWS* por su identificador de colección y el suyo Región de AWS.
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Región de AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Configurar grupos de seguridad para puntos de conexión de VPC
Para garantizar una comunicación adecuada con su punto final de Amazon VPC (VPC) compatible con FIPS, cree o modifique un grupo de seguridad para permitir el tráfico HTTPS entrante (puerto TCP 443) desde los recursos de su VPC que necesitan acceder a Serverless. OpenSearch Luego, asocie este grupo de seguridad con su punto de conexión de VPC durante la creación o modificando el punto de conexión después de la creación. Para obtener más información, consulte [Crear un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) en la *Guía del usuario de Amazon VPC*.
## Uso del punto de conexión de VPC compatible con FIPS
Después de crear el punto final de la VPC compatible con FIPS, puede usarlo para OpenSearch acceder a Serverless desde los recursos de su VPC. Para usar el punto de conexión en operaciones de API, configure su SDK para usar el punto de conexión regional FIPS según se describe en la sección [Uso de puntos finales FIPS con Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless). Para acceder a los OpenSearch paneles, utilice la URL de paneles específica de la colección, que se enrutará automáticamente por el punto final de la VPC compatible con FIPS cuando se acceda a ellos desde su VPC. Para obtener más información, consulte [Uso de OpenSearch cuadros de mando con Amazon Service OpenSearch](dashboards.md).
## Verificar el cumplimiento de FIPS
Para comprobar que tus conexiones a Serverless utilizan criptografía compatible con FIPS, OpenSearch úsala para supervisar las llamadas de API realizadas a Serverless. AWS CloudTrail OpenSearch Comprueba que el `eventSource` campo de los registros muestre las llamadas a la API CloudTrail . `aoss-fips.amazonaws.com`
Para acceder a los OpenSearch paneles de control, puede utilizar las herramientas de desarrollo del navegador para inspeccionar los detalles de la conexión TLS y comprobar que se utilizan conjuntos de cifrado compatibles con el FIPS.
# Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas
Los puntos de enlace FIPS funcionan con las colecciones de Amazon OpenSearch Serverless que tienen acceso público. Para las nuevas colecciones de VPC que utilizan puntos de conexión de VPC recién creados, los puntos de conexión de FIPS funcionan según lo esperado. Para otras colecciones de VPC, es posible que deba realizar una configuración manual para garantizar que los puntos de conexión de FIPS funcionen correctamente.
**Para configurar zonas alojadas privadas de FIPS en Amazon Route 53**
1. Abra la consola de Route 53 en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Revise sus zonas alojadas:
1. Localice las zonas alojadas en las que se encuentran Regiones de AWS sus colecciones.
1. Compruebe los patrones de nomenclatura de las zonas alojadas:
+ Formato que no es de FIPS: `region.aoss.amazonaws.com`.
+ Formato que es de FIPS: `region.aoss-fips.amazonaws.com`.
1. Confirme que el **Tipo** de todas sus zonas alojadas esté configurado como **Zona alojada privada**.
1. Si falta la zona alojada privada de FIPS:
1. Seleccione la zona alojada privada no FIPS correspondiente.
1. Copia la VPCs información **asociada**. Por ejemplo: `vpc-1234567890abcdef0 | us-east-2`.
1. Busque el registro de dominio con comodín. Por ejemplo: `*.us-east-2.aoss.amazonaws.com`.
1. Copie la información de **Valor/Dirigir el tráfico a**. Por ejemplo: `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.
1. Cree la zona alojada privada de FIPS:
1. Cree una nueva zona alojada privada con el formato de FIPS. Por ejemplo: `us-east-2.aoss-fips.amazonaws.com`.
1. VPCsEn **Asociado**, introduzca la información de la VPC que copió de la zona alojada privada que no es de FIPS.
1. Agregue una nueva regla con las siguientes opciones de configuración:
1. Nombre del registro: \$1
1. Tipo de registro: CNAME
1. Valor: ingrese la información de **Valor/Dirigir el tráfico a** que copió anteriormente.
## Problemas comunes
Si tiene problemas de conectividad con los puntos de conexión de VPC compatibles con FIPS, consulte la siguiente información para ayudar a resolverlos.
+ Errores de resolución de DNS: no puede resolver el nombre de dominio del punto de conexión de FIPS en su VPC
+ Tiempos de espera de conexión: se agota el tiempo de espera de sus solicitudes al punto de conexión de FIPS
+ Errores de acceso denegado: la autenticación o la autorización fallan cuando se utilizan puntos de conexión de FIPS
+ Faltan registros de zonas alojadas privadas para colecciones exclusivas de VPC
**Para solucionar problemas de conectividad de puntos de conexión de FIPS**
1. Compruebe la configuración de su zona alojada privada:
1. Confirme que existe una zona alojada privada para el dominio del punto de conexión de FIPS (`*.region.aoss-fips.amazonaws.com`).
1. Compruebe que la zona alojada privada esté asociada a la VPC correcta.
Para obtener más información, consulte [Zonas alojadas privadas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) en la *Guía para desarrolladores de Amazon Route 53* y [Administración de nombres de DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) en la *Guía de AWS PrivateLink *.
1. Pruebe de la resolución de DNS:
1. Conéctese a una instancia de EC2 en su VPC.
1. Use el siguiente comando:
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. Compruebe que la respuesta incluya la dirección IP privada del punto de conexión de VPC.
Para obtener más información, consulte [Políticas de puntos de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) y [Atributos de DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) en la *Guía del usuario de Amazon VPC*.
1. Compruebe la configuración del grupo de seguridad:
1. Compruebe que el grupo de seguridad adjunto al punto de conexión de VPC permita el tráfico HTTPS (puerto 443) desde sus recursos.
1. Confirme que los grupos de seguridad de sus recursos permitan el tráfico saliente al punto de conexión de VPC.
Para obtener más información, consulte [Políticas de puntos de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) en la *Guía de AWS PrivateLink * y [Grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) en la *Guía del usuario de Amazon VPC*.
1. Revise la configuración de la ACL de red:
1. Compruebe que la red ACLs permita el tráfico entre sus recursos y el punto final de la VPC.
Para obtener más información, consulte [Red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) en la Guía del *usuario de Amazon VPC*.
1. Revise su política de puntos de conexión:
1. Compruebe que la política de puntos finales de la VPC permita las acciones necesarias en sus recursos OpenSearch sin servidor.
Para obtener más información, consulte [Permisos de puntos de conexión de VPC necesarios](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) y [Políticas de puntos de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies) en la *Guía de AWS PrivateLink *.
**sugerencia**
Si utilizas resolutores de DNS personalizados en tu VPC, configúralos para que reenvíen las `*.amazonaws.com` solicitudes de dominios a AWS los servidores.
# Control de acceso a datos para Amazon OpenSearch Serverless
Con el control de acceso a los datos de Amazon OpenSearch Serverless, puede permitir que los usuarios accedan a colecciones e índices, independientemente de su mecanismo de acceso o fuente de red. Puede proporcionar acceso a roles de IAM e [identidades SAML](serverless-saml.md).
Los permisos de acceso se administran mediante las *políticas de acceso a los datos*, que se aplican a las colecciones y a los recursos de índice. Las políticas de acceso a datos le ayudan a administrar las colecciones a escala mediante la asignación automática de permisos de acceso a las colecciones e índices que coinciden con un patrón específico. Se pueden aplicar varias políticas de acceso a los datos a un solo recurso. Tenga en cuenta que debe tener una política de acceso a los datos para su colección para poder acceder a la URL de su OpenSearch panel de control.
**Topics**
+ [Políticas de acceso a datos frente a políticas de IAM](#serverless-data-access-vs-iam)
+ [Permisos de IAM necesarios para configurar las políticas de acceso a los datos](#serverless-data-access-permissions)
+ [Sintaxis de la política](#serverless-data-access-syntax)
+ [Permisos de política compatibles](#serverless-data-supported-permissions)
+ [Ejemplos de conjuntos de datos en paneles OpenSearch](#serverless-data-sample-index)
+ [Creación de políticas de acceso a los datos (consola)](#serverless-data-access-console)
+ [Creación de políticas de acceso a los datos (AWS CLI)](#serverless-data-access-cli)
+ [Visualización de políticas de acceso a los datos](#serverless-data-access-list)
+ [Actualización de las políticas de acceso a los datos](#serverless-data-access-update)
+ [Eliminación de políticas de acceso a los datos](#serverless-data-access-delete)
+ [Acceso a los datos entre cuentas](#serverless-data-access-cross)
## Políticas de acceso a datos frente a políticas de IAM
Las políticas de acceso a los datos son lógicamente independientes de las políticas AWS Identity and Access Management (de IAM). Los permisos de IAM controlan el acceso a las [operaciones de la API sin servidor](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html), como `CreateCollection` y `ListAccessPolicies`. Las políticas de acceso a los datos controlan el acceso a las [OpenSearch operaciones](#serverless-data-supported-permissions) compatibles con OpenSearch Serverless, como o. `PUT ` `GET _cat/indices`
Los permisos de IAM que controlan el acceso a las operaciones de la API de la política de acceso a los datos, como `aoss:CreateAccessPolicy` y `aoss:GetAccessPolicy` (que se describen en la siguiente sección), no afectan al permiso especificado en una política de acceso a los datos.
Por ejemplo, supongamos que una política de IAM niega a un usuario crear políticas de acceso a los datos para `collection-a`, pero le permite crear políticas de acceso a datos para todas las colecciones (`*`):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "collection-a"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*"
}
]
}
```
------
Si el usuario crea una política de acceso a los datos que permite ciertos permisos a *todas* las colecciones (`collection/*` o `index/*/*`), la política se aplicará a todas las colecciones, incluida la colección A.
**importante**
Contar con permisos en el marco de una política de acceso a los datos no es suficiente para acceder a los datos de su colección OpenSearch Serverless. A una entidad principal *también* se le debe conceder acceso a los permisos de IAM `aoss:APIAccessAll` y `aoss:DashboardsAccessAll`. Ambos permisos otorgan acceso total a los recursos de la recopilación, mientras que el permiso de paneles también proporciona acceso a los OpenSearch paneles. Si una entidad principal no tiene estos dos permisos de IAM, recibirá errores 403 cuando intente enviar solicitudes a la colección. Para obtener más información, consulte [Uso de operaciones OpenSearch de API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Permisos de IAM necesarios para configurar las políticas de acceso a los datos
El control de acceso a los datos para OpenSearch Serverless utiliza los siguientes permisos de IAM. Puede especificar las condiciones de IAM para restringir a los usuarios a nombres de políticas de acceso específicos.
+ `aoss:CreateAccessPolicy`: cree una política de acceso.
+ `aoss:ListAccessPolicies`: enumere todas las políticas de acceso.
+ `aoss:GetAccessPolicy`: consulte los detalles sobre una política de acceso específica.
+ `aoss:UpdateAccessPolicy`: modifique una política de acceso.
+ `aoss:DeleteAccessPolicy`: elimine una política de acceso.
La siguiente política de acceso basada en la identidad permite al usuario ver todas las políticas de acceso y actualizar las políticas que contienen el patrón de recursos `collection/logs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListAccessPolicies",
"aoss:GetAccessPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"aoss:UpdateAccessPolicy"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"logs"
]
}
}
}
]
}
```
------
**nota**
Además, OpenSearch Serverless requiere los `aoss:DashboardsAccessAll` permisos `aoss:APIAccessAll` y los permisos para los recursos de recopilación. Para obtener más información, consulte [Uso de operaciones OpenSearch de API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Sintaxis de la política
Una política de acceso a datos incluye un conjunto de reglas, cada una con los siguientes elementos:
| Element | Description (Descripción) |
| --- | --- |
| ResourceType | El tipo de recurso (colección o índice) al que se le aplican los permisos. Los permisos de alias y plantillas se encuentran en el nivel de la colección, mientras que los permisos para crear, modificar y buscar datos están en el nivel del índice. Para más información, consulte [Permisos de políticas compatibles](#serverless-data-supported-permissions). |
| Resource | Una lista de and/or patrones de nombres de recursos. Los patrones son prefijos seguidos de un comodín (\$1), que permiten que los permisos asociados se apliquen a varios recursos.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/serverless-data-access.html) |
| Permission | Una lista de permisos a otorgar para los recursos especificados. Para obtener una lista completa de las operaciones de la API y de los permisos que permiten, consulte [Operaciones y permisos de OpenSearch API compatibles](serverless-genref.md#serverless-operations). |
| Principal | Una lista de una o más entidades principales a las que conceder acceso. Los principales pueden ser identidades de rol de IAM ARNs o de SAML. Estas entidades principales deben estar dentro de la Cuenta de AWS actual. Las políticas de acceso a los datos no admiten directamente el acceso entre cuentas, pero puedes incluir en tu política una función que un usuario de otra cuenta Cuenta de AWS pueda asumir en la cuenta propietaria de la colección. Para obtener más información, consulte [Acceso a los datos entre cuentas](#serverless-data-access-cross). |
La siguiente política de ejemplo otorga permisos de alias y plantillas a la colección llamada `autopartsinventory`, así como a cualquier colección que comience por el prefijo `sales*`. También otorga permisos de lectura y escritura a todos los índices dentro de la colección `autopartsinventory` y a todos los índices de la colección `salesorders` que comiencen por el prefijo `orders*`.
```
[
{
"Description": "Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
],
"Permission":[
"aoss:CreateCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DescribeCollectionItems"
]
},
{
"ResourceType":"index",
"Resource":[
"index/autopartsinventory/*",
"index/salesorders/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie",
"saml/123456789012/anotherprovider/group/Accounting"
]
}
]
```
No se puede denegar el acceso de forma explícita dentro de una política. Por lo tanto, todos los permisos de la política son aditivos. Por ejemplo, si una política concede el permiso `aoss:ReadDocument` a un usuario y otra `aoss:WriteDocument`, el usuario tendrá *ambos* permisos. Si una tercera política concede al mismo usuario el permiso `aoss:*`, el usuario puede realizar *todas* las acciones del índice asociado; los permisos más restrictivos no anulan los menos restrictivos.
## Permisos de política compatibles
Las políticas de acceso a los datos admiten los siguientes permisos. Para ver las operaciones OpenSearch de API que permite cada permiso, consulte. [Operaciones y permisos de OpenSearch API compatibles](serverless-genref.md#serverless-operations)
**Permisos de colección**
+ `aoss:CreateCollectionItems`
+ `aoss:DeleteCollectionItems`
+ `aoss:UpdateCollectionItems`
+ `aoss:DescribeCollectionItems`
+ `aoss:*`
**Permisos de índice**
+ `aoss:ReadDocument`
+ `aoss:WriteDocument`
+ `aoss:CreateIndex`
+ `aoss:DeleteIndex`
+ `aoss:UpdateIndex`
+ `aoss:DescribeIndex`
+ `aoss:*`
## Ejemplos de conjuntos de datos en paneles OpenSearch
OpenSearch Los paneles proporcionan [conjuntos de datos de muestra](https://opensearch.org/docs/latest/dashboards/quickstart-dashboards/#adding-sample-data) que incluyen visualizaciones, paneles y otras herramientas para ayudarlo a explorar los paneles antes de agregar sus propios datos. Para crear índices a partir de estos datos de ejemplo, necesita una política de acceso a los datos que otorgue permisos al conjunto de datos con el que desee trabajar. La siguiente política usa un comodín (`*`) para proporcionar permisos a los tres conjuntos de datos de ejemplo.
```
[
{
"Rules": [
{
"Resource": [
"index//opensearch_dashboards_sample_data_*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam:::user/"
]
}
]
```
## Creación de políticas de acceso a los datos (consola)
Puede crear una política de acceso a los datos con el editor visual o en el formato JSON. A cualquier colección nueva que coincida con uno de los patrones definidos en la política se le asignarán los permisos correspondientes al crear la colección.
**Para crear una política de acceso a los datos sin servidor OpenSearch**
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. En el panel de navegación izquierdo, expanda **sin servidor** y, en **Seguridad**, elija **Políticas de acceso a datos**.
1. Seleccione **Crear política de acceso**.
1. Escriba un nombre y una descripción para la política.
1. Proporcione un nombre para la primera regla de la política. Por ejemplo, “Acceso a la colección de registros”.
1. Seleccione **Agregar entidades principales**, y luego uno o varios roles de IAM o [usuarios y grupos de SAML](serverless-saml.md) para proporcionarles acceso a los datos.
**nota**
Para seleccionar las entidades principales desde los menús desplegables, debe tener los permisos `iam:ListUsers` y `iam:ListRoles` (para las entidades principales de IAM) y el permiso `aoss:ListSecurityConfigs` (para las identidades de SAML).
1. Seleccione **Otorgar** y seleccione los permisos de alias, plantillas e índices que desea conceder a las entidades principales asociadas. Para obtener una lista completa de los permisos y el acceso que permiten, consulte [Operaciones y permisos de OpenSearch API compatibles](serverless-genref.md#serverless-operations).
1. (Opcional) Configure reglas adicionales para la política.
1. Seleccione **Crear**. Puede transcurrir alrededor de un minuto de retardo entre el momento en que se crea la política y el momento en el que se aplican los permisos. Si tarda más de 5 minutos, póngase en contacto con [Soporte](https://console.aws.amazon.com/support/home).
**importante**
Si la política solo incluye permisos de índices (y no permisos de colecciones), es posible que siga apareciendo un mensaje sobre las colecciones coincidentes que indique lo siguiente: `Collection cannot be accessed yet. Configure data access policies so that users can access the data within this collection`. Puede omitir esta advertencia. Las entidades principales autorizadas pueden seguir realizando las operaciones relacionadas con índices que tengan asignadas en la colección.
## Creación de políticas de acceso a los datos (AWS CLI)
Para crear una política de acceso a los datos mediante la API OpenSearch sin servidor, utilice el `CreateAccessPolicy` comando. El comando acepta políticas insertadas y archivos .json. Las políticas insertadas deben codificarse como una [cadena de escape de JSON](https://www.freeformatter.com/json-escape.html).
La siguiente solicitud crea una política de acceso a los datos:
```
aws opensearchserverless create-access-policy \
--name marketing \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]"
```
Para proporcionar la política dentro de un archivo .json, utilice el formato `--policy file://my-policy.json`.
Los principales incluidos en la política ahora pueden usar [OpenSearch las operaciones a las](#serverless-data-supported-permissions) que se les concedió acceso.
## Visualización de políticas de acceso a los datos
Antes de crear una colección, puede que desee obtener una vista previa de las políticas de acceso a los datos existentes en la cuenta para ver cuáles tienen un patrón de recursos que coincide con el nombre de su colección. En la siguiente [ListAccessPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListAccessPolicies.html)solicitud, se enumeran todas las políticas de acceso a los datos de tu cuenta:
```
aws opensearchserverless list-access-policies --type data
```
La solicitud devuelve información sobre todas las políticas de acceso a los datos configuradas. Para ver las reglas de patrón definidas en una política específica, busque la información de la política en el contenido del elemento `accessPolicySummaries` en la respuesta. Tenga en cuenta el `name` `type` final de esta política y utilice estas propiedades en una [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)solicitud para recibir una respuesta con los siguientes detalles de la política:
```
{
"accessPolicyDetails": [
{
"type": "data",
"name": "my-policy",
"policyVersion": "MTY2NDA1NDE4MDg1OF8x",
"description": "My policy",
"policy": "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]",
"createdDate": 1664054180858,
"lastModifiedDate": 1664054180858
}
]
}
```
Puede incluir filtros de recursos para limitar los resultados a políticas que contengan colecciones o índices específicos:
```
aws opensearchserverless list-access-policies --type data --resource "index/autopartsinventory/*"
```
Para ver los detalles de una política específica, utilice el [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)comando.
## Actualización de las políticas de acceso a los datos
Al actualizar una política de acceso a los datos, todas las colecciones asociadas se ven afectadas. Para actualizar una política de acceso a datos en la consola OpenSearch sin servidor, elija **Control de acceso a datos**, seleccione la política que desee modificar y elija **Editar**. Realice los cambios y elija **Guardar**.
Para actualizar una política de acceso a datos mediante la API OpenSearch sin servidor, envía una `UpdateAccessPolicy` solicitud. Debe incluir una versión de la política, que puede recuperar mediante los comandos `ListAccessPolicies` or `GetAccessPolicy`. Incluir la versión más reciente de la política garantiza que no se anule inadvertidamente un cambio realizado por otra persona.
La siguiente [UpdateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccessPolicy.html)solicitud actualiza una política de acceso a datos con un nuevo documento JSON de política:
```
aws opensearchserverless update-access-policy \
--name sales-inventory \
--type data \
--policy-version MTY2NDA1NDE4MDg1OF8x \
--policy file://my-new-policy.json
```
Pueden transcurrir unos minutos de retardo entre el momento en que se actualiza la política y el momento en que se aplican los nuevos permisos.
## Eliminación de políticas de acceso a los datos
Al eliminar una política de acceso a los datos, todas las colecciones asociadas pierden el acceso definido en la política. Asegúrese de que sus usuarios de IAM y SAML tengan el acceso adecuado a la colección antes de eliminar una política. Para eliminar una política en la consola OpenSearch sin servidor, selecciónela y elija **Eliminar**.
También puede usar el [DeleteAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteAccessPolicy.html)comando:
```
aws opensearchserverless delete-access-policy --name my-policy --type data
```
## Acceso a los datos entre cuentas
Si bien no puede crear una política de acceso a los datos con identidades o colecciones entre cuentas, sí puede configurar el acceso entre cuentas con la opción de asumir un rol. Por ejemplo, si la `account-a` es propietaria de una colección a la que la `account-b` necesita acceso, el usuario de la `account-b` puede asumir un rol en la `account-a`. El rol debe tener los permisos de IAM `aoss:APIAccessAll` y `aoss:DashboardsAccessAll` y estar incluido en la política de acceso a los datos de la `account-a`.
# Acceso al plano de datos a través de AWS PrivateLink
Amazon OpenSearch Serverless admite dos tipos de AWS PrivateLink conexiones para las operaciones del plano de control y del plano de datos. Las operaciones del plano de control incluyen la creación y eliminación de colecciones y la administración de las políticas de acceso. Las operaciones del plano de datos sirven para indexar y consultar los datos de una colección. En esta página se describen los puntos finales de VPC del plano de datos. Para obtener información sobre los AWS PrivateLink puntos finales del plano de control, consulte. [Acceso al plano de control a través de AWS PrivateLink](serverless-vpc-cp.md)
Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y Amazon OpenSearch Serverless. Puede acceder a OpenSearch Serverless como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para acceder OpenSearch a Serverless. Para obtener más información sobre el acceso a la red de VPC, consulte [Patrones de conectividad de red para Amazon OpenSearch Serverless](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/).
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred especificada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Serverless. OpenSearch
Para obtener más información, consulte [Acceso a Servicios de AWS a través de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *Guía de AWS PrivateLink *.
**Topics**
+ [Resolución de DNS de los puntos de conexión de colección](#vpc-endpoint-dnc)
+ [VPCs y políticas de acceso a la red](#vpc-endpoint-network)
+ [VPCs y políticas de puntos finales](#vpc-endpoint-policy)
+ [Consideraciones](#vpc-endpoint-considerations)
+ [Permisos necesarios](#serverless-vpc-permissions)
+ [Cree un punto final de interfaz para Serverless OpenSearch](#serverless-vpc-create)
+ [Configuración de VPC compartida para Amazon Serverless OpenSearch](#shared-vpc-setup)
## Resolución de DNS de los puntos de conexión de colección
Al crear un punto final de VPC del plano de datos a través de la consola OpenSearch sin servidor, el servicio crea una nueva [zona alojada Amazon Route 53 privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) y la adjunta a la VPC. Esta zona alojada privada consta de un registro para convertir el registro DNS comodín de las colecciones OpenSearch sin servidor (`*.us-east-1.aoss.amazonaws.com`) en las direcciones de interfaz utilizadas para el punto final. Solo necesita un punto final de VPC OpenSearch sin servidor en una VPC para acceder a todas y cada una de las colecciones y paneles de control de cada una. Región de AWS Cada VPC con un punto final para OpenSearch Serverless tiene su propia zona alojada privada adjunta.
El punto final de la interfaz OpenSearch sin servidor también crea un registro DNS comodín público de Route 53 para todas las colecciones de la región. El nombre DNS se resuelve en las direcciones IP públicas OpenSearch sin servidor. Los clientes VPCs que no tengan un punto final de VPC OpenSearch sin servidor o los clientes de redes públicas pueden usar la resolución pública de Route 53 y acceder a las colecciones y los paneles con esas direcciones IP. El tipo de dirección IP (IPv4 IPv6, o Dualstack) del punto final de la VPC se determina en función de las subredes que se proporcionan al [crear un punto final de interfaz para Serverless](#serverless-vpc-create). OpenSearch
**nota**
OpenSearch Serverless crea una zona alojada privada ``.opensearch.amazonaws.com` (`) de Amazon Route 53 adicional para OpenSearch una resolución de dominio de servicio. Puede actualizar su punto final de IPv4 VPC existente a Dualstack mediante el [update-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-vpc-endpoint.html)comando de. AWS CLI
La dirección de resolver de DNS de una VPC determinada es la segunda dirección IP del CIDR de la VPC. Todos los clientes de la VPC deben usar ese resolver para obtener la dirección de punto de conexión de VPC para cualquier colección. El solucionador utiliza una zona alojada privada creada por Serverless. OpenSearch Basta con usar ese resolverr para todas las colecciones de cualquier cuenta. También es posible utilizar el resolver de VPC para algunos puntos de conexión de colección y el resolver público para otros, aunque normalmente no es necesario.
## VPCs y políticas de acceso a la red
Para conceder permisos de red OpenSearch APIs y paneles de control a sus colecciones, puede utilizar las políticas de [acceso a la red OpenSearch ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html) sin servidor. Puede controlar este acceso a la red desde sus puntos de conexión de VPC o desde la Internet pública. Como su política de red solo controla los permisos de tráfico, también debe configurar una [política de acceso a los datos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) que especifique los permisos para operar con los datos de una colección y sus índices. Piense en un punto final de VPC OpenSearch sin servidor como un punto de acceso al servicio, una política de acceso a la red como el punto de acceso a nivel de red a las colecciones y los paneles de control, y una política de acceso a los datos como el punto de acceso para un control de acceso detallado para cualquier operación con los datos de la recopilación.
Como puede especificar varios puntos de enlace de VPC IDs en una política de red, le recomendamos que cree un punto de enlace de VPC para cada VPC que necesite acceder a una colección. VPCsPueden pertenecer a AWS cuentas distintas de la cuenta propietaria de la política de red y recopilación OpenSearch sin servidor. No le recomendamos que cree una VPC-to-VPC solución de interconexión u otra solución de proxy entre dos cuentas para que la VPC de una cuenta pueda utilizar el punto de enlace de VPC de otra cuenta. Esto es menos seguro y rentable que cada VPC que tenga su propio punto de conexión. El administrador de la otra VPC, que ha configurado el acceso al punto final de esa VPC en la política de red, no podrá ver fácilmente la primera VPC.
## VPCs y políticas de puntos finales
Amazon OpenSearch Serverless admite políticas de puntos finales para VPCs. Una política de punto final es una política de IAM basada en recursos que se adjunta a un punto final de VPC para controlar qué entidades AWS principales pueden usar el punto final para acceder a su servicio. AWS Para obtener más información, consulte [Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Para usar una política de punto de conexión, primero debe crear un punto de conexión de interfaz. Puedes crear un punto final de interfaz mediante la consola sin servidor o la API OpenSearch sin servidor. OpenSearch Después de crear el punto de conexión de interfaz, tendrá que añadir la política del punto de conexión al punto de conexión. Para obtener más información, consulte [Cree un punto final de interfaz para Serverless OpenSearch](#serverless-vpc-create).
**nota**
No puede definir una política de puntos finales directamente en la consola de OpenSearch servicio.
Una política de punto de conexión no anula ni reemplaza otras políticas basadas en identidades, políticas basadas en recursos, políticas de red o políticas de acceso a datos que haya configurado. Para obtener información sobre cómo actualizar la política de puntos de conexión, consulte [Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
De forma predeterminada, una política de punto de conexión concede acceso completo al punto de conexión de VPC.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
Si bien la política de puntos de conexión de VPC predeterminada concede acceso total a los puntos de conexión, puede configurar una política de puntos de conexión de VPC para permitir el acceso a roles y usuarios específicos. Para eso, vea el siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"987654321098"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Puede especificar una colección OpenSearch sin servidor para incluirla como elemento condicional en su política de puntos finales de VPC. Para eso, vea el siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"coll-abc"
]
}
}
}
]
}
```
------
El soporte para `aoss:CollectionId` está disponible.
```
Condition": {
"StringEquals": {
"aoss:CollectionId": "collection-id"
}
}
```
Puede usar las identidades de SAML en la política de puntos de conexión de VPC para determinar el acceso a esos puntos. Debe usar un comodín `(*)` en la sección de la entidad principal de la política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
}
]
}
```
------
Además, puede configurar su política de puntos de conexión para que incluya una política de entidad principal de SAML específica. Para eso, vea lo siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Department": [
"Engineering"]
}
}
}
]
}
```
------
Para obtener más información sobre el uso de la autenticación SAML con Amazon OpenSearch Serverless, consulte Autenticación [SAML para Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html) Serverless. OpenSearch
También puede incluir usuarios de IAM y SAML en la misma política de puntos de conexión de VPC. Para eso, vea el siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
También puede acceder a una colección de Amazon OpenSearch Serverless desde Amazon EC2 a través de los puntos de enlace de la interfaz de la VPC. Para obtener más información, consulte [Acceder a una colección OpenSearch sin servidor desde Amazon EC2 (mediante puntos de enlace de la interfaz de VPC](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/)).
## Consideraciones
Antes de configurar un punto final de interfaz para OpenSearch Serverless, tenga en cuenta lo siguiente:
+ OpenSearch Serverless permite realizar llamadas a todas las operaciones de [OpenSearch API compatibles (no a las operaciones](serverless-genref.md#serverless-operations) de API de configuración) a través del punto final de la interfaz.
+ Después de crear un punto final de interfaz para OpenSearch Serverless, aún debe incluirlo en [las políticas de acceso a la red](serverless-network.md) para que pueda acceder a las colecciones sin servidor.
+ De forma predeterminada, se permite el acceso total a OpenSearch Serverless a través del punto final de la interfaz. Puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico a OpenSearch Serverless a través del punto final de la interfaz.
+ Una sola unidad Cuenta de AWS puede tener un máximo de 50 puntos finales de VPC OpenSearch sin servidor.
+ Si habilita el acceso público a Internet a la API o los paneles de control de su colección en una política de red, cualquier VPC y la Internet pública pueden acceder a su colección.
+ Si está en las instalaciones y fuera de la VPC, no puede usar directamente una resolución de DNS para la resolución del punto final de la VPC OpenSearch sin servidor. Si necesita acceso a una VPN, la VPC necesita un resolver de proxy de DNS para que lo usen los clientes externos. Route 53 ofrece una opción de punto de conexión de entrada que puede usar para resolver consultas de DNS a su VPC desde su red en las instalaciones u otra VPC.
+ El servicio administra la zona alojada privada que OpenSearch Serverless crea y adjunta a la VPC, pero aparece en sus Amazon Route 53 recursos y se factura a su cuenta.
+ Para otras consideraciones, consulte [Consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) en la *Guía de AWS PrivateLink *.
## Permisos necesarios
El acceso a la VPC para OpenSearch Serverless utiliza los siguientes permisos AWS Identity and Access Management (IAM). Puede especificar las condiciones de IAM para restringir a los usuarios a colecciones específicas.
+ `aoss:CreateVpcEndpoint`: cree un punto de conexión de VPC.
+ `aoss:ListVpcEndpoints`: enumere todos los puntos de conexión de VPC.
+ `aoss:BatchGetVpcEndpoint`: consulte los detalles sobre un subconjunto de puntos de conexión de VPC.
+ `aoss:UpdateVpcEndpoint`: modifique un punto de conexión de VPC.
+ `aoss:DeleteVpcEndpoint`: elimine un punto de conexión de VPC.
Además, necesita los siguientes permisos de Amazon EC2 y Route 53 para crear un punto de conexión de VPC.
+ `ec2:CreateTags`
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndPoints`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:ModifyVpcEndPoint`
+ `route53:AssociateVPCWithHostedZone`
+ `route53:ChangeResourceRecordSets`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:GetChange`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZonesByVPC`
+ `route53:ListResourceRecordSets`
## Cree un punto final de interfaz para Serverless OpenSearch
Puede crear un punto final de interfaz para OpenSearch Serverless mediante la consola o la API OpenSearch Serverless.
**Para crear un punto final de interfaz para una colección sin servidor OpenSearch**
1. Abre la consola OpenSearch de Amazon Service en [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. En el panel de navegación de la izquierda, expanda **Sin servidor** y seleccione **Puntos de conexión de VPC**.
1. Seleccione **Crear punto de conexión de VPC**.
1. Proporcione un nombre para el punto de conexión.
1. En el **caso de la VPC**, selecciona la VPC desde la que accederás a Serverless. OpenSearch
1. En el caso de **las subredes**, selecciona una subred desde la que accederás a Serverless. OpenSearch
+ La dirección IP y el tipo de DNS del punto de conexión se basan en el tipo de subred.
+ Dualstack: si todas las subredes tienen ambos rangos de direcciones IPv4 IPv6
+ IPv6: Si todas las subredes son solo subredes IPv6
+ IPv4: Si todas las subredes tienen rangos de direcciones IPv4
1. En **Grupos de seguridad**, seleccione los grupos de seguridad que deban asociarse a las interfaces de red del punto de conexión. Este es un paso fundamental en el que se limitan los puertos, los protocolos y las fuentes del tráfico entrante que se autoriza a entrar en el punto final. Asegúrese de que las reglas del grupo de seguridad permitan que los recursos que utilizarán el punto final de la VPC se comuniquen con OpenSearch Serverless para comunicarse con la interfaz de red del punto final.
1. Seleccione **Crear punto de conexión**.
Para crear un punto final de VPC mediante la API OpenSearch sin servidor, utilice el comando. `CreateVpcEndpoint`
**nota**
Después de crear un punto de conexión, registre su ID (por ejemplo, `vpce-abc123def4EXAMPLE`. Para proporcionar el acceso del punto de conexión a sus colecciones, debe incluir este ID en una o más políticas de acceso a la red.
Tras crear un punto de conexión de interfaz, debe proporcionarles acceso a las colecciones mediante políticas de acceso a la red. Para obtener más información, consulte [Acceso a la red para Amazon OpenSearch Serverless](serverless-network.md).
## Configuración de VPC compartida para Amazon Serverless OpenSearch
Puede utilizar Amazon Virtual Private Cloud (VPC) para compartir subredes de VPC con otros Cuentas de AWS miembros de su organización, así como compartir la infraestructura de red, como una VPN, entre varios recursos. Cuentas de AWS
Actualmente, Amazon OpenSearch Serverless no admite la creación de una AWS PrivateLink conexión en una VPC compartida a menos que usted sea propietario de esa VPC. AWS PrivateLink tampoco admite el uso compartido de conexiones entre ellas. Cuentas de AWS
Sin embargo, en función de la arquitectura flexible y modular de OpenSearch Serverless, aún puede configurar una VPC compartida. Esto se debe a que la infraestructura de red OpenSearch sin servidor es independiente de la infraestructura de recopilación (OpenSearch servicio) individual. Por lo tanto, puede crear un AWS PrivateLink VPCe punto de conexión para una cuenta en la que esté ubicada una VPC y, a continuación, usar un VPCe ID en la política de red de otras cuentas para restringir el tráfico y evitar que provenga únicamente de esa VPC compartida.
Los siguientes procedimientos se refieren a una *cuenta propietaria* y una *cuenta consumidora*.
Un propietario de la cuenta actúa como una cuenta de redes común en la que se configura una VPC y se comparte con otras cuentas. Las cuentas de consumidor son aquellas cuentas que crean y mantienen sus colecciones OpenSearch sin servidor en la VPC que comparte con ellos la cuenta del propietario.
**Requisitos previos**
Asegúrese de que se cumplan los siguientes requisitos antes de configurar la VPC compartida:
+ El propietario de la cuenta debe haber configurado previamente una VPC, subredes, tabla de enrutamiento y otros recursos necesarios en nube privada virtual de Amazon. Para obtener más información, consulte la *[Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)*.
+ El propietario de la cuenta y las cuentas consumidoras deben pertenecer a la misma organización en AWS Organizations. Para obtener más información, consulte la *Guía del usuario de [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/)*.
**Para configurar una VPC compartida en una cuenta de account/common red propietaria.**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Siga los pasos de [Cree un punto final de interfaz para Serverless OpenSearch](#serverless-vpc-create). Mientras realiza el procedimiento, haga las siguientes selecciones:
+ Seleccione una VPC y subredes que estén compartidas con las cuentas consumidoras de su organización.
1. Tras crear el punto de conexión, anota el VPCe ID que se genera y entrégalo a los administradores que van a realizar la tarea de configuración de las cuentas de los consumidores.
VPCe IDs están en el formato`vpce-abc123def4EXAMPLE`.
**Para configurar una VPC compartida en una cuenta consumidora:**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Use la información de [Administración de colecciones de Amazon OpenSearch Serverless](serverless-manage.md) para crear una colección, si aún no tiene una.
1. Use la información de [Creación de políticas de (consola)](serverless-network.md#serverless-network-console) para crear una política de red. A medida que avanza, realice las siguientes selecciones.
**nota**
También puede actualizar una política de red existente para este fin.
1. En **Tipo de acceso**, seleccione **VPC (recomendado)**.
1. **Para acceder a los puntos finales de VPC**, elija el VPCe ID que le proporcionó la cuenta propietaria, en el formato. `vpce-abc123def4EXAMPLE`
1. En el área **Tipo de recurso**, haga lo siguiente:
+ Seleccione la casilla **Habilitar el acceso al OpenSearch punto final** y, a continuación, seleccione el nombre de la colección o el patrón de recopilación que se utilizará para habilitar el acceso desde esa VPC compartida.
+ Seleccione la casilla **Habilitar el acceso al OpenSearch panel** de control y, a continuación, seleccione el nombre o el patrón de la colección que se utilizará para habilitar el acceso desde esa VPC compartida.
1. Para una nueva política, seleccione **Crear**. Para una política existente, seleccione **Actualizar**.
# Acceso al plano de control a través de AWS PrivateLink
Amazon OpenSearch Serverless admite dos tipos de AWS PrivateLink conexiones para las operaciones del plano de control y del plano de datos. Las operaciones del plano de control incluyen la creación y eliminación de colecciones y la administración de las políticas de acceso. Las operaciones del plano de datos sirven para indexar y consultar los datos de una colección. Esta página describe el punto final del plano de control. AWS PrivateLink Para obtener información sobre los puntos finales de VPC del plano de datos, consulte. [Acceso al plano de datos a través de AWS PrivateLink](serverless-vpc.md)
## Creación de un punto final del plano de control AWS PrivateLink
Puede mejorar la seguridad de su VPC configurando OpenSearch Serverless para que utilice un punto final de VPC de interfaz. Los puntos finales de la interfaz funcionan con. AWS PrivateLink Esta tecnología le permite acceder de forma privada a OpenSearch Serverless APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión AWS Direct Connect.
Para obtener más información sobre AWS PrivateLink los puntos de enlace de VPC, consulte los puntos de enlace de [VPC en la Guía del usuario](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints) de Amazon VPC.
### Consideraciones
+ Los puntos finales de VPC solo se admiten en la misma región.
+ Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53.
+ Los puntos de enlace de VPC admiten políticas de puntos finales para controlar el acceso a colecciones OpenSearch , políticas y. VpcEndpoints
+ OpenSearch Serverless solo admite puntos finales de interfaz. Los puntos de conexión de puerta de enlace no se admiten.
### Creación del punto final de la VPC
*Para crear el punto de enlace de VPC del plano de control para Amazon OpenSearch Serverless, utilice el [procedimiento Acceso a un AWS servicio mediante un punto de enlace de VPC de interfaz de la Guía para desarrolladores de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint).* Cree el siguiente punto final:
+ `com.amazonaws.region.aoss`
**Para crear un punto final de VPC del plano de control mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija **Crear punto de conexión**.
1. En **Categoría de servicios**, elija **Servicios de AWS**.
1. Para **Servicios**, elija`com.amazonaws.region.aoss`. Por ejemplo, `com.amazonaws.us-east-1.aoss`.
1. En **VPC**, elija la VPC en la que desea crear el punto de conexión.
1. En **Subredes**, seleccione las subredes (zonas de disponibilidad) en las que va a crear las interfaces de red de punto de conexión.
1. En el **caso de los grupos** de seguridad, elija los grupos de seguridad que desee asociar a las interfaces de red de los puntos finales. Asegúrese de que se permita HTTPS (puerto 443).
1. En **Política**, selecciona **Acceso total** para permitir todas las operaciones o selecciona **Personalizado** para adjuntar una política personalizada.
1. Seleccione **Crear punto de conexión**.
### Creación de una política de punto de conexión
Puede adjuntar una política de punto final a su punto de enlace de VPC que controle el acceso a Amazon OpenSearch Serverless. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para más información, consulte [Control del acceso a los servicios con puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
**Example Política de puntos finales de VPC para Serverless OpenSearch**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection"
],
"Resource": "*"
}
]
}
```
**Example Política restrictiva que solo permite operaciones de listas**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "aoss:ListCollections",
"Resource": "*"
}
]
}
```
# Autenticación SAML para Amazon Serverless OpenSearch
Con la autenticación SAML para Amazon OpenSearch Serverless, puede usar su proveedor de identidad actual para ofrecer el inicio de sesión único (SSO) para los puntos de enlace de los OpenSearch paneles de control de las colecciones sin servidor.
La autenticación SAML le permite utilizar proveedores de identidad externos para iniciar sesión en Dashboards con el fin de indexar y buscar datos. OpenSearch OpenSearch Serverless es compatible con los proveedores que utilizan el estándar SAML 2.0, como IAM Identity Center, Okta, Keycloak, Active Directory Federation Services (AD FS) y Auth0. Puede configurar el Centro de identidades de IAM para sincronizar usuarios y grupos de otras fuentes de identidad, como Okta OneLogin y Microsoft Entra ID. Para obtener una lista de los orígenes de identidades que admite IAM Identity Center y los pasos para configurarlos, consulte [Getting started tutorials](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) en la *Guía del usuario de IAM Identity Center*.
**nota**
La autenticación SAML solo sirve para acceder a los OpenSearch paneles de control a través de un navegador web. Los usuarios autenticados solo pueden realizar solicitudes a las operaciones de la OpenSearch API a través de las **herramientas de desarrollo** de los paneles de control. OpenSearch Sus credenciales de SAML *no* le permiten realizar solicitudes HTTP directas a las operaciones de la OpenSearch API.
Para configurar la autenticación SAML, primero debe configurar un proveedor de identidades (IdP) SAML. A continuación, se incluyen uno o más usuarios de ese IdP en una [política de acceso a datos](serverless-data-access.md). Esta política le otorga ciertos permisos para los and/or índices de colecciones. A continuación, un usuario puede iniciar sesión en los OpenSearch paneles de control y realizar las acciones que se permiten en la política de acceso a los datos.
![\[SAML authentication flow with data access policy, OpenSearch interface, and JSON configuration.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/serverless-saml-flow.png)
**Topics**
+ [Consideraciones](#serverless-saml-considerations)
+ [Permisos necesarios](#serverless-saml-permissions)
+ [Crear proveedores SAML de (consola)](#serverless-saml-creating)
+ [Acceder a los paneles OpenSearch](#serverless-saml-dashboards)
+ [Concesión de acceso a las identidades de SAML a los datos de la colección](#serverless-saml-policies)
+ [Creación de proveedores SAML (AWS CLI)](#serverless-saml-creating-api)
+ [Ver proveedores SAML](#serverless-saml-viewing)
+ [Actualización de proveedores SAML](#serverless-saml-updating)
+ [Eliminar proveedores SAML](#serverless-saml-deleting)
## Consideraciones
A la hora de configurar la autenticación SAML, tenga en cuenta lo siguiente:
+ No se admiten las solicitudes firmadas y cifradas.
+ No se admiten las aserciones cifradas.
+ No se admite la autenticación ni el cierre de sesión iniciada por el IDP.
+ Las políticas de control de servicios (SCP) no se aplicarán ni evaluarán en el caso de identidades que no sean de IAM (como SAML en OpenSearch Amazon Serverless y SAML y la autorización básica de usuario interna para Amazon Service). OpenSearch
## Permisos necesarios
La autenticación SAML para OpenSearch Serverless utiliza los siguientes permisos (IAM): AWS Identity and Access Management
+ `aoss:CreateSecurityConfig`: cree un proveedor SAML.
+ `aoss:ListSecurityConfig`: enumere todos los proveedores de SAML en la cuenta actual.
+ `aoss:GetSecurityConfig`: vea la información del proveedor de SAML.
+ `aoss:UpdateSecurityConfig`: modifique la configuración de proveedor de SAML determinada, incluidos los metadatos XML.
+ `aoss:DeleteSecurityConfig`: elimine un proveedor SAML.
La siguiente política de acceso basada en la identidad permite al usuario administrar todas las configuraciones de IdP:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Tenga en cuenta que el elemento `Resource` debe ser un comodín.
## Crear proveedores SAML de (consola)
En estos pasos se explica cómo crear proveedores de SAML. Esto permite la autenticación SAML con la autenticación iniciada por el proveedor de servicios (SP) para los paneles. OpenSearch No se admite la autenticación IdP.
**Para habilitar la autenticación SAML en los paneles OpenSearch**
1. Inicia sesión en la consola OpenSearch de Amazon Service desde [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. En el panel de navegación de la izquierda, expanda **Sin servidor** y seleccione **Autenticación SAML**.
1. Seleccione **Agregar proveedor SAML**.
1. Escriba un nombre y una descripción para el proveedor.
**nota**
El nombre que especifique es de acceso público y aparecerá en un menú desplegable cuando los usuarios inicien sesión en los OpenSearch paneles. Asegúrese de que el nombre sea fácilmente reconocible y no revele información confidencial sobre su proveedor de identidad.
1. En **Configurar IdP**, copie la URL del servicio al consumidor de aserciones (ACS).
1. Utilice la URL de ACS que acaba de copiar para configurar su proveedor de identidades. La terminología y los pasos varían según el proveedor. Consulte la documentación de su proveedor.
En Okta, por ejemplo, se crea una “aplicación web SAML 2.0” y se especifica la URL de ACS como URL de inicio de **sesión única, URL** **de destinatario** y **URL de destino**. **En el caso de Auth0, debe especificarlo en Allowed Callback. URLs**
1. Indique la restricción de audiencia si su IdP tiene un campo para ello. La restricción de audiencia es un valor dentro de la aserción SAML que especifica a quién va dirigida esta. Con OpenSearch Serverless, puede hacer lo siguiente. Asegúrese de reemplazar el *content* siguiente ejemplo de código por su propio Cuenta de AWS ID:
1. Use la restricción de audiencia predeterminada `:opensearch:111122223333`.
1. (Opcional) configure una restricción de audiencia personalizada mediante AWS CLI. Para obtener más información, consulte [Creación de proveedores SAML (AWS CLI)](#serverless-saml-creating-api).
El nombre del campo de restricción de audiencia varía según el proveedor. Para Okta, es **Audiencia URI (ID de entidad del SP)**. En el caso de IAM Identity Center, es la **audiencia de Application SAML**.
1. Si utiliza IAM Identity Center, también debe especificar el siguiente [asignación de atributos](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html): `Subject=${user:name}`, con un formato de `unspecified`.
1. Después de configurar el proveedor de identidades, genera un archivo de metadatos de IdP. Este archivo XML contiene información sobre el proveedor, como un certificado TLS, puntos de conexión de inicio de sesión único y el ID de entidad del proveedor de identidad.
Copie el texto del archivo de metadatos del IdP y péguelo en **Proporcionar metadatos desde el campo de IdP**. Alternativamente, seleccione **Importar desde archivo XML** y cargue el archivo. El archivo de metadatos debe tener un aspecto similar al siguiente:
```
tls-certificate
s
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
```
1. Mantenga vacío el campo **Atributo ID de usuario personalizado** para utilizar el elemento `NameID` de la aserción SAML para el nombre de usuario. Si su aserción no utiliza este elemento estándar y, en su lugar, incluye el nombre de usuario como un atributo personalizado, especifique ese atributo aquí. Los atributos distinguen entre mayúsculas y minúsculas. Solo se admite un único atributo de usuario.
El siguiente ejemplo muestra un atributo de anulación para `NameID` en la aserción SAML:
```
annie
```
1. (Opcional) Especifique un atributo personalizado en el campo **Atributos del grupo**, como `role` o `group`. Solo se admite un único atributo de grupo. No hay ningún atributo de grupo predeterminado. Si no especifica ninguna, sus políticas de acceso a datos solo pueden contener entidades principales de usuario.
El siguiente ejemplo muestra un atributo de grupo en la aserción SAML:
```
finance
```
1. De forma predeterminada, OpenSearch Dashboards cierra la sesión de los usuarios después de 24 horas. Puede configurar este valor en cualquier número entre 1 y 12 horas (15 y 720 minutos) especificando el tiempo de espera de los **OpenSearch paneles**. Si intenta establecer el tiempo de espera igual o inferior a 15 minutos, la sesión se restablecerá a una hora.
1. Seleccione **Crear proveedor**.
## Acceder a los paneles OpenSearch
Tras configurar un proveedor de SAML, todos los usuarios y grupos asociados a ese proveedor pueden navegar hasta el punto de conexión de los OpenSearch paneles. La URL de Dashboards tiene el formato `collection-endpoint/_dashboards/` *para todas las colecciones*.
Si tienes SAML activado, al seleccionar el enlace que aparece en la Consola de administración de AWS página de selección de IdP, donde puedes iniciar sesión con tus credenciales de SAML. Primero, use el menú desplegable para seleccionar un proveedor de identidades:
![\[OpenSearch login page with dropdown menu for selecting SAML Identity Provider options.\]](http://docs.aws.amazon.com/es_es/opensearch-service/latest/developerguide/images/idpList.png)
Inicie sesión con sus credenciales de usuario de IdP.
Si no tienes el SAML activado, al seleccionar el enlace que aparece en él podrás Consola de administración de AWS iniciar sesión como usuario o rol de IAM, sin opción de usar SAML.
## Concesión de acceso a las identidades de SAML a los datos de la colección
Después de crear un proveedor de SAML, aún tendrá que concederles acceso a los datos de sus colecciones a los usuarios y grupos subyacentes. Para concederles el acceso deberá hacerlo a través de [políticas de acceso a datos](serverless-data-access.md). Hasta que no les proporcione acceso a los usuarios, estos no podrán leer, escribir ni eliminar ningún dato de sus colecciones.
Para conceder el acceso, cree una política de acceso a los datos y especifique su and/or grupo IDs de usuarios de SAML en la siguiente declaración: `Principal`
```
[
{
"Rules":[
...
],
"Principal":[
"saml/987654321098/myprovider/user/Shaheen",
"saml/987654321098/myprovider/group/finance"
]
}
]
```
Puede concederles acceso a colecciones, índices o ambos. Si desea que diferentes usuarios tengan permisos diferentes, cree varias reglas. Para obtener una lista de los permisos disponibles, consulte [Permisos de políticas compatibles](serverless-data-access.md#serverless-data-supported-permissions). Para obtener información sobre cómo dar formato a una política de acceso, consulte [Sintaxis de políticas](serverless-data-access.md).
## Creación de proveedores SAML (AWS CLI)
Para crear un proveedor de SAML mediante la API OpenSearch sin servidor, envía una solicitud: [CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)
```
aws opensearchserverless create-security-config \
--name myprovider \
--type saml \
--saml-options file://saml-auth0.json
```
Especifique `saml-options`, incluido el XML de los metadatos, como un mapa clave-valor dentro de un archivo .json. El XML de los metadatos debe estar codificado como una [cadena de escape JSON](https://www.freeformatter.com/json-escape.html).
```
{
"sessionTimeout": 70,
"groupAttribute": "department",
"userAttribute": "userid",
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"metadata": "EntityDescriptor xmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ... ... ... IDPSSODescriptor\r\n\/EntityDescriptor"
}
```
**nota**
(Opcional) configure una restricción de audiencia personalizada mediante AWS CLI. Para obtener más información, consulte [Creación de proveedores SAML (AWS CLI)](#serverless-saml-creating-api).
## Ver proveedores SAML
La siguiente [ListSecurityConfigs](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityConfigs.html)solicitud muestra una lista de todos los proveedores de SAML de tu cuenta:
```
aws opensearchserverless list-security-configs --type saml
```
La solicitud devuelve información sobre todos los proveedores de SAML existentes, incluidos los metadatos completos del IdP que genera su proveedor de identidades:
```
{
"securityConfigDetails": [
{
"configVersion": "MTY2NDA1MjY4NDQ5M18x",
"createdDate": 1664054180858,
"description": "Example SAML provider",
"id": "saml/111122223333/myprovider",
"lastModifiedDate": 1664054180858,
"samlOptions": {
"groupAttribute": "department",
"metadata": "EntityDescriptorxmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ...... ...IDPSSODescriptor\r\n/EntityDescriptor",
"sessionTimeout": 120,
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"userAttribute": "userid"
}
}
]
}
```
Para ver los detalles de un proveedor específico, incluida la `configVersion` para actualizaciones futuras, envíe una solicitud `GetSecurityConfig`.
## Actualización de proveedores SAML
**Para actualizar un proveedor de SAML mediante la consola OpenSearch sin servidor, elige la **autenticación SAML**, selecciona tu proveedor de identidad y selecciona Editar.** Puede modificar todos los campos, incluidos los metadatos y los atributos personalizados.
Para actualizar un proveedor a través de la API OpenSearch sin servidor, envía una [UpdateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityConfig.html)solicitud e incluye el identificador de la política que se va a actualizar. También debe incluir una versión de configuración, que puede recuperar mediante los comandos `ListSecurityConfigs` o `GetSecurityConfig`. Incluir la versión más reciente garantiza que no se anule inadvertidamente un cambio realizado por otra persona.
La siguiente solicitud actualiza las opciones de SAML de un proveedor:
```
aws opensearchserverless update-security-config \
--id saml/123456789012/myprovider \
--type saml \
--saml-options file://saml-auth0.json \
--config-version MTY2NDA1MjY4NDQ5M18x
```
Especifique las opciones de configuración de SAML como un mapa clave-valor dentro de un archivo .json.
**importante**
Las **actualizaciones de las opciones de SAML *no* son graduales**. Si al realizar una actualización no especifica el valor para un parámetro en el objeto `SAMLOptions`, los valores existentes se sustituirán por valores vacíos. Por ejemplo, si la configuración actual contiene un valor para `userAttribute` y luego hace una actualización y no incluye este valor, el valor se elimina de la configuración. Asegúrese de saber cuáles son los valores existentes antes de realizar una actualización llamando a la operación `GetSecurityConfig`.
## Eliminar proveedores SAML
Al eliminar un proveedor de SAML, las referencias de los usuarios y grupos asociados en las políticas de acceso a datos dejan de funcionar. Para evitar confusiones, le recomendamos que elimine todas las referencias al punto de conexión en sus políticas de acceso antes de eliminar el punto de conexión.
**Para eliminar un proveedor de SAML mediante la consola OpenSearch sin servidor, elija **Autenticación**, seleccione el proveedor y elija Eliminar.**
Para eliminar un proveedor a través de la API OpenSearch sin servidor, envía una solicitud: [DeleteSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityConfig.html)
```
aws opensearchserverless delete-security-config --id saml/123456789012/myprovider
```
# Validación de conformidad para Amazon OpenSearch Serverless
Los auditores externos evalúan la seguridad y el cumplimiento de Amazon OpenSearch Serverless como parte de varios programas de AWS cumplimiento. Entre estos, se incluyen SOC, PCI e HIPAA.
Para saber si un programa de conformidad Servicio de AWS se encuentra dentro del ámbito de aplicación de programas de conformidad específicos, consulte [Servicios de AWS Alcance por programa de conformidad Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de conformidad y elija el programa de conformidad que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).