Support de propagation d'identité fiable d'IAM Identity Center pour Amazon Service OpenSearch - Amazon OpenSearch Service
ConsidérationsModification de la stratégie d'accès au domaineConfiguration de l'authentification et de l'autorisation IAM Identity Center (console)Configuration d'un contrôle d'accès détailléConfiguration de l'authentification et de l'autorisation (CLI) d'IAM Identity CenterDésactivation de l'authentification IAM Identity Center sur le domaine

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support de propagation d'identité fiable d'IAM Identity Center pour Amazon Service OpenSearch

Vous pouvez désormais utiliser les principaux de votre centre d'identité AWS IAM configuré de manière centralisée (utilisateurs et groupes) via Trusted Identity Propagation pour accéder aux OpenSearch domaines via des applications de OpenSearch service. Pour activer la prise en charge d'IAM Identity Center pour Amazon OpenSearch Service, vous devez activer l'utilisation d'IAM Identity Center. Pour en savoir plus sur la procédure à suivre, consultez Qu'est-ce qu'IAM Identity Center ? . Voir Comment associer un OpenSearch domaine en tant que source de données dans les OpenSearch applications ? pour plus de détails.

Vous pouvez configurer IAM Identity Center à l'aide de la console de OpenSearch service, du AWS Command Line Interface (AWS CLI) ou du AWS SDKs.

Note

Les principaux centres d'identité IAM ne sont pas pris en charge par le biais de tableaux de bord (situés au même endroit que le cluster). Ils ne sont pris en charge que via une interface OpenSearch utilisateur centralisée (tableaux de bord).

Considérations

Avant d'utiliser IAM Identity Center avec Amazon OpenSearch Service, vous devez prendre en compte les points suivants :

  • Le centre d'identité IAM est activé dans le compte.

  • La version du OpenSearch domaine est 1.3 ou ultérieure.

  • Le contrôle d'accès détaillé est activé sur le domaine.

  • Le domaine doit se trouver dans la même région que l'instance IAM Identity Center.

  • Le domaine et OpenSearch l'application doivent appartenir au même AWS compte.

Modification de la stratégie d'accès au domaine

Avant de configurer IAM Identity Center, vous devez mettre à jour la politique d'accès au domaine ou les autorisations du rôle IAM configuré dans les OpenSearch applications pour la propagation d'identités fiables.


	 {
	     "Version": "2012-10-17",
	     "Statement": [
	         {
	             "Effect": "Allow",
	             "Principal": {
	                 "AWS": "IAM Role configured in OpenSearch application"
	             },
	             "Action": "es:ESHttp*",
	             "Resource": "domain-arn/*"
	         },
	         {
	         ... // Any other permissions
	         }
	     ]
	 }

Configuration de l'authentification et de l'autorisation IAM Identity Center (console)

Vous pouvez activer l'authentification et l'autorisation IAM Identity Center pendant le processus de création du domaine ou en mettant à jour un domaine existant. Les étapes de configuration varient légèrement en fonction de l'option choisie.

Les étapes suivantes expliquent comment configurer un domaine existant pour l'authentification et l'autorisation IAM Identity Center dans la console Amazon OpenSearch Service :

  1. Sous Configuration du domaine, accédez à Configuration de la sécurité, choisissez Modifier, accédez à la section Authentification du centre d'identité IAM, puis sélectionnez Activer l'accès à l'API authentifié auprès d'IAM Identity Center.

  2. Sélectionnez la touche SubjectKey et Rôles comme suit.

    • Clé d'objet : choisissez l'un des attributs suivants UserId (par défaut) UserName et E-mail pour utiliser l'attribut correspondant comme principal d'accès au domaine.

    • Clé des rôles : choisissez l'un des rôles GroupId (par défaut) et GroupName utilisez les valeurs d'attribut correspondantes comme rôle principal fine-grained-access-controlpour tous les groupes associés au principal iDC.

Une fois que vous avez apporté vos modifications, enregistrez votre domaine.

Configuration d'un contrôle d'accès détaillé

Une fois que vous avez activé l'option IAM Identity Center sur votre OpenSearch domaine, vous pouvez configurer l'accès aux principaux IAM Identity Center en créant un mappage des rôles vers le rôle principal. La valeur du rôle principal pour le principal est basée sur l'appartenance au groupe du principal iDC et sur la RolesKey configuration de GroupId ou. GroupName

Note

Amazon OpenSearch Service peut prendre en charge jusqu'à 100 groupes pour un seul utilisateur. Si vous essayez d'utiliser un nombre d'instances supérieur au nombre autorisé, vous rencontrerez des incohérences dans le traitement de votre fine-grained-access-control autorisation et vous recevrez un message d'erreur 403.

Configuration de l'authentification et de l'autorisation (CLI) d'IAM Identity Center


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Désactivation de l'authentification IAM Identity Center sur le domaine

Pour désactiver IAM Identity Center sur votre OpenSearch domaine, procédez comme suit :

  1. Choisissez le domaine, Actions, et Edit security configuration(Modifier la configuration de la sécurité).

  2. Décochez Activer l'accès à l'API authentifié auprès d'IAM Identity Center.

  3. Sélectionnez Enregistrer les modifications.

  4. Une fois le traitement du domaine terminé, supprimez les mappages de rôles ajoutés pour les principaux iDC

Pour désactiver IAM Identity Center via la CLI, vous pouvez utiliser ce qui suit


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'