View a markdown version of this page

Akses data lintas akun ke domain OpenSearch - OpenSearch Layanan Amazon
Konsep utamaBagaimana asumsi peran lintas akun bekerjaPrasyaratSkenarioSkenario 1: Pengguna IAM mengakses domain publikSkenario 2: Pengguna IAM Identity Center mengakses domain publikSkenario 3: Pengguna IAM mengakses domain VPCSkenario 4: Pengguna Pusat Identitas IAM mengakses domain VPCMengelola aplikasiReferensi cepatCatatan pentingPemecahan masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses data lintas akun ke domain OpenSearch

Anda dapat mengonfigurasi aplikasi OpenSearch UI Anda dalam satu akun untuk mengakses OpenSearch domain di akun yang berbeda. Saat Anda membuat aplikasi OpenSearch UI dengan sumber data lintas akun, Anda memberikan iamRoleForDataSourceArn yang menunjuk ke peran IAM di akun target. OpenSearch UI memvalidasi permintaan dengan mengasumsikan peran ini dan memanggil es:DescribeDomain untuk memverifikasi aksesibilitas domain. Peran lintas akun hanya digunakan selama asosiasi sumber data. Akses pesawat data dikontrol secara terpisah oleh kebijakan akses domain target.

Dukungan sumber data lintas akun memerlukan kontrol akses berbutir halus untuk diaktifkan pada domain target. Kontrol akses berbutir halus menyediakan lapisan otorisasi tambahan di luar kebijakan akses domain, memungkinkan Anda mengontrol akses ke indeks, dokumen, dan bidang individual.

Konsep utama

Akun sumber

Yang Akun AWS meng-host aplikasi OpenSearch UI Anda.

Akun target

Di Akun AWS mana OpenSearch domain berada.

Peran lintas akun

Peran IAM dalam akun target yang digunakan selama asosiasi sumber data saja. OpenSearch UI mengasumsikan peran ini untuk memanggiles:DescribeDomain, yang mengambil titik akhir domain dan memverifikasi bahwa kontrol akses berbutir halus diaktifkan. Ini adalah langkah penemuan dan validasi, bukan batas keamanan. Peran lintas akun tidak pernah digunakan untuk akses pesawat data. Setelah asosiasi, semua permintaan bidang data diotorisasi oleh kebijakan akses domain dan pemetaan peran backend, terlepas dari peran lintas akun.

Peran aplikasi IAM Identity Center

Peran IAM dalam akun sumber yang digunakan untuk akses pesawat data pengguna IAM Identity Center.

Bagaimana asumsi peran lintas akun bekerja

Saat Anda membuat atau memperbarui aplikasi OpenSearch UI dengan sumber data lintas akun, OpenSearch UI mengasumsikan peran lintas akun di akun target menggunakan Sesi Akses Terusan (FAS). FAS menyebarkan identitas IAM kepala sekolah pemanggil ke panggilan tersebut. sts:AssumeRole Ini berarti:

  • Kebijakan kepercayaan akun target mengontrol prinsip akun sumber mana yang dapat mengambil peran lintas akun.

  • Sesi peran yang diasumsikan membawa identitas penelepon yang memulai CreateApplication atau UpdateApplication meminta.

  • Peran lintas akun diasumsikan hanya selama asosiasi untuk menelepones:DescribeDomain. Ini tidak digunakan untuk operasi pesawat data berikutnya.

Untuk akses pesawat data:

  • Pengguna IAM menandatangani permintaan dengan kredensi IAM mereka sendiri. Kebijakan akses domain target mengotorisasi permintaan ini secara langsung.

  • Pengguna IAM Identity Center memiliki permintaan mereka ditandatangani dengan peran aplikasi IAM Identity Center (iamRoleForIdentityCenterApplicationArn) di akun sumber. Kebijakan akses domain target dan pemetaan peran backend mengotorisasi permintaan ini.

Prasyarat

Sebelum Anda mengatur akses data lintas akun, pastikan Anda memiliki yang berikut:

  • AWS CLI diinstal dan dikonfigurasi

  • Akses ke sumber dan target Akun AWS s

  • OpenSearch domain dengan kontrol akses berbutir halus diaktifkan. Asosiasi sumber data lintas akun tidak didukung untuk domain tanpa kontrol akses berbutir halus.

  • Untuk alur Pusat Identitas IAM: Sebuah instance AWS IAM Identity Center organisasi

Skenario

Pilih skenario yang cocok dengan metode otentikasi dan konfigurasi domain Anda:

Skenario 1: Pengguna IAM mengakses domain publik

Langkah 1: Buat peran IAM lintas akun (akun target)

Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.

Untuk membuat peran lintas akun

  1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::source-account-id:root"
    },
    "Action": "sts:AssumeRole"
  }]
}

  2. Buat peran:

    aws iam create-role \
  --role-name OpenSearchUIAccessRole \
  --assume-role-policy-document file://trust-policy.json

  3. Buat kebijakan izin hanya dengan es:DescribeDomain tindakan:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "es:DescribeDomain",
    "Resource": "arn:aws:es:region:target-account-id:domain/*"
  }]
}

  4. Lampirkan kebijakan izin ke peran:

    aws iam put-role-policy \
  --role-name OpenSearchUIAccessRole \
  --policy-name ValidationOnly \
  --policy-document file://permissions-policy.json

Langkah 2: Buat OpenSearch domain (akun target)

Buat OpenSearch domain di akun target dengan kontrol akses halus dan enkripsi diaktifkan:

aws opensearch create-domain \
  --domain-name domain-name \
  --engine-version OpenSearch_2.19 \
  --cluster-config InstanceType=m5.large.search,InstanceCount=1 \
  --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
  --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
  --node-to-node-encryption-options '{"Enabled":true}' \
  --encryption-at-rest-options '{"Enabled":true}' \
  --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
  --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::source-account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/domain-name/*"}]}' \
  --region region
catatan

Kebijakan akses ini mencakup akses pesawat data ke prinsipal IAM dari akun sumber. Untuk akses yang lebih ketat, ganti prinsip akar akun dengan pengguna atau peran IAM tertentu. ARNs Kontrol akses berbutir halus menyediakan lapisan otorisasi tambahan untuk mengontrol akses ke indeks dan dokumen.

Tunggu status domain menjadi Active sebelum melanjutkan.

Langkah 3: Buat aplikasi OpenSearch UI (akun sumber)

Buat aplikasi di akun sumber dengan sumber data lintas akun:

aws opensearch create-application \
  --region region \
  --name "cross-account-iam-app" \
  --data-sources '[{
    "dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
    "dataSourceDescription":"Cross-account domain",
    "iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
  }]' \
  --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'

Langkah 4: Verifikasi dan akses

Ambil detail aplikasi untuk mendapatkan URL endpoint:

aws opensearch get-application \
  --region region \
  --id application-id

  • Arahkan ke URL titik akhir aplikasi dari respons.

  • Masuk dengan kredensi IAM.

  • Pengguna IAM menandatangani permintaan pesawat data dengan kredensialnya sendiri.

  • Kebijakan akses domain target mengontrol data apa yang dapat diakses pengguna.

Skenario 2: Pengguna IAM Identity Center mengakses domain publik

Langkah 1: Buat peran IAM lintas akun (akun target)

Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.

Untuk membuat peran lintas akun

  1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::source-account-id:root"
    },
    "Action": "sts:AssumeRole"
  }]
}

  2. Buat peran:

    aws iam create-role \
  --role-name OpenSearchUIAccessRole \
  --assume-role-policy-document file://trust-policy.json

  3. Buat kebijakan izin hanya dengan es:DescribeDomain tindakan:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "es:DescribeDomain",
    "Resource": "arn:aws:es:region:target-account-id:domain/*"
  }]
}

  4. Lampirkan kebijakan izin ke peran:

    aws iam put-role-policy \
  --role-name OpenSearchUIAccessRole \
  --policy-name ValidationOnly \
  --policy-document file://permissions-policy.json

Langkah 2: Buat OpenSearch domain (akun target)

Buat OpenSearch domain di akun target. Gunakan perintah yang sama sepertiLangkah 2: Buat OpenSearch domain (akun target), tetapi perbarui kebijakan akses untuk mengizinkan peran aplikasi Pusat Identitas IAM dari akun sumber:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
    },
    "Action": "es:ESHttp*",
    "Resource": "arn:aws:es:region:target-account-id:domain/domain-name/*"
  }]
}

Tunggu status domain menjadi Active sebelum melanjutkan.

Langkah 3: Buat peran IAM untuk aplikasi IAM Identity Center (akun sumber)

Buat peran IAM di akun sumber yang digunakan OpenSearch UI untuk akses pesawat data pengguna IAM Identity Center.

Untuk membuat peran aplikasi IAM Identity Center

  1. Buat kebijakan kepercayaan:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application.opensearchservice.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application.opensearchservice.amazonaws.com"
      },
      "Action": "sts:SetContext",
      "Condition": {
        "ForAllValues:ArnEquals": {
          "sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
        }
      }
    }
  ]
}

  2. Membuat kebijakan izin:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "OpenSearchDomain",
    "Effect": "Allow",
    "Action": ["es:ESHttp*"],
    "Resource": "*"
  }]
}

  3. Buat peran dan lampirkan kebijakan:

    aws iam create-role \
  --role-name NeoIdCAppRole \
  --assume-role-policy-document file://neoidc-trust-policy.json

aws iam put-role-policy \
  --role-name NeoIdCAppRole \
  --policy-name NeoIdCAppPermissions \
  --policy-document file://neoidc-permissions-policy.json

Langkah 4: Buat aplikasi OpenSearch UI dengan IAM Identity Center (akun sumber)

aws opensearch create-application \
  --region region \
  --name "cross-account-idc-app" \
  --iam-identity-center-options '{
    "enabled":true,
    "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
    "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
  }' \
  --data-sources '[{
    "dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-name",
    "dataSourceDescription":"Cross-account domain",
    "iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
  }]' \
  --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'

Langkah 5: Buat dan tetapkan pengguna dan grup IAM Identity Center

Buat pengguna Pusat Identitas IAM

Jalankan perintah berikut. Ganti placeholder values dengan informasi Anda sendiri.

aws identitystore create-user \
  --identity-store-id d-directory-id \
  --user-name user-email \
  --display-name "display-name" \
  --name Formatted=string,FamilyName=last-name,GivenName=first-name \
  --emails Value=user-email,Type=work,Primary=true
Buat grup Pusat Identitas IAM dan tambahkan pengguna

Jalankan perintah berikut:

aws identitystore create-group \
  --identity-store-id d-directory-id \
  --display-name "OpenSearchUsers" \
  --description "Users with OpenSearch access"

aws identitystore create-group-membership \
  --identity-store-id d-directory-id \
  --group-id group-id \
  --member-id UserId=user-id
Tetapkan pengguna atau grup ke aplikasi

Jalankan perintah berikut:

aws sso-admin create-application-assignment \
  --application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
  --principal-id user-id-or-group-id \
  --principal-type USER
Konfigurasikan pemetaan peran backend pada domain target

Petakan grup Pusat Identitas IAM ke peran OpenSearch keamanan pada domain target:

curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
  -u admin:master-password \
  -H 'Content-Type: application/json' \
  -d '{
    "backend_roles": ["group-id"],
    "hosts": [],
    "users": []
  }'

Langkah 6: Verifikasi dan akses

aws opensearch get-application \
  --region region \
  --id application-id

  • Arahkan ke URL titik akhir aplikasi.

  • Masuk dengan kredensi pengguna IAM Identity Center.

  • Permintaan data pengguna IAM Identity Center ditandatangani dengan peran aplikasi IAM Identity Center, bukan peran lintas akun.

  • Pemetaan peran backend pada izin akses data kontrol domain.

Skenario 3: Pengguna IAM mengakses domain VPC

Langkah 1: Buat peran IAM lintas akun (akun target)

Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.

Untuk membuat peran lintas akun

  1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::source-account-id:root"
    },
    "Action": "sts:AssumeRole"
  }]
}

  2. Buat peran:

    aws iam create-role \
  --role-name OpenSearchUIAccessRole \
  --assume-role-policy-document file://trust-policy.json

  3. Buat kebijakan izin hanya dengan es:DescribeDomain tindakan:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "es:DescribeDomain",
    "Resource": "arn:aws:es:region:target-account-id:domain/*"
  }]
}

  4. Lampirkan kebijakan izin ke peran:

    aws iam put-role-policy \
  --role-name OpenSearchUIAccessRole \
  --policy-name ValidationOnly \
  --policy-document file://permissions-policy.json

Langkah 2: Siapkan VPC (akun target)

Lewati langkah ini jika VPC sudah ada di akun target.

# Create VPC
aws ec2 create-vpc \
  --cidr-block 10.0.0.0/16 \
  --region region

# Create subnet
aws ec2 create-subnet \
  --vpc-id vpc-id \
  --cidr-block 10.0.1.0/24 \
  --availability-zone regiona \
  --region region

# Create security group
aws ec2 create-security-group \
  --group-name opensearch-vpc-sg \
  --description "Security group for OpenSearch VPC domain" \
  --vpc-id vpc-id \
  --region region

# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
  --group-id security-group-id \
  --protocol tcp \
  --port 443 \
  --cidr 10.0.0.0/16 \
  --region region

Pelajari lebih lanjut tentang pembuatan domain VPC.

Langkah 3: Buat domain VPC (akun target)

aws opensearch create-domain \
  --domain-name vpc-domain-name \
  --engine-version OpenSearch_2.19 \
  --cluster-config InstanceType=m5.large.search,InstanceCount=1 \
  --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \
  --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \
  --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \
  --node-to-node-encryption-options '{"Enabled":true}' \
  --encryption-at-rest-options '{"Enabled":true}' \
  --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
  --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::source-account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"}]}' \
  --region region
catatan

Kebijakan akses ini mencakup akses pesawat data ke prinsipal IAM dari akun sumber. Untuk akses yang lebih ketat, ganti prinsip akar akun dengan pengguna atau peran IAM tertentu. ARNs Kontrol akses berbutir halus menyediakan lapisan otorisasi tambahan untuk mengontrol akses ke indeks dan dokumen.

Tunggu status domain menjadi Active sebelum melanjutkan.

Langkah 4: Otorisasi titik akhir VPC untuk OpenSearch prinsipal layanan UI (akun target)

penting

Ini adalah langkah penting yang unik untuk domain VPC. Layanan OpenSearch UI harus diotorisasi secara eksplisit untuk mengakses titik akhir VPC.

# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
  --domain-name vpc-domain-name \
  --service "application.opensearchservice.amazonaws.com" \
  --region region

# Verify authorization
aws opensearch list-vpc-endpoint-access \
  --domain-name vpc-domain-name \
  --region region

Tanggapan yang diharapkan:

{
  "AuthorizedPrincipalList": [
    {
      "PrincipalType": "AWS_SERVICE",
      "Principal": "application.opensearchservice.amazonaws.com"
    }
  ]
}

Langkah 5: Buat aplikasi OpenSearch UI (akun sumber)

aws opensearch create-application \
  --region region \
  --name "cross-account-vpc-iam-app" \
  --data-sources '[{
    "dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
    "dataSourceDescription":"Cross-account VPC domain",
    "iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
  }]' \
  --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'

Langkah 6: Verifikasi dan akses

Ambil detail aplikasi untuk mendapatkan URL endpoint:

aws opensearch get-application \
  --region region \
  --id application-id

  • Arahkan ke URL titik akhir aplikasi dari respons.

  • Masuk dengan kredensi IAM.

  • Pengguna IAM menandatangani permintaan pesawat data dengan kredensialnya sendiri.

  • Kebijakan akses domain target mengontrol data apa yang dapat diakses pengguna.

Skenario 4: Pengguna Pusat Identitas IAM mengakses domain VPC

Langkah 1: Buat peran IAM lintas akun (akun target)

Buat peran IAM di akun target yang memungkinkan akun sumber untuk menganggapnya sebagai validasi domain.

Untuk membuat peran lintas akun

  1. Buat kebijakan kepercayaan yang memungkinkan akun sumber untuk mengambil peran:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::source-account-id:root"
    },
    "Action": "sts:AssumeRole"
  }]
}

  2. Buat peran:

    aws iam create-role \
  --role-name OpenSearchUIAccessRole \
  --assume-role-policy-document file://trust-policy.json

  3. Buat kebijakan izin hanya dengan es:DescribeDomain tindakan:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "es:DescribeDomain",
    "Resource": "arn:aws:es:region:target-account-id:domain/*"
  }]
}

  4. Lampirkan kebijakan izin ke peran:

    aws iam put-role-policy \
  --role-name OpenSearchUIAccessRole \
  --policy-name ValidationOnly \
  --policy-document file://permissions-policy.json

Langkah 2: Siapkan VPC (akun target)

Lewati langkah ini jika VPC sudah ada di akun target.

# Create VPC
aws ec2 create-vpc \
  --cidr-block 10.0.0.0/16 \
  --region region

# Create subnet
aws ec2 create-subnet \
  --vpc-id vpc-id \
  --cidr-block 10.0.1.0/24 \
  --availability-zone regiona \
  --region region

# Create security group
aws ec2 create-security-group \
  --group-name opensearch-vpc-sg \
  --description "Security group for OpenSearch VPC domain" \
  --vpc-id vpc-id \
  --region region

# Allow inbound HTTPS
aws ec2 authorize-security-group-ingress \
  --group-id security-group-id \
  --protocol tcp \
  --port 443 \
  --cidr 10.0.0.0/16 \
  --region region

Pelajari lebih lanjut tentang pembuatan domain VPC.

Langkah 3: Buat domain VPC (akun target)

Gunakan perintah yang sama sepertiLangkah 3: Buat domain VPC (akun target), tetapi perbarui kebijakan akses untuk mengizinkan peran aplikasi Pusat Identitas IAM dari akun sumber:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::source-account-id:role/NeoIdCAppRole"
    },
    "Action": "es:ESHttp*",
    "Resource": "arn:aws:es:region:target-account-id:domain/vpc-domain-name/*"
  }]
}

Tunggu status domain menjadi Active sebelum melanjutkan.

Langkah 4: Otorisasi titik akhir VPC untuk OpenSearch prinsipal layanan UI (akun target)

penting

Ini adalah langkah penting yang unik untuk domain VPC. Layanan OpenSearch UI harus diotorisasi secara eksplisit untuk mengakses titik akhir VPC.

# Authorize the service principal
aws opensearch authorize-vpc-endpoint-access \
  --domain-name vpc-domain-name \
  --service "application.opensearchservice.amazonaws.com" \
  --region region

# Verify authorization
aws opensearch list-vpc-endpoint-access \
  --domain-name vpc-domain-name \
  --region region

Tanggapan yang diharapkan:

{
  "AuthorizedPrincipalList": [
    {
      "PrincipalType": "AWS_SERVICE",
      "Principal": "application.opensearchservice.amazonaws.com"
    }
  ]
}

Langkah 5: Buat peran IAM untuk aplikasi IAM Identity Center (akun sumber)

Buat peran IAM di akun sumber yang digunakan OpenSearch UI untuk akses pesawat data pengguna IAM Identity Center.

Untuk membuat peran aplikasi IAM Identity Center

  1. Buat kebijakan kepercayaan:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application.opensearchservice.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application.opensearchservice.amazonaws.com"
      },
      "Action": "sts:SetContext",
      "Condition": {
        "ForAllValues:ArnEquals": {
          "sts:RequestContextProviders": "arn:aws:iam::source-account-id:oidc-provider/portal.sso.region.amazonaws.com/apl/application-id"
        }
      }
    }
  ]
}

  2. Membuat kebijakan izin:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "OpenSearchDomain",
    "Effect": "Allow",
    "Action": ["es:ESHttp*"],
    "Resource": "*"
  }]
}

  3. Buat peran dan lampirkan kebijakan:

    aws iam create-role \
  --role-name NeoIdCAppRole \
  --assume-role-policy-document file://neoidc-trust-policy.json

aws iam put-role-policy \
  --role-name NeoIdCAppRole \
  --policy-name NeoIdCAppPermissions \
  --policy-document file://neoidc-permissions-policy.json

Langkah 6: Buat aplikasi OpenSearch UI dengan IAM Identity Center (akun sumber)

aws opensearch create-application \
  --region region \
  --name "cross-account-vpc-idc-app" \
  --iam-identity-center-options '{
    "enabled":true,
    "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id",
    "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::source-account-id:role/NeoIdCAppRole"
  }' \
  --data-sources '[{
    "dataSourceArn":"arn:aws:es:region:target-account-id:domain/vpc-domain-name",
    "dataSourceDescription":"Cross-account VPC domain",
    "iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
  }]' \
  --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"*\"]"}]'

Langkah 7: Buat dan tetapkan pengguna dan grup IAM Identity Center

Buat pengguna Pusat Identitas IAM

Jalankan perintah berikut. Ganti placeholder values dengan informasi Anda sendiri.

aws identitystore create-user \
  --identity-store-id d-directory-id \
  --user-name user-email \
  --display-name "display-name" \
  --name Formatted=string,FamilyName=last-name,GivenName=first-name \
  --emails Value=user-email,Type=work,Primary=true
Buat grup Pusat Identitas IAM dan tambahkan pengguna

Jalankan perintah berikut:

aws identitystore create-group \
  --identity-store-id d-directory-id \
  --display-name "OpenSearchUsers" \
  --description "Users with OpenSearch access"

aws identitystore create-group-membership \
  --identity-store-id d-directory-id \
  --group-id group-id \
  --member-id UserId=user-id
Tetapkan pengguna atau grup ke aplikasi

Jalankan perintah berikut:

aws sso-admin create-application-assignment \
  --application-arn "arn:aws:sso:::source-account-id:application/ssoins-instance-id/apl-application-id" \
  --principal-id user-id-or-group-id \
  --principal-type USER
Konfigurasikan pemetaan peran backend pada domain target

Petakan grup Pusat Identitas IAM ke peran OpenSearch keamanan pada domain target:

curl -XPUT "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \
  -u admin:master-password \
  -H 'Content-Type: application/json' \
  -d '{
    "backend_roles": ["group-id"],
    "hosts": [],
    "users": []
  }'

Langkah 8: Verifikasi dan akses

aws opensearch get-application \
  --region region \
  --id application-id

  • Arahkan ke URL titik akhir aplikasi.

  • Masuk dengan kredensi pengguna IAM Identity Center.

  • Permintaan data pengguna IAM Identity Center ditandatangani dengan peran aplikasi IAM Identity Center, bukan peran lintas akun.

  • Pemetaan peran backend pada izin akses data kontrol domain.

Mengelola aplikasi

Perbarui aplikasi dengan sumber data lintas akun

Jalankan perintah berikut. Ganti placeholder values dengan informasi Anda sendiri.

aws opensearch update-application \
  --region region \
  --id application-id \
  --data-sources '[{
    "dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-1",
    "dataSourceDescription":"First cross-account domain",
    "iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
  },{
    "dataSourceArn":"arn:aws:es:region:target-account-id:domain/domain-2",
    "dataSourceDescription":"Second cross-account domain",
    "iamRoleForDataSourceArn":"arn:aws:iam::target-account-id:role/OpenSearchUIAccessRole"
  }]'
penting

Operasi pembaruan menggantikan seluruh array sumber data. Sertakan semua sumber data yang ingin Anda simpan.

Daftar aplikasi

Jalankan perintah berikut:

aws opensearch list-applications \
  --region region
Menghapus sebuah aplikasi

Jalankan perintah berikut:

aws opensearch delete-application \
  --region region \
  --id application-id
Cabut akses titik akhir VPC

Jalankan perintah berikut:

aws opensearch revoke-vpc-endpoint-access \
  --domain-name vpc-domain-name \
  --service "application.opensearchservice.amazonaws.com" \
  --region region

Referensi cepat

Tabel berikut merangkum perbedaan utama antara jenis domain dan metode otentikasi.

Domain publik dibandingkan dengan domain VPC
Aspek Domain publik Domain VPC
Otorisasi titik akhir VPC Tidak diperlukan Wajib — harus mengotorisasi application.opensearchservice.amazonaws.com
Pengaturan jaringan Tidak ada VPC, subnet, grup keamanan dengan HTTPS (443) masuk
Kebijakan akses IAM Diperlukan Diperlukan
Peran lintas akun Diperlukan untuk cross-account Diperlukan untuk cross-account
Pengguna IAM dibandingkan dengan pengguna IAM Identity Center
Aspek Pengguna IAM Pengguna Pusat Identitas IAM
Kredensial bidang data Kredensi IAM milik pengguna sendiri Peran aplikasi IAM Identity Center
Kontrol akses Kebijakan akses domain Kebijakan akses domain dan pemetaan peran backend
Pengaturan tambahan Tidak ada Peran aplikasi IAM Identity Center, user/group pembuatan, penugasan aplikasi, pemetaan peran backend
OpenSearch Konfigurasi aplikasi UI Tidak ada opsi Pusat Identitas IAM --iam-identity-center-optionsdiperlukan

Catatan penting

  • iamRoleForDataSourceArnHarus dalam akun yang sama dengandataSourceArn.

  • Hanya iamRoleForDataSourceArn diperlukan untuk sumber data lintas akun. Hilangkan untuk sumber data akun yang sama.

  • Peran lintas akun hanya membutuhkan es:DescribeDomain izin. Ini tidak pernah digunakan untuk akses pesawat data.

  • Untuk domain VPC, kebijakan IAM dan otorisasi titik akhir VPC harus dikonfigurasi.

  • Versi mesin yang didukung: OpenSearch 1.3 dan di atas.

  • Asosiasi sumber data lintas akun memerlukan kontrol akses berbutir halus untuk diaktifkan pada domain target.

Pemecahan masalah

Isu Resolusi
Pembuatan aplikasi gagal dengan “Tidak dapat mengakses domain” Verifikasi bahwa peran lintas akun memiliki es:DescribeDomain izin dan kebijakan kepercayaan mengizinkan akun sumber.
Asosiasi domain VPC gagal Pastikan titik akhir VPC diotorisasi. application.opensearchservice.amazonaws.com
Akses pesawat data ditolak untuk pengguna IAM Periksa apakah kebijakan akses domain target memungkinkan pengguna IAM atau kepala peran.
Akses pesawat data ditolak untuk pengguna IAM Identity Center Verifikasi bahwa pemetaan peran backend menyertakan ID grup Pusat Identitas IAM, dan kebijakan domain mengizinkan peran aplikasi Pusat Identitas IAM.
Kesalahan ketidakcocokan akun Pastikan itu iamRoleForDataSourceArn berada di akun yang sama dengan domain didataSourceArn.