Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# IAM Identity Center Dukungan Propagasi Identitas Tepercaya untuk OpenSearch
<a name="idc-aos"></a>

 [Anda sekarang dapat menggunakan prinsipal Pusat Identitas AWS IAM yang dikonfigurasi secara terpusat (pengguna dan grup) melalui [Propagasi Identitas Tepercaya untuk](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) mengakses domain Layanan Amazon OpenSearch melalui aplikasi Layanan. OpenSearch ](application.md) Untuk mengaktifkan dukungan Pusat Identitas IAM OpenSearch, Anda harus mengaktifkan penggunaan Pusat Identitas IAM Untuk mempelajari lebih lanjut tentang cara melakukan ini, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) . Lihat [Bagaimana mengaitkan OpenSearch domain sebagai sumber data dalam aplikasi? OpenSearch ](application.md) untuk detailnya. 

Anda dapat mengonfigurasi Pusat Identitas IAM dengan menggunakan konsol OpenSearch Layanan, AWS Command Line Interface (AWS CLI), atau. AWS SDKs

**catatan**  
Prinsipal Pusat Identitas IAM tidak didukung melalui [Dasbor (](dashboards.md)berlokasi bersama dengan cluster). Mereka hanya didukung melalui [antarmuka OpenSearch pengguna Terpusat (Dasbor)](application.md). 

## Pertimbangan-pertimbangan
<a name="idc-considerations"></a>

Sebelum Anda menggunakan Pusat Identitas IAM dengan OpenSearch Layanan Amazon, Anda harus mempertimbangkan hal berikut:
+ Pusat Identitas IAM diaktifkan di akun.
+ Pusat Identitas IAM tersedia di [Wilayah](opensearch-ui-endpoints-quotas.md) Anda.
+ Versi OpenSearch domain adalah 1.3 atau yang lebih baru.
+ [Kontrol Akses Berbutir Halus](fgac.md) diaktifkan di domain.
+ Domain berada di Region yang sama dengan instans IAM Identity Center.
+ Domain dan [OpenSearch aplikasi](application.md) milik AWS akun yang sama.

## Memodifikasi kebijakan akses domain
<a name="idc-domain-access"></a>

Sebelum mengonfigurasi Pusat Identitas IAM, Anda harus memperbarui kebijakan akses domain atau izin peran IAM yang dikonfigurasi dalam OpenSearch aplikasi untuk Propagasi Identitas Tepercaya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}
```

------

## Mengkonfigurasi autentikasi dan otorisasi Pusat Identitas IAM (Konsol)
<a name="idc-configure-console"></a>

Anda dapat mengaktifkan autentikasi dan otorisasi IAM Identity Center selama proses pembuatan domain atau dengan memperbarui domain yang ada. Langkah-langkah pengaturan sedikit berbeda tergantung pada opsi mana yang Anda pilih. 

Langkah-langkah berikut menjelaskan cara mengonfigurasi domain yang ada untuk autentikasi dan otorisasi Pusat Identitas IAM di konsol Layanan Amazon OpenSearch :

1. Di bawah **konfigurasi Domain**, navigasikan ke **Konfigurasi Keamanan**, pilih Edit dan navigasikan ke bagian Autentikasi Pusat Identitas IAM dan pilih **Aktifkan akses API yang diautentikasi dengan IAM Identity** Center. 

1.  Pilih tombol SubjectKey dan Peran sebagai berikut.
   + **Subject key** - pilih salah satu UserId (default), UserName dan Email untuk menggunakan atribut yang sesuai sebagai prinsipal mengakses domain. 
   + **Kunci peran** - pilih salah satu GroupId (default) dan GroupName gunakan nilai atribut yang sesuai sebagai peran backend [fine-grained-access-control](fgac.md)untuk semua grup yang terkait dengan prinsipal Pusat Identitas IAM. 

Setelah Anda membuat perubahan, simpan domain Anda.

## Mengkonfigurasi kontrol akses berbutir halus
<a name="idc-configure-fgac"></a>

**Setelah Anda mengaktifkan opsi Pusat Identitas IAM di OpenSearch domain Anda, Anda dapat mengonfigurasi akses ke prinsipal Pusat Identitas IAM dengan [membuat pemetaan peran ke peran backend](fgac.md#fgac-mapping).** Nilai peran backend untuk prinsipal didasarkan pada keanggotaan grup utama IAM Identity Center dan RolesKey konfigurasi or. GroupId GroupName 

**catatan**  
Amazon OpenSearch Service dapat mendukung hingga **100 grup** untuk satu pengguna. Jika Anda mencoba menggunakan lebih dari jumlah instans yang diizinkan, Anda akan mengalami ketidakkonsistenan dengan pemrosesan fine-grained-access-control otorisasi Anda dan menerima pesan 403error. 

## Mengkonfigurasi autentikasi dan otorisasi Pusat Identitas IAM (CLI)
<a name="idc-configure-cli"></a>

```
	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
```

## Menonaktifkan autentikasi IAM Identity Center pada domain
<a name="idc-configure-disable"></a>

Untuk menonaktifkan Pusat Identitas IAM di OpenSearch domain Anda:

1. Pilih domain, **Tindakan**, dan **Edit konfigurasi keamanan**.

1. Hapus centang **Aktifkan akses API yang diautentikasi dengan IAM Identity Center**.

1. Pilih **Simpan perubahan**.

1. Setelah domain selesai diproses, hapus [pemetaan peran yang ditambahkan untuk prinsipal Pusat Identitas IAM](fgac.md) 

Untuk menonaktifkan Pusat Identitas IAM melalui CLI, Anda dapat menggunakan berikut

```
	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'
```