Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Dukungan Pusat Identitas IAM untuk Amazon Tanpa Server OpenSearch
<a name="serverless-iam-identity-center"></a>

## Dukungan Pusat Identitas IAM untuk Amazon Tanpa Server OpenSearch
<a name="serverless-iam-identity-support"></a>

Anda dapat menggunakan prinsipal Pusat Identitas IAM (pengguna dan grup) untuk mengakses data Amazon OpenSearch Tanpa Server melalui Aplikasi Amazon. OpenSearch Untuk mengaktifkan dukungan Pusat Identitas IAM untuk Amazon OpenSearch Tanpa Server, Anda harus mengaktifkan penggunaan Pusat Identitas IAM. Untuk mempelajari lebih lanjut tentang cara melakukannya, lihat [Apa itu Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?

**catatan**  
Untuk mengakses koleksi Amazon OpenSearch Tanpa Server menggunakan pengguna atau grup Pusat Identitas IAM, Anda harus menggunakan fitur OpenSearch UI (Aplikasi). Akses langsung ke Dasbor OpenSearch Tanpa Server menggunakan kredenal Pusat Identitas IAM tidak didukung. Untuk informasi selengkapnya, lihat [Memulai dengan antarmuka OpenSearch pengguna](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).

Setelah instans Pusat Identitas IAM dibuat, administrator akun pelanggan perlu membuat aplikasi Pusat Identitas IAM untuk layanan Amazon Tanpa OpenSearch Server. Ini dapat dilakukan dengan menghubungi [CreateSecurityConfig:](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html). Administrator akun pelanggan dapat menentukan atribut apa yang akan digunakan untuk mengotorisasi permintaan. Atribut default yang digunakan adalah `UserId` dan `GroupId.`

Integrasi Pusat Identitas IAM untuk Amazon OpenSearch Tanpa Server menggunakan izin IAM Identity Center ( AWS IAM) berikut:
+ `aoss:CreateSecurityConfig`— Buat penyedia Pusat Identitas IAM
+ `aoss:ListSecurityConfig`— Daftar semua penyedia Pusat Identitas IAM di akun saat ini.
+ `aoss:GetSecurityConfig`— Lihat informasi penyedia Pusat Identitas IAM.
+ `aoss:UpdateSecurityConfig`— Ubah konfigurasi Pusat Identitas IAM yang diberikan
+ `aoss:DeleteSecurityConfig`— Hapus penyedia Pusat Identitas IAM. 

Kebijakan akses berbasis identitas berikut dapat digunakan untuk mengelola semua konfigurasi Pusat Identitas IAM:

------
#### [ JSON ]

****  

```
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**catatan**  
`Resource`Elemen harus menjadi wildcard.

## Membuat penyedia Pusat Identitas IAM (konsol)
<a name="serverless-iam-console"></a>

Anda dapat membuat penyedia Pusat Identitas IAM untuk mengaktifkan otentikasi dengan OpenSearch Aplikasi. Untuk mengaktifkan autentikasi IAM Identity Center untuk OpenSearch Dasbor, lakukan langkah-langkah berikut:

1. Masuk ke [konsol OpenSearch Layanan Amazon](https://console.aws.amazon.com/aos/home.).

1. **Di panel navigasi kiri, perluas **Tanpa Server** dan pilih Otentikasi.**

1. Pilih **autentikasi Pusat Identitas IAM**.

1. Pilih **Edit**

1. Centang kotak di sebelah Autentikasi dengan Pusat Identitas IAM.

1. Pilih kunci atribut **pengguna dan grup** dari menu dropdown. Atribut pengguna akan digunakan untuk mengotorisasi pengguna berdasarkan`UserName`,`UserId`, dan`Email`. Atribut grup akan digunakan untuk mengautentikasi pengguna berdasarkan `GroupName` dan`GroupId`.

1. Pilih instance **IAM Identity Center**.

1. Pilih **Simpan**

## Membuat penyedia Pusat Identitas IAM ()AWS CLI
<a name="serverless-iam-identity-center-cli"></a>

Untuk membuat penyedia Pusat Identitas IAM menggunakan AWS Command Line Interface (AWS CLI) gunakan perintah berikut:

```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'
```

Setelah Pusat Identitas IAM diaktifkan, pelanggan hanya dapat memodifikasi atribut **pengguna dan grup**.

```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'
```

Untuk melihat penyedia Pusat Identitas IAM menggunakan AWS Command Line Interface, gunakan perintah berikut:

```
aws opensearchserverless list-security-configs --type iamidentitycenter
```

## Menghapus penyedia Pusat Identitas IAM
<a name="serverless-iam-identity-center-deleting"></a>

 IAM Identity Center menawarkan dua contoh penyedia, satu untuk akun organisasi Anda dan satu untuk akun anggota Anda. Jika Anda perlu mengubah instance IAM Identity Center, Anda perlu menghapus konfigurasi keamanan Anda melalui `DeleteSecurityConfig` API dan membuat konfigurasi keamanan baru menggunakan instance IAM Identity Center yang baru. Perintah berikut dapat digunakan untuk menghapus penyedia Pusat Identitas IAM:

```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>
```

## Memberikan akses Pusat Identitas IAM ke pengumpulan data
<a name="serverless-iam-identity-center-collection-data"></a>

Setelah penyedia Pusat Identitas IAM diaktifkan, Anda dapat memperbarui kebijakan akses data pengumpulan untuk menyertakan prinsip-prinsip Pusat Identitas IAM. Prinsipal IAM Identity Center perlu diperbarui dalam format berikut: 

```
[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
```

**catatan**  
Amazon OpenSearch Serverless hanya mendukung satu instans Pusat Identitas IAM untuk semua koleksi pelanggan dan dapat mendukung hingga 100 grup untuk satu pengguna. Jika Anda mencoba menggunakan lebih dari jumlah instans yang diizinkan, Anda akan mengalami ketidakkonsistenan dengan pemrosesan otorisasi kebijakan akses data Anda dan menerima pesan `403` kesalahan. 

Anda dapat memberikan akses ke koleksi, indeks, atau keduanya. Jika Anda ingin pengguna yang berbeda memiliki izin yang berbeda, Anda harus membuat beberapa aturan. Untuk daftar izin yang tersedia, lihat [Identity and Access Management di Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Untuk informasi tentang cara memformat kebijakan akses, lihat [Memberikan identitas SALL akses ke](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies) data pengumpulan.