Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accesso ai dati interregionali ai domini OpenSearch
Puoi configurare le tue applicazioni OpenSearch UI in una sola Regione AWS per accedere a OpenSearch domini in diversi s. Regione AWS Ciò consente di creare dashboard unificate che aggregano i dati dei OpenSearch domini su più server all'interno della stessa partizione Regione AWS. Il supporto di origini dati interregionali richiede l'attivazione di un controllo granulare degli accessi sul dominio di destinazione. Il controllo granulare degli accessi fornisce un livello di autorizzazione aggiuntivo oltre alla politica di accesso al dominio, che consente di controllare l'accesso a singoli indici, documenti e campi.
Concetti chiave
- Regione di applicazione
-
La posizione Regione AWS in cui è ospitata l'applicazione dell' OpenSearch interfaccia utente.
- Regione di destinazione
-
La posizione Regione AWS in cui risiede il OpenSearch dominio. Può trattarsi di qualsiasi regione all'interno della stessa partizione, indipendentemente dal fatto che l' OpenSearch interfaccia utente sia disponibile in quella regione.
- Ruolo tra account
-
Un ruolo IAM nell'account di destinazione che viene utilizzato solo durante l'associazione dell'origine dati. OpenSearch L'interfaccia utente assume questo ruolo per la chiamata
es:DescribeDomain, che recupera l'endpoint del dominio e verifica che il controllo granulare degli accessi sia abilitato. Questo ruolo è richiesto solo quando il dominio si trova in un account diverso dall'applicazione. Per ulteriori informazioni, consulta Accesso ai dati tra account diversi ai domini OpenSearch. - Ruolo dell'applicazione IAM Identity Center
-
Un ruolo IAM nell'account dell'applicazione utilizzato per l'accesso al piano dati degli utenti di IAM Identity Center.
- Regioni supportate (per domini VPC)
-
Per i domini VPC, devi elencare gli indirizzi in cui sono ospitate le applicazioni dell' OpenSearch interfaccia utente quando Regione AWS autorizzi l'endpoint VPC. Questo elenco di autorizzazioni è necessario per consentire all' OpenSearch interfaccia utente di effettuare chiamate al dominio VPC.
Prerequisiti
Prima di configurare l'accesso ai dati tra diverse regioni, assicurati di disporre di quanto segue:
-
AWS CLI installato e configurato
-
Accesso alla Account AWS regione dell'applicazione e alla regione di destinazione
-
OpenSearch domini con controllo granulare degli accessi abilitato. L'associazione di origini dati in più regioni è supportata solo per i domini con controllo granulare degli accessi abilitato.
-
Per scenari con più account: accesso sia all'origine che alla destinazione Account AWS
-
Per i flussi di IAM Identity Center: un'istanza AWS IAM Identity Center organizzativa. L'applicazione OpenSearch UI deve trovarsi nella stessa regione dell'istanza IAM Identity Center.
Scenari
Scegli lo scenario che corrisponde al tuo metodo di autenticazione e alla configurazione del dominio:
-
Scenario 1: utente IAM che accede a un dominio pubblico in una regione diversa
-
Scenario 2: utente di IAM Identity Center che accede a un dominio pubblico in una regione diversa
-
Scenario 3: utente IAM che accede a un dominio VPC in una regione diversa
-
Scenario 4: utente IAM Identity Center che accede a un dominio VPC in una regione diversa
Ogni scenario riguarda l'accesso interregionale dello stesso account. Per l'accesso tra più account, combina i passaggi di questi scenari con la configurazione dei ruoli tra account diversi descritta in. Accesso ai dati tra account diversi ai domini OpenSearch
Scenario 1: utente IAM che accede a un dominio pubblico in una regione diversa
In questo scenario, OpenSearch crei un'applicazione UI in una regione e la connetti a un OpenSearch dominio pubblico in un'altra regione all'interno dello stesso account.
Passaggio 1: creare il OpenSearch dominio (regione di destinazione)
Crea un OpenSearch dominio nella regione di destinazione con il controllo granulare degli accessi abilitato. Ambita la policy di accesso alla radice dell'account o ai principali IAM specifici.
aws opensearch create-domain \ --domain-namedomain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/domain-name/*"}]}' \ --regiontarget-region
Attendi che lo stato del dominio diventi tale Active prima di procedere.
Fase 2: Creare l'applicazione OpenSearch UI (regione dell'applicazione)
Crea l'applicazione nella regione dell'applicazione con l'origine dati interregionale. La regione viene estratta automaticamente dall'ARN dell'origine dati.
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-iam-app" \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/domain-name", "dataSourceDescription":"Cross-region domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Fase 3: Verifica e accesso
Recupera i dettagli dell'applicazione per ottenere l'URL dell'endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Passa all'URL dell'endpoint dell'applicazione dalla risposta.
-
Accedi con le credenziali IAM.
-
L'utente IAM firma le richieste del piano dati con le proprie credenziali.
-
La policy di accesso del dominio di destinazione e le mappature dei ruoli di backend controllano a quali dati l'utente può accedere.
Scenario 2: utente di IAM Identity Center che accede a un dominio pubblico in una regione diversa
In questo scenario, OpenSearch crei un'applicazione UI con autenticazione IAM Identity Center in una regione e la connetti a un OpenSearch dominio pubblico in un'altra regione all'interno dello stesso account.
Passaggio 1: creare il OpenSearch dominio con IAM Identity Center abilitato (regione di destinazione)
Crea un OpenSearch dominio nella regione di destinazione con un controllo granulare degli accessi e l'integrazione con IAM Identity Center abilitata. Utilizza il --identity-center-options parametro con IdentityCenterInstanceRegion per specificare la regione in cui si trova l'istanza di IAM Identity Center. Questa regione deve essere la stessa in cui è ospitata l'applicazione OpenSearch UI.
aws opensearch create-domain \ --domain-namedomain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --identity-center-options '{"EnabledAPIAccess":true,"IdentityCenterInstanceARN":"arn:aws:sso:::instance/ssoins-instance-id","IdentityCenterInstanceRegion":"idc-region","RolesKey":"GroupId","SubjectKey":"UserId"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:role/NeoIdCAppRole"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/domain-name/*"}]}' \ --regiontarget-region
Attendi che lo stato del dominio diventi tale Active prima di procedere.
Fase 2: Creare il ruolo IAM per l'applicazione IAM Identity Center
Crea un ruolo IAM che l' OpenSearch interfaccia utente utilizza per l'accesso al piano dati degli utenti di IAM Identity Center.
Per creare il ruolo applicativo IAM Identity Center
-
Crea una politica di fiducia utilizzando solo la
sts:AssumeRoledichiarazione. Aggiornerai questa politica per aggiungere l'sts:SetContextistruzione dopo aver creato l'applicazione nel passaggio successivo.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Crea una politica di autorizzazioni:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OpenSearchDomain", "Effect": "Allow", "Action": ["es:ESHttp*"], "Resource": "arn:aws:es:target-region:account-id:domain/domain-name/*" }] } -
Crea il ruolo e allega le politiche:
aws iam create-role \ --role-nameNeoIdCAppRole\ --assume-role-policy-document file://neoidc-trust-policy.jsonaws iam put-role-policy \ --role-nameNeoIdCAppRole\ --policy-nameNeoIdCAppPermissions\ --policy-document file://neoidc-permissions-policy.json
Fase 3: Creare l'applicazione OpenSearch UI con IAM Identity Center (regione dell'applicazione)
Nota
Assicurati che l'istanza di IAM Identity Center si trovi nella stessa regione della regione dell'applicazione OpenSearch UI.
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-idc-app" \ --iam-identity-center-options '{ "enabled":true, "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id", "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::account-id:role/NeoIdCAppRole" }' \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/domain-name", "dataSourceDescription":"Cross-region domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Dopo aver creato l'applicazione, annota l'ID dell'applicazione SSO contenuto nella risposta. Quindi aggiorna la policy di fiducia sul ruolo dell'applicazione IAM Identity Center per aggiungere la sts:SetContext dichiarazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": "arn:aws:iam::account-id:oidc-provider/portal.sso.idc-region.amazonaws.com/apl/application-id" } } } ] }
aws iam update-assume-role-policy \ --role-nameNeoIdCAppRole\ --policy-document file://updated-trust-policy.json
Fase 4: Creare e assegnare utenti e gruppi di IAM Identity Center
Crea un utente IAM Identity Center
Eseguire il seguente comando seguente. Sostituisci placeholder
values con le informazioni appropriate.
aws identitystore create-user \ --identity-store-idd-directory-id\ --user-nameuser-email\ --display-name "display-name" \ --name Formatted=string,FamilyName=last-name,GivenName=first-name\ --emails Value=user-email,Type=work,Primary=true
Crea un gruppo IAM Identity Center e aggiungi l'utente
Esegui i comandi seguenti:
aws identitystore create-group \ --identity-store-idd-directory-id\ --display-name "OpenSearchUsers" \ --description "Users with OpenSearch access" aws identitystore create-group-membership \ --identity-store-idd-directory-id\ --group-idgroup-id\ --member-id UserId=user-id
Assegna l'utente o il gruppo all'applicazione
Esegui il comando seguente:
aws sso-admin create-application-assignment \ --application-arn "arn:aws:sso::account-id:application/ssoins-instance-id/apl-application-id" \ --principal-iduser-id-or-group-id\ --principal-typeUSER
Configura la mappatura dei ruoli di backend sul dominio di destinazione
Mappa il gruppo IAM Identity Center su un ruolo OpenSearch di sicurezza nel dominio di destinazione:
curl -XPATCH "https://domain-endpoint/_plugins/_security/api/rolesmapping/all_access" \ -uadmin:master-password\ -H 'Content-Type: application/json' \ -d '[{"op": "add", "path": "/backend_roles", "value": ["group-id"]}]'
Fase 5: Verifica e accesso
Recupera i dettagli dell'applicazione per ottenere l'URL dell'endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Passa all'URL dell'endpoint dell'applicazione.
-
Accedi con le credenziali utente di IAM Identity Center.
-
Le richieste di dati degli utenti di IAM Identity Center vengono firmate con il ruolo applicativo IAM Identity Center.
-
Le mappature dei ruoli di backend sul dominio controllano le autorizzazioni di accesso ai dati.
Scenario 3: utente IAM che accede a un dominio VPC in una regione diversa
In questo scenario, OpenSearch crei un'applicazione UI in una regione e la connetti a un OpenSearch dominio VPC in un'altra regione all'interno dello stesso account. I domini VPC richiedono una configurazione di rete aggiuntiva e un'autorizzazione esplicita degli endpoint VPC con supporto interregionale.
Fase 1: Configurare il VPC (regione di destinazione)
Salta questo passaggio se esiste già un VPC nella regione di destinazione.
# Create VPC aws ec2 create-vpc \ --cidr-block 10.0.0.0/16 \ --regiontarget-region# Create subnet aws ec2 create-subnet \ --vpc-idvpc-id\ --cidr-block 10.0.1.0/24 \ --availability-zonetarget-regiona \ --regiontarget-region# Create security group aws ec2 create-security-group \ --group-nameopensearch-vpc-sg\ --description "Security group for OpenSearch VPC domain" \ --vpc-idvpc-id\ --regiontarget-region# Allow inbound HTTPS aws ec2 authorize-security-group-ingress \ --group-idsecurity-group-id\ --protocol tcp \ --port 443 \ --cidr 10.0.0.0/16 \ --regiontarget-region
Scopri di più sulla creazione di domini VPC.
Fase 2: Creare il dominio VPC (regione di destinazione)
aws opensearch create-domain \ --domain-namevpc-domain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:root"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/vpc-domain-name/*"}]}' \ --regiontarget-region
Attendi che lo stato del dominio diventi tale Active prima di procedere.
Fase 3: Autorizzazione dell'endpoint VPC per il servizio principale OpenSearch dell'interfaccia utente con supporto interregionale (regione di destinazione)
# Authorize the service principal with cross-region support aws opensearch authorize-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["target-region","application-region"]}' \ --regiontarget-region# Verify authorization aws opensearch list-vpc-endpoint-access \ --domain-namevpc-domain-name\ --regiontarget-region
Risposta prevista:
{ "AuthorizedPrincipalList": [ { "PrincipalType": "AWS_SERVICE", "Principal": "application.opensearchservice.amazonaws.com", "ServiceOptions": { "SupportedRegions": ["target-region", "application-region"] } } ] }
Fase 4: Creare l'applicazione OpenSearch UI (regione dell'applicazione)
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-vpc-iam-app" \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/vpc-domain-name", "dataSourceDescription":"Cross-region VPC domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Fase 5: Verifica e accesso
Recupera i dettagli dell'applicazione per ottenere l'URL dell'endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Passa all'URL dell'endpoint dell'applicazione dalla risposta.
-
Accedi con le credenziali IAM.
-
L'utente IAM firma le richieste del piano dati con le proprie credenziali.
-
La policy di accesso del dominio di destinazione e le mappature dei ruoli di backend controllano a quali dati l'utente può accedere.
Scenario 4: utente IAM Identity Center che accede a un dominio VPC in una regione diversa
In questo scenario, OpenSearch crei un'applicazione UI con autenticazione IAM Identity Center in una regione e la connetti a un OpenSearch dominio VPC in un'altra regione all'interno dello stesso account.
Fase 1: Configurare il VPC (regione di destinazione)
Salta questo passaggio se esiste già un VPC nella regione di destinazione.
# Create VPC aws ec2 create-vpc \ --cidr-block 10.0.0.0/16 \ --regiontarget-region# Create subnet aws ec2 create-subnet \ --vpc-idvpc-id\ --cidr-block 10.0.1.0/24 \ --availability-zonetarget-regiona \ --regiontarget-region# Create security group aws ec2 create-security-group \ --group-nameopensearch-vpc-sg\ --description "Security group for OpenSearch VPC domain" \ --vpc-idvpc-id\ --regiontarget-region# Allow inbound HTTPS aws ec2 authorize-security-group-ingress \ --group-idsecurity-group-id\ --protocol tcp \ --port 443 \ --cidr 10.0.0.0/16 \ --regiontarget-region
Scopri di più sulla creazione di domini VPC.
Fase 2: Creare il dominio VPC con IAM Identity Center abilitato (regione di destinazione)
Crea un OpenSearch dominio nella regione di destinazione con controllo granulare degli accessi, integrazione con IAM Identity Center e configurazione VPC abilitati. Aggiorna la policy di accesso per consentire il ruolo dell'applicazione IAM Identity Center e aggiungi il parametro: --identity-center-options
aws opensearch create-domain \ --domain-namevpc-domain-name\ --engine-version OpenSearch_2.19 \ --cluster-config InstanceType=m5.large.search,InstanceCount=1 \ --ebs-options "EBSEnabled=true,VolumeType=gp3,VolumeSize=100" \ --vpc-options "SubnetIds=subnet-id,SecurityGroupIds=security-group-id" \ --advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"admin","MasterUserPassword":"master-password"}}' \ --node-to-node-encryption-options '{"Enabled":true}' \ --encryption-at-rest-options '{"Enabled":true}' \ --domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \ --identity-center-options '{"EnabledAPIAccess":true,"IdentityCenterInstanceARN":"arn:aws:sso:::instance/ssoins-instance-id","IdentityCenterInstanceRegion":"idc-region","RolesKey":"GroupId","SubjectKey":"UserId"}' \ --access-policies '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::account-id:role/NeoIdCAppRole"},"Action":"es:ESHttp*","Resource":"arn:aws:es:target-region:account-id:domain/vpc-domain-name/*"}]}' \ --regiontarget-region
Attendi che lo stato del dominio diventi tale Active prima di procedere.
Fase 3: Autorizzazione dell'endpoint VPC per il servizio principale OpenSearch dell'interfaccia utente con supporto interregionale (regione di destinazione)
Importante
Si tratta di un passaggio fondamentale che riguarda esclusivamente i domini VPC con accesso interregionale. Il servizio OpenSearch UI deve essere esplicitamente autorizzato ad accedere all'endpoint VPC ed è necessario includere la regione dell'applicazione nell'elenco. SupportedRegions
# Authorize the service principal with cross-region support aws opensearch authorize-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["target-region","application-region"]}' \ --regiontarget-region# Verify authorization aws opensearch list-vpc-endpoint-access \ --domain-namevpc-domain-name\ --regiontarget-region
Risposta prevista:
{ "AuthorizedPrincipalList": [ { "PrincipalType": "AWS_SERVICE", "Principal": "application.opensearchservice.amazonaws.com", "ServiceOptions": { "SupportedRegions": ["target-region", "application-region"] } } ] }
Fase 4: Creare il ruolo IAM per l'applicazione IAM Identity Center
Crea un ruolo IAM che l' OpenSearch interfaccia utente utilizza per l'accesso al piano dati degli utenti di IAM Identity Center.
Per creare il ruolo applicativo IAM Identity Center
-
Crea una politica di fiducia utilizzando solo la
sts:AssumeRoledichiarazione. Aggiornerai questa politica per aggiungere l'sts:SetContextistruzione dopo aver creato l'applicazione nel passaggio successivo.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Crea una politica di autorizzazioni:
{ "Version": "2012-10-17", "Statement": [{ "Sid": "OpenSearchDomain", "Effect": "Allow", "Action": ["es:ESHttp*"], "Resource": "arn:aws:es:target-region:account-id:domain/vpc-domain-name/*" }] } -
Crea il ruolo e allega le politiche:
aws iam create-role \ --role-nameNeoIdCAppRole\ --assume-role-policy-document file://neoidc-trust-policy.jsonaws iam put-role-policy \ --role-nameNeoIdCAppRole\ --policy-nameNeoIdCAppPermissions\ --policy-document file://neoidc-permissions-policy.json
Fase 5: Creare l'applicazione OpenSearch UI con IAM Identity Center (regione dell'applicazione)
aws opensearch create-application \ --regionapplication-region\ --name "cross-region-vpc-idc-app" \ --iam-identity-center-options '{ "enabled":true, "iamIdentityCenterInstanceArn":"arn:aws:sso:::instance/ssoins-instance-id", "iamRoleForIdentityCenterApplicationArn":"arn:aws:iam::account-id:role/NeoIdCAppRole" }' \ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region:account-id:domain/vpc-domain-name", "dataSourceDescription":"Cross-region VPC domain" }]' \ --app-configs '[{"key":"opensearchDashboards.dashboardAdmin.users","value":"[\"test-user\"]"}]'
Dopo aver creato l'applicazione, annota l'ID dell'applicazione SSO contenuto nella risposta. Quindi aggiorna la policy di fiducia sul ruolo dell'applicazione IAM Identity Center per aggiungere la sts:SetContext dichiarazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "application.opensearchservice.amazonaws.com" }, "Action": "sts:SetContext", "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": "arn:aws:iam::account-id:oidc-provider/portal.sso.idc-region.amazonaws.com/apl/application-id" } } } ] }
aws iam update-assume-role-policy \ --role-nameNeoIdCAppRole\ --policy-document file://updated-trust-policy.json
Fase 6: Creare e assegnare utenti e gruppi di IAM Identity Center
Segui gli stessi passaggi Fase 4: Creare e assegnare utenti e gruppi di IAM Identity Center per creare utenti e gruppi, assegnarli all'applicazione e configurare la mappatura dei ruoli di backend sul dominio di destinazione.
Passaggio 7: verifica e accesso
Recupera i dettagli dell'applicazione per ottenere l'URL dell'endpoint:
aws opensearch get-application \ --regionapplication-region\ --idapplication-id
-
Passa all'URL dell'endpoint dell'applicazione.
-
Accedi con le credenziali utente di IAM Identity Center.
-
Le richieste di dati degli utenti di IAM Identity Center vengono firmate con il ruolo applicativo IAM Identity Center.
-
Le mappature dei ruoli di backend sul dominio controllano le autorizzazioni di accesso ai dati.
Gestione delle applicazioni
Aggiorna un'applicazione con fonti di dati interregionali
Eseguire il seguente comando seguente. Sostituisci placeholder
values con le informazioni appropriate.
aws opensearch update-application \ --regionapplication-region\ --idapplication-id\ --data-sources '[{ "dataSourceArn":"arn:aws:es:target-region-1:account-id:domain/domain-1", "dataSourceDescription":"Domain in target Region 1" },{ "dataSourceArn":"arn:aws:es:target-region-2:account-id:domain/domain-2", "dataSourceDescription":"Domain in target Region 2" }]'
Importante
L'operazione di aggiornamento sostituisce l'intero array di fonti di dati. Includi tutte le fonti di dati che desideri conservare.
Elenca le applicazioni
Esegui il comando seguente:
aws opensearch list-applications \ --regionapplication-region
Eliminazione di un'applicazione
Esegui il comando seguente:
aws opensearch delete-application \ --regionapplication-region\ --idapplication-id
Revoca l'accesso agli endpoint VPC per regioni specifiche
Per revocare l'accesso interregionale per messaggi specifici Regione AWS mantenendone altri, utilizza il parametro relativo alle regioni da revocare--service-options:
aws opensearch revoke-vpc-endpoint-access \ --domain-namevpc-domain-name\ --service "application.opensearchservice.amazonaws.com" \ --service-options '{"SupportedRegions":["region-to-revoke"]}' \ --regiontarget-region
Riferimento rapido
Le tabelle seguenti riassumono le principali differenze tra i tipi di dominio, i metodi di autenticazione e l'accesso alla stessa area rispetto a quello interregionale.
| Aspetto | Dominio pubblico | Dominio VPC |
|---|---|---|
| Autorizzazione degli endpoint VPC | Campo non obbligatorio | Obbligatoria: deve autorizzare con application.opensearchservice.amazonaws.com SupportedRegions |
| Configurazione della rete | Nessuno | VPC, sottorete, gruppo di sicurezza con HTTPS (443) in ingresso |
| Politica di accesso IAM | Richiesto | Richiesto |
| Aspetto | Utente IAM | Utente IAM Identity Center |
|---|---|---|
| Credenziali del piano dati | Credenziali IAM proprie dell'utente | Ruolo applicativo IAM Identity Center |
| Controllo accessi | Policy di accesso al dominio e mappatura dei ruoli di backend | Politica di accesso al dominio e mappature dei ruoli di backend |
| Vincolo della regione dell'applicazione | Qualsiasi regione | Deve trovarsi nella stessa regione dell'istanza IAM Identity Center |
| Configurazione del dominio | Standard | Richiede --identity-center-options con IdentityCenterInstanceRegion |
| Configurazione aggiuntiva | Nessuno | Ruolo dell'applicazione IAM Identity Center, user/group creazione, assegnazione delle applicazioni, mappatura dei ruoli di backend |
| Aspetto | Stessa regione | Interregione |
|---|---|---|
| Fonte dati ARN | Stessa regione dell'applicazione | Regione diversa dall'applicazione (stessa partizione) |
| Autorizzazione degli endpoint VPC | Ometti --service-options |
Includi --service-options con SupportedRegions |
| Configurazione del dominio IAM Identity Center | IdentityCenterInstanceRegion facoltativo |
IdentityCenterInstanceRegion obbligatorio |
| Supporto tra partizioni | N/D | Non supportato: le fonti di dati devono trovarsi nella stessa partizione |
Note importanti
-
L'associazione di origini dati tra regioni richiede l'attivazione di un controllo granulare degli accessi sul dominio di destinazione.
-
Le fonti di dati interregionali devono trovarsi all'interno della stessa partizione. L'accesso tra partizioni (ad esempio, da
awsaaws-cn) non è supportato. -
La regione dell'origine dati viene estratta automaticamente dall'ARN dell'origine dati. Non è necessario alcun parametro Region aggiuntivo in or.
CreateApplicationUpdateApplicationAPIs -
Per le sorgenti dati interregionali dello stesso account,
iamRoleForDataSourceArnnon è obbligatorio. È necessario solo per fonti di dati tra account diversi. -
Per i domini VPC, è necessario includere la regione dell'applicazione nel
SupportedRegionsparametro durante la chiamata.AuthorizeVpcEndpointAccessL'omissione--service-optionsautorizza solo l'accesso alla stessa regione. -
Per i flussi di IAM Identity Center, l'applicazione OpenSearch UI deve trovarsi nella stessa regione dell'istanza IAM Identity Center.
-
Per i flussi IAM Identity Center con domini interregionali, il dominio di destinazione deve essere incluso
--identity-center-optionsper consentire l'IdentityCenterInstanceRegionintrospezione dei token tra regioni. -
Versioni del motore supportate: 1.3 e successive. OpenSearch
Risoluzione dei problemi
| Problema | Risoluzione |
|---|---|
| La creazione dell'applicazione non riesce con «Impossibile accedere al dominio» | Verifica che il dominio esista nella regione di destinazione e che il controllo granulare degli accessi sia abilitato. Per gli scenari con più account, verifica che il ruolo tra account disponga dell'es:DescribeDomainautorizzazione e che la politica di attendibilità consenta l'account di origine. |
| L'accesso al dominio VPC non riesce per più regioni | Assicurati che l'endpoint VPC sia autorizzato application.opensearchservice.amazonaws.com con la regione dell'applicazione inclusa. SupportedRegions |
| Accesso al piano dati negato per l'utente IAM | Verifica che la policy di accesso al dominio di destinazione consenta l'utente o il responsabile del ruolo IAM e che le mappature granulari dei ruoli del backend per il controllo degli accessi garantiscano le autorizzazioni appropriate. |
| Accesso al piano dati negato per l'utente IAM Identity Center | Verifica che la mappatura dei ruoli di backend includa l'ID del gruppo IAM Identity Center, che la policy del dominio consenta il ruolo dell'applicazione IAM Identity Center e IdentityCenterInstanceRegion sia impostata correttamente sulla stessa regione dell'applicazione OpenSearch UI sul dominio. |
| Fonte di dati tra partizioni rifiutata | L'accesso tra partizioni non è supportato. Assicurati che l'ARN dell'origine dati si trovi nella stessa partizione dell'applicazione. |
| L'autenticazione IAM Identity Center non riesce per un dominio interregionale | Verifica che IdentityCenterInstanceRegion sia impostata la regione corretta in cui è abilitata l'istanza di IAM Identity Center. Anche l'applicazione dell' OpenSearch interfaccia utente deve trovarsi nella stessa regione. |
