IAM Identity Center Trusted Identity Propagation Support per Amazon Service OpenSearch - OpenSearch Servizio Amazon
ConsiderazioniModifica della policy di accesso al dominioConfigurazione dell'autenticazione e dell'autorizzazione di IAM Identity Center (console)Configurazione del controllo granulare degli accessiConfigurazione dell'autenticazione e dell'autorizzazione (CLI) di IAM Identity CenterDisabilitazione dell'autenticazione IAM Identity Center sul dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAM Identity Center Trusted Identity Propagation Support per Amazon Service OpenSearch

Ora puoi utilizzare i principali di AWS IAM Identity Center configurati centralmente (utenti e gruppi) tramite Trusted Identity Propagation per accedere OpenSearch ai domini tramite le applicazioni di servizio. OpenSearch Per abilitare il supporto di IAM Identity Center per Amazon OpenSearch Service, dovrai abilitare l'uso di IAM Identity Center. Per saperne di più su come eseguire questa operazione, consulta Cos'è IAM Identity Center? . Vedi Come associare il OpenSearch dominio come origine dati nelle OpenSearch applicazioni? per i dettagli.

Puoi configurare IAM Identity Center utilizzando la console di OpenSearch servizio, il AWS Command Line Interface (AWS CLI) o il AWS SDKs.

Nota

I principali di IAM Identity Center non sono supportati tramite dashboard (collocati insieme al cluster). Sono supportati solo tramite un'interfaccia OpenSearch utente centralizzata (dashboard).

Considerazioni

Prima di utilizzare IAM Identity Center con Amazon OpenSearch Service, devi considerare quanto segue:

  • IAM Identity Center è abilitato nell'account.

  • La versione del OpenSearch dominio è 1.3 o successiva.

  • Il controllo granulare degli accessi è abilitato sul dominio.

  • Il dominio deve trovarsi nella stessa regione dell'istanza IAM Identity Center.

  • Il dominio e OpenSearch l'applicazione devono appartenere allo stesso AWS account.

Modifica della policy di accesso al dominio

Prima di configurare IAM Identity Center, è necessario aggiornare la policy di accesso al dominio o le autorizzazioni del ruolo IAM configurato nelle OpenSearch applicazioni per Trusted Identity Propagation.


	 {
	     "Version": "2012-10-17",
	     "Statement": [
	         {
	             "Effect": "Allow",
	             "Principal": {
	                 "AWS": "IAM Role configured in OpenSearch application"
	             },
	             "Action": "es:ESHttp*",
	             "Resource": "domain-arn/*"
	         },
	         {
	         ... // Any other permissions
	         }
	     ]
	 }

Configurazione dell'autenticazione e dell'autorizzazione di IAM Identity Center (console)

Puoi abilitare l'autenticazione e l'autorizzazione di IAM Identity Center durante il processo di creazione del dominio o aggiornando un dominio esistente. I passaggi di configurazione variano leggermente a seconda dell'opzione scelta.

I passaggi seguenti spiegano come configurare un dominio esistente per l'autenticazione e l'autorizzazione di IAM Identity Center nella console OpenSearch di Amazon Service:

  1. In Configurazione del dominio, vai a Configurazione di sicurezza, scegli Modifica e vai alla sezione Autenticazione IAM Identity Center e seleziona Abilita l'accesso all'API autenticato con IAM Identity Center.

  2. Seleziona il tasto SubjectKey and Roles come segue.

    • Chiave dell'oggetto: scegli uno tra UserId (impostazione predefinita) UserName ed Email per utilizzare l'attributo corrispondente come principale di accesso al dominio.

    • Chiave dei ruoli: scegli uno tra GroupId (impostazione predefinita) e GroupName utilizza i valori degli attributi corrispondenti come ruolo di backend fine-grained-access-controlper tutti i gruppi associati al principale IdC.

Dopo aver apportato le modifiche, salva il dominio.

Configurazione del controllo granulare degli accessi

Dopo aver abilitato l'opzione IAM Identity Center sul tuo OpenSearch dominio, puoi configurare l'accesso ai principali di IAM Identity Center creando la mappatura dei ruoli al ruolo di backend. Il valore del ruolo di backend per il principale si basa sull'appartenenza al gruppo del responsabile iDC e sulla configurazione di o. RolesKey GroupId GroupName

Nota

Amazon OpenSearch Service può supportare fino a 100 gruppi per un singolo utente. Se tenti di utilizzare un numero di istanze superiore a quello consentito, potresti riscontrare un'incoerenza nell'elaborazione delle fine-grained-access-control autorizzazioni e riceverai un messaggio di errore 403.

Configurazione dell'autenticazione e dell'autorizzazione (CLI) di IAM Identity Center


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Disabilitazione dell'autenticazione IAM Identity Center sul dominio

Per disabilitare IAM Identity Center sul tuo OpenSearch dominio:

  1. Scegli il dominio, Operazioni quindi Modifica configurazione di sicurezza.

  2. Deseleziona Abilita l'accesso all'API autenticato con IAM Identity Center.

  3. Scegli Save changes (Salva modifiche).

  4. Al termine dell'elaborazione del dominio, rimuovi le mappature dei ruoli aggiunte per i principali iDC

Per disabilitare IAM Identity Center tramite CLI, puoi usare quanto segue


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'