Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse Serverless. OpenSearch IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Policy basate sull'identità per Serverless OpenSearch](#security-iam-serverless-id-based-policies)
+ [Azioni politiche per Serverless OpenSearch](#security-iam-serverless-id-based-policies-actions)
+ [Risorse politiche per Serverless OpenSearch](#security-iam-serverless-id-based-policies-resources)
+ [Chiavi delle condizioni delle policy per Amazon OpenSearch Serverless](#security_iam_serverless-conditionkeys)
+ [ABAC con Serverless OpenSearch](#security_iam_serverless-with-iam-tags)
+ [Utilizzo di credenziali temporanee con Serverless OpenSearch](#security_iam_serverless-tempcreds)
+ [Ruoli collegati ai servizi per Serverless OpenSearch](#security_iam_serverless-slr)
+ [Altri tipi di policy](#security_iam_access-manage-other-policies)
+ [Esempi di policy basate sull'identità per Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
+ [Supporto IAM Identity Center per Amazon OpenSearch Serverless](serverless-iam-identity-center.md)
## Policy basate sull'identità per Serverless OpenSearch
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Serverless OpenSearch
Per visualizzare esempi di policy basate sull'identità OpenSearch serverless, vedere. [Esempi di policy basate sull'identità per Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
## Azioni politiche per Serverless OpenSearch
**Supporta le operazioni di policy:** si
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le *operazioni di sola autorizzazione* che non hanno un’operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in OpenSearch Serverless utilizzano il seguente prefisso prima dell'azione:
```
aoss
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
Puoi specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "aoss:List*"
```
Per visualizzare esempi di politiche basate sull'identità OpenSearch Serverless, vedere. [Esempi di policy basate sull'identità per Serverless OpenSearch](#security_iam_id-based-policy-examples)
## Risorse politiche per Serverless OpenSearch
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
## Chiavi delle condizioni delle policy per Amazon OpenSearch Serverless
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Oltre al controllo degli accessi basato sugli attributi (ABAC), OpenSearch Serverless supporta le seguenti chiavi di condizione:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
È possibile utilizzare le chiavi di condizione anche quando si forniscono le autorizzazioni per le policy di accesso e le policy di sicurezza. Esempio:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
In questo esempio, la condizione si applica alle policy che contengono *regole* che corrispondono al nome o al modello di una raccolta. Le condizioni hanno il seguente comportamento:
+ `StringEquals` - Si applica alle policy con regole che contengono la stringa di risorsa *esatta* "log" (ad esempio, `collection/log`).
+ `StringLike` - Si applica alle policy con regole che contengono una stringa di risorsa che *include* "log" (ad esempio, `collection/log` ma anche `collection/logs-application` o `collection/applogs123`).
**Nota**
Le chiavi di condizione *raccolta* non si applicano a livello di indice. Ad esempio, nella policy precedente, la condizione non si applicherebbe ad una policy di accesso o di sicurezza contenente la stringa di risorsa `index/logs-application/*`.
Per visualizzare un elenco di chiavi di condizione OpenSearch Serverless, consulta [Condition keys for Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions).
## ABAC con Serverless OpenSearch
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura delle risorse OpenSearch Serverless, consulta. [Etichettatura delle raccolte Amazon OpenSearch Serverless](tag-collection.md)
## Utilizzo di credenziali temporanee con Serverless OpenSearch
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per Serverless OpenSearch
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione e la gestione di ruoli OpenSearch Serverless collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per creare raccolte Serverless OpenSearch](serverless-service-linked-roles.md)
## Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai più tipi di policy comuni.
+ **Politiche di controllo del servizio (SCPs)**: SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più AWS account di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni AWS utente root dell'account. Per ulteriori informazioni su Organizations and SCPs, consulta [le politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida AWS Organizations per l'utente*.
+ **Politiche di controllo delle risorse (RCPs)**: RCPs sono politiche JSON che puoi utilizzare per impostare le autorizzazioni massime disponibili per le risorse nei tuoi account senza aggiornare le politiche IAM allegate a ciascuna risorsa di tua proprietà. L'RCP limita le autorizzazioni per le risorse negli account dei membri e può influire sulle autorizzazioni effettive per le identità, incluso l'utente root dell' AWS account, indipendentemente dal fatto che appartengano all'organizzazione. Per ulteriori informazioni su Organizations e RCPs, incluso un elenco di AWS servizi che supportano RCPs, vedere [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
## Esempi di policy basate sull'identità per Serverless OpenSearch
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Serverless. OpenSearch Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon OpenSearch Serverless, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html) nel *Service Authorization* Reference.
**Topics**
+ [Best practice per le policy](#security_iam_serverless-policy-best-practices)
+ [Utilizzo di OpenSearch Serverless nella console](#security_iam_serverless_id-based-policy-examples-console)
+ [Amministrazione delle raccolte Serverless OpenSearch](#security_iam_id-based-policy-examples-collection-admin)
+ [Visualizzazione delle raccolte Serverless OpenSearch](#security_iam_id-based-policy-examples-view-collections)
+ [Utilizzo delle operazioni OpenSearch API](#security_iam_id-based-policy-examples-data-plane)
+ [ABAC per le operazioni OpenSearch API](#security_iam_id-based-policy-examples-data-plane-abac)
### Best practice per le policy
Le policy basate su identità sono molto efficaci. Determinano se qualcuno può creare, accedere o eliminare risorse OpenSearch Serverless nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse OpenSearch Serverless nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
### Utilizzo di OpenSearch Serverless nella console
Per accedere a OpenSearch Serverless all'interno della console OpenSearch di servizio, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse OpenSearch Serverless presenti nel tuo account. AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (come i ruoli IAM) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
La seguente politica consente a un utente di accedere a OpenSearch Serverless dalla console di OpenSearch servizio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### Amministrazione delle raccolte Serverless OpenSearch
Questa policy è un esempio di policy di «amministrazione della raccolta» che consente a un utente di gestire e amministrare le raccolte Amazon OpenSearch Serverless. L'utente può creare, visualizzare ed eliminare le raccolte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### Visualizzazione delle raccolte Serverless OpenSearch
Questa policy di esempio consente a un utente di visualizzare i dettagli di tutte le raccolte Amazon OpenSearch Serverless nel proprio account. L'utente non può modificare le raccolte o le policy di sicurezza associate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### Utilizzo delle operazioni OpenSearch API
Le operazioni API del piano dati sono costituite dalle funzioni utilizzate in OpenSearch Serverless per ricavare valore in tempo reale dal servizio. Le operazioni API del piano di controllo sono costituite dalle funzioni utilizzate per configurare l'ambiente.
Per accedere al piano dati APIs e alle OpenSearch dashboard di Amazon OpenSearch Serverless dal browser, devi aggiungere due autorizzazioni IAM per le risorse di raccolta. Queste autorizzazioni sono e. `aoss:APIAccessAll` `aoss:DashboardsAccessAll`
**Nota**
A partire dal 10 maggio 2023, OpenSearch Serverless richiede queste due nuove autorizzazioni IAM per le risorse di raccolta. L'`aoss:APIAccessAll`autorizzazione consente l'accesso al piano dati e l'`aoss:DashboardsAccessAll`autorizzazione consente l'accesso alle OpenSearch dashboard dal browser. La mancata aggiunta delle due nuove autorizzazioni IAM genera un errore 403.
Questa policy di esempio consente a un utente di accedere al piano dati APIs per una raccolta specifica nel proprio account e di accedere alle OpenSearch dashboard per tutte le raccolte nel proprio account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
Entrambi `aoss:APIAccessAll` `aoss:DashboardsAccessAll` concedi l'autorizzazione IAM completa alle risorse di raccolta, mentre l'autorizzazione Dashboards fornisce anche l'accesso alle OpenSearch dashboard. Ogni autorizzazione funziona in modo indipendente, quindi una negazione esplicita `aoss:APIAccessAll` non blocca `aoss:DashboardsAccessAll` l'accesso alle risorse, inclusi Dev Tools. Lo stesso vale per una negazione dell'accesso. `aoss:DashboardsAccessAll` OpenSearch Serverless supporta le seguenti chiavi di condizione globali:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
Di seguito è riportato un esempio di utilizzo `aws:SourceIp` del blocco condition nella politica IAM del principale per le chiamate sul piano dati:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
Di seguito è riportato un esempio di utilizzo `aws:SourceVpc` del blocco condition nella politica IAM del principale per le chiamate sul piano dati:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
Inoltre, viene offerto supporto per le seguenti chiavi specifiche OpenSearch Serverless:
+ `aoss:CollectionId`
+ `aoss:collection`
Di seguito è riportato un esempio di utilizzo del blocco condition `aoss:collection` nella politica IAM del principale per le chiamate sul piano dati:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### ABAC per le operazioni OpenSearch API
Le policy basate sull'identità consentono di utilizzare i tag per controllare l'accesso al piano dati Amazon OpenSearch Serverless. APIs La seguente politica è un esempio per consentire ai principali collegati di accedere al piano dati APIs se la raccolta ha il tag: `team:devops`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
La seguente politica è un esempio per negare ai principali collegati l'accesso al piano dati APIs e alle dashboard se la raccolta ha il tag: `environment:production`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless non supporta chiavi `RequestTag` di condizione `TagKeys` globali per il piano APIs dati.
# Supporto IAM Identity Center per Amazon OpenSearch Serverless
## Supporto IAM Identity Center per Amazon OpenSearch Serverless
Puoi utilizzare i principali (utenti e gruppi) di IAM Identity Center per accedere ai dati Amazon OpenSearch Serverless tramite Amazon OpenSearch Applications. Per abilitare il supporto di IAM Identity Center per Amazon OpenSearch Serverless, dovrai abilitare l'uso di IAM Identity Center. Per ulteriori informazioni su come eseguire questa operazione, consulta [Cos'è IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?
**Nota**
Per accedere alle raccolte Amazon OpenSearch Serverless utilizzando utenti o gruppi IAM Identity Center, devi utilizzare la funzionalità OpenSearch UI (Applications). L'accesso diretto ai dashboard OpenSearch Serverless utilizzando le credenziali IAM Identity Center non è supportato. Per ulteriori informazioni, consulta [Guida introduttiva all' OpenSearch interfaccia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html) utente.
Dopo aver creato l'istanza IAM Identity Center, l'amministratore dell'account del cliente deve creare un'applicazione IAM Identity Center per il servizio Amazon OpenSearch Serverless. Questo può essere fatto chiamando [CreateSecurityConfig:](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html). L'amministratore dell'account cliente può specificare quali attributi verranno utilizzati per autorizzare la richiesta. Gli attributi predefiniti utilizzati sono e `UserId` `GroupId.`
L'integrazione di IAM Identity Center per Amazon OpenSearch Serverless utilizza le seguenti autorizzazioni AWS IAM Identity Center (IAM):
+ `aoss:CreateSecurityConfig`— Creare un provider IAM Identity Center
+ `aoss:ListSecurityConfig`— Elenca tutti i provider IAM Identity Center presenti nell'account corrente.
+ `aoss:GetSecurityConfig`— Visualizza le informazioni sui provider di IAM Identity Center.
+ `aoss:UpdateSecurityConfig`— Modifica una determinata configurazione di IAM Identity Center
+ `aoss:DeleteSecurityConfig`— Eliminare un provider IAM Identity Center.
La seguente policy di accesso basata sull'identità può essere utilizzata per gestire tutte le configurazioni di IAM Identity Center:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**Nota**
L'`Resource`elemento deve essere un jolly.
## Creazione di un provider IAM Identity Center (console)
Puoi creare un provider IAM Identity Center per abilitare l'autenticazione con OpenSearch l'applicazione. Per abilitare l'autenticazione IAM Identity Center for OpenSearch Dashboards, procedi nel seguente modo:
1. Accedi alla [console di Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home.).
1. Nel pannello di navigazione a sinistra, espandi **Serverless** e scegli **Autenticazione**.
1. Scegli l'**autenticazione IAM Identity Center**.
1. Seleziona **Modifica**
1. Seleziona la casella accanto a Autentica con IAM Identity Center.
1. Seleziona la chiave degli attributi **utente e gruppo** dal menu a discesa. Gli attributi utente verranno utilizzati per autorizzare gli utenti in base a `UserName``UserId`, e. `Email` Gli attributi di gruppo verranno utilizzati per autenticare gli utenti in base `GroupName` a e. `GroupId`
1. Seleziona l'istanza **IAM Identity Center**.
1. Seleziona **Salva**
## Creazione del provider IAM Identity Center (AWS CLI)
Per creare un provider IAM Identity Center utilizzando AWS Command Line Interface (AWS CLI), utilizza il seguente comando:
```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
"instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
"userAttribute": "UserName",
"groupAttribute": "GroupId"
}'
```
Dopo aver abilitato un IAM Identity Center, i clienti possono solo modificare gli attributi di **utenti e gruppi**.
```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id \
--config-version \
--iam-identity-center-options-updates '{
"userAttribute": "UserId",
"groupAttribute": "GroupId"
}'
```
Per visualizzare il provider IAM Identity Center utilizzando il AWS Command Line Interface, utilizza il seguente comando:
```
aws opensearchserverless list-security-configs --type iamidentitycenter
```
## Eliminazione di un provider IAM Identity Center
IAM Identity Center offre due istanze di provider, una per l'account dell'organizzazione e una per l'account membro. Se è necessario modificare l'istanza IAM Identity Center, è necessario eliminare la configurazione di sicurezza tramite l'`DeleteSecurityConfig`API e creare una nuova configurazione di sicurezza utilizzando la nuova istanza IAM Identity Center. Il seguente comando può essere utilizzato per eliminare un provider IAM Identity Center:
```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id
```
## Concessione dell'accesso a IAM Identity Center ai dati di raccolta
Dopo aver abilitato il provider IAM Identity Center, puoi aggiornare la politica di accesso ai dati di raccolta per includere i principali di IAM Identity Center. I principali di IAM Identity Center devono essere aggiornati nel seguente formato:
```
[
{
"Rules":[
...
],
"Principal":[
"iamidentitycenter//user/",
"iamidentitycenter//group/"
]
}
]
```
**Nota**
Amazon OpenSearch Serverless supporta solo un'istanza IAM Identity Center per tutte le raccolte di clienti e può supportare fino a 100 gruppi per un singolo utente. Se tenti di utilizzare un numero di istanze superiore a quello consentito, potresti riscontrare un'incoerenza nell'elaborazione delle autorizzazioni relative alla politica di accesso ai dati e riceverai un `403` messaggio di errore.
Puoi concedere l'accesso a raccolte, a indici o a entrambi. Se desideri che utenti diversi abbiano autorizzazioni diverse, dovrai creare più regole. Per un elenco delle autorizzazioni disponibili, consulta [Identity and Access Management in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Per informazioni su come formattare una politica di accesso, consulta [Concedere alle identità SAML l'accesso ai](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies) dati di raccolta.