Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Panoramica della sicurezza in Amazon OpenSearch Serverless
La sicurezza in Amazon OpenSearch Serverless si differenzia fondamentalmente dalla sicurezza in Amazon OpenSearch Service nei seguenti modi:
| Funzionalità | OpenSearch Servizio | OpenSearch Senza server |
| --- | --- | --- |
| Controllo dell'accesso ai dati | L'accesso ai dati è determinato dalle policy IAM e dal controllo granulare degli accessi. | L'accesso ai dati è determinato dalle policy di accesso ai dati. |
| Crittografia dei dati inattivi | La crittografia dei dati inattivi è facoltativa per i domini. | La crittografia dei dati inattivi è obbligatoria per le raccolte. |
| Configurazione e amministrazione della sicurezza | È necessario configurare la rete, la crittografia e l'accesso ai dati singolarmente per ogni dominio. | Puoi utilizzare le policy di sicurezza per gestire le impostazioni di sicurezza per più raccolte su larga scala. |
Il diagramma seguente illustra i componenti di sicurezza che costituiscono una raccolta funzionale. Una raccolta deve avere una chiave di crittografia assegnata, impostazioni di accesso alla rete e una policy di accesso ai dati corrispondente che garantisca l'autorizzazione alle relative risorse.
![\[Diagram showing encryption, network, data access, and authentication policies for a collection.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-security.png)
**Topics**
+ [
## Policy di crittografia
](#serverless-security-encryption)
+ [
## Policy di rete
](#serverless-security-network)
+ [
## Policy di accesso ai dati
](#serverless-security-data-access)
+ [
## Autenticazione IAM e SAML
](#serverless-security-authentication)
+ [
## Sicurezza dell’infrastruttura
](#serverless-infrastructure-security)
+ [
# Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless
](serverless-tutorials.md)
+ [
# Identity and Access Management per Amazon OpenSearch Serverless
](security-iam-serverless.md)
+ [
# Crittografia in Amazon OpenSearch Serverless
](serverless-encryption.md)
+ [
# Accesso alla rete per Amazon OpenSearch Serverless
](serverless-network.md)
+ [
# Conformità FIPS in Amazon Serverless OpenSearch
](fips-compliance-opensearch-serverless.md)
+ [
# Controllo dell'accesso ai dati per Amazon OpenSearch Serverless
](serverless-data-access.md)
+ [
# Accesso al piano dati tramite AWS PrivateLink
](serverless-vpc.md)
+ [
# Controlla l'accesso al piano tramite AWS PrivateLink
](serverless-vpc-cp.md)
+ [
# Autenticazione SAML per Amazon Serverless OpenSearch
](serverless-saml.md)
+ [
# Convalida della conformità per Amazon Serverless OpenSearch
](serverless-compliance-validation.md)
## Policy di crittografia
Le [politiche di crittografia](serverless-encryption.md) definiscono se le raccolte sono crittografate con una chiave Chiave di proprietà di AWS o con una chiave gestita dal cliente. Le policy di crittografia sono costituite da due componenti: un **modello di risorse** e una **chiave di crittografia**. Il modello di risorse definisce a quale raccolta o raccolte si applica la policy. La chiave di crittografia determina il modo in cui verranno protette le raccolte associate.
Per applicare una policy a più raccolte, includi un carattere jolly (\$1) nella regola della policy. Ad esempio, la seguente policy si applica a tutte le raccolte i cui nomi iniziano con "log".
![\[Input field for specifying a prefix term or collection name, with "logs*" entered.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-security-encryption.png)
Le policy di crittografia semplificano il processo di creazione e gestione delle raccolte, soprattutto quando lo si fa a livello di programmazione. È possibile creare una raccolta specificando un nome e una chiave di crittografia viene assegnata automaticamente alla raccolta al momento della creazione.
## Policy di rete
I [criteri di rete](serverless-network.md) definiscono se le raccolte sono accessibili privatamente o tramite Internet da reti pubbliche. *È possibile accedere alle raccolte private tramite endpoint OpenSearch VPC gestiti senza server o tramite dispositivi specifici Servizi AWS come Amazon Bedrock che utilizzano l'accesso privato.Servizio AWS * Proprio come le policy di crittografia, le policy di rete possono essere applicate a più raccolte e questo consente di gestire l'accesso alla rete per molte raccolte su larga scala.
Le policy di rete sono costituite da due componenti: un **tipo di accesso** e un **tipo di risorsa**. Il tipo di accesso può essere pubblico o privato. Il tipo di risorsa determina se l'accesso scelto si applica all'endpoint di raccolta, all'endpoint OpenSearch Dashboards o a entrambi.
![\[Access type and resource type options for configuring network policies in OpenSearch.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-security-network.png)
Se prevedi di configurare l'accesso VPC all'interno di una policy di rete, devi prima creare uno o più endpoint VPC gestiti [OpenSearch senza server](serverless-vpc.md). Questi endpoint ti consentono di accedere a OpenSearch Serverless come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect
L'accesso privato a Servizi AWS può essere applicato solo all'endpoint della raccolta, non all' OpenSearchendpoint Dashboards. OpenSearch Servizi AWS non può essere concesso l'accesso alle dashboard. OpenSearch
## Policy di accesso ai dati
[Le policy di accesso ai dati](serverless-data-access.md) definiscono il modo in cui gli utenti accedono ai dati all'interno delle raccolte. Le policy di accesso ai dati consentono di gestire le raccolte su larga scala assegnando automaticamente autorizzazioni di accesso a raccolte e indici che corrispondono a uno schema specifico. È possibile applicare più policy a una singola risorsa.
Le policy di accesso ai dati sono costituite da un insieme di regole, ciascuna con tre componenti: un **tipo di risorsa**, le **risorse concesse** e un elenco delle **autorizzazioni**. Il tipo di risorsa può essere una raccolta o un indice. Le risorse concesse possono essere collection/index nomi o pattern con un carattere jolly (\$1). L'elenco delle autorizzazioni specifica a quali [operazioni OpenSearch API](serverless-genref.md#serverless-operations) la policy concede l'accesso. Inoltre, la policy contiene un elenco di **principali**, che specificano i ruoli IAM, gli utenti e le identità SAML a cui concedere l'accesso.
![\[Selected principals and granted resources with permissions for collection and index access.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-data-access.png)
Per ulteriori informazioni sul formato di una policy di accesso ai dati, consulta la [sintassi della policy](serverless-data-access.md#serverless-data-access-syntax).
Prima di creare una policy di accesso ai dati, è necessario disporre di uno o più utenti o ruoli IAM, o identità SAML, a cui fornire l'accesso nella policy. Per ulteriori informazioni, consulta la prossima sezione.
**Nota**
Il passaggio dall'accesso pubblico a quello privato per la raccolta rimuoverà la scheda Indici nella console Serverless Collection. OpenSearch
## Autenticazione IAM e SAML
I principali IAM e le identità SAML sono uno degli elementi costitutivi di una policy di accesso ai dati. All'interno dell'istruzione `principal` di una policy di accesso, è possibile includere ruoli IAM, utenti e identità SAML. A questi principali vengono quindi concesse le autorizzazioni specificate nelle regole delle policy associate.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/marketing/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie"
]
}
]
```
L'autenticazione SAML viene configurata direttamente all'interno di Serverless. OpenSearch Per ulteriori informazioni, consulta [Autenticazione SAML per Amazon Serverless OpenSearch](serverless-saml.md).
## Sicurezza dell’infrastruttura
Amazon OpenSearch Serverless è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon OpenSearch Serverless attraverso la rete. I client devono supportare Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3. Per un elenco dei codici supportati per TLS 1.3, consulta i [protocolli e le cifrari TLS nella documentazione di Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html#tls-protocols-ciphers).
Inoltre, è necessario firmare le richieste utilizzando un ID di chiave di accesso e una chiave di accesso segreta associata a un'entità IAM. In alternativa, è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.
# Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless
I seguenti tutorial ti aiutano a iniziare a usare Amazon OpenSearch Serverless. Entrambi i tutorial completano le stesse fasi di base, ma uno utilizza la console mentre l'altro utilizza la AWS CLI.
Tieni presente che i casi d'uso in questi tutorial sono semplificati. Le policy di rete e di sicurezza sono relativamente aperte. Nei carichi di lavoro di produzione, si consiglia di configurare funzionalità di sicurezza più affidabili come l'autenticazione SAML, l'accesso al VPC e le policy restrittive di accesso ai dati.
**Topics**
+ [
# Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (console)
](gsg-serverless.md)
+ [
# Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (CLI)
](gsg-serverless-cli.md)
# Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (console)
Questo tutorial illustra i passaggi di base per creare e gestire le policy di sicurezza utilizzando la console Amazon OpenSearch Serverless.
In questo tutorial completerai le seguenti fasi:
1. [Configurazione delle autorizzazioni](#gsgpermissions)
1. [Creazione di una policy di crittografia](#gsg-encryption)
1. [Creazione di una policy di rete](#gsg-network)
1. [Configurazione di una policy di accesso ai dati](#gsg-data-access)
1. [Creazione di una raccolta](#gsgcreate-collection)
1. [Caricamento e ricerca dei dati](#gsgindex-collection)
Questo tutorial illustra come configurare una raccolta utilizzando. Console di gestione AWS Per gli stessi passaggi utilizzando il AWS CLI, vedere[Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (CLI)](gsg-serverless-cli.md).
## Fase 1: configurazione delle autorizzazioni
**Nota**
Puoi saltare questa fase se stai già utilizzando una policy più ampia basata sull'identità, ad esempio `Action":"aoss:*"` o `Action":"*"`. Negli ambienti di produzione, tuttavia, si consiglia di seguire il principio del privilegio minimo e di assegnare solo le autorizzazioni minime necessarie per completare un'attività.
Per completare questo tutorial è necessario disporre delle autorizzazioni IAM corrette. L'utente o il ruolo devono avere una [policy basata sull'identità](security-iam-serverless.md#security-iam-serverless-id-based-policies) allegata con le seguenti autorizzazioni minime:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:CreateCollection",
"aoss:CreateSecurityPolicy",
"aoss:GetSecurityPolicy",
"aoss:ListSecurityPolicies",
"aoss:CreateAccessPolicy",
"aoss:GetAccessPolicy",
"aoss:ListAccessPolicies"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Per un elenco completo delle autorizzazioni OpenSearch Serverless, consulta. [Identity and Access Management per Amazon OpenSearch Serverless](security-iam-serverless.md)
## Fase 2: creazione di una policy di crittografia
Le [politiche di crittografia](serverless-encryption.md) specificano la AWS KMS chiave che OpenSearch Serverless utilizzerà per crittografare la raccolta. È possibile crittografare le raccolte con una Chiave gestita da AWS o un'altra chiave. Per semplicità, in questo tutorial crittograferemo la nostra raccolta con una Chiave gestita da AWS.
**Creazione di una policy di crittografia**
1. Apri la console Amazon OpenSearch Service a [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Espandi **Serverless** nel pannello di navigazione a sinistra e scegli **Encryption policies** (Policy di crittografia).
1. Scegli **Create encryption policy** (Crea policy di crittografia).
1. Nomina la policy **books-policy**. Nella descrizione, inserisci **Crittografia per una raccolta di libri**.
1. In **Resources** (Risorse), inserisci **books** (libri), che è il nome che darai alla tua raccolta. Se si desidera essere più generici, è possibile includere un asterisco (`books*`) per applicare la policy a tutte le raccolte che iniziano con la parola "books".
1. Per la **crittografia**, mantieni selezionata l'opzione **Usa chiave AWS di proprietà**.
1. Scegli **Create** (Crea).
## Fase 3: Creare una politica di rete
[Le politiche di rete](serverless-network.md) determinano se la raccolta è accessibile su Internet dalle reti pubbliche o se è necessario accedervi tramite endpoint VPC OpenSearch gestiti senza server. In questo tutorial, configureremo l'accesso pubblico.
**Creazione di una policy di rete**
1. Nel pannello di navigazione a sinistra, scegli **Network policies** (Policy di rete) e **Create network policy** (Crea policy di rete).
1. Nomina la policy **books-policy**. Nella descrizione, inserisci **Policy di rete per una raccolta di libri**.
1. Nella **Regola 1**, nomina la regola **Accesso pubblico per una raccolta di libri**.
1. Per semplicità, in questo tutorial configureremo l'accesso pubblico alla raccolta *books*. Per il tipo di accesso, seleziona **Public** (Pubblico).
1. Accederemo alla raccolta da Dashboards. OpenSearch Per fare ciò, devi configurare l'accesso alla rete per le dashboard *e* l' OpenSearch endpoint, altrimenti le dashboard non funzioneranno.
**Per il tipo di risorsa, abilita sia **Access to OpenSearch endpoint che Access to Dashboards**. OpenSearch**
1. In entrambe le caselle di input, inserisci **Collection Name = books** (Nome raccolta = libri). Questa impostazione riduce l'ambito della policy in modo che si applichi solo a una singola raccolta (`books`). La tua regola dovrebbe assomigliare a questa:
![\[Search interface showing two input fields for collection or prefix term selection, both set to "books".\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-tutorial-network.png)
1. Scegli **Create** (Crea).
## Passaggio 4: Creare una politica di accesso ai dati
I dati della raccolta non saranno accessibili finché non configuri l'accesso ai dati. Le [policy di accesso ai dati](serverless-data-access.md) sono separate dalla policy basata sull'identità IAM configurata nella fase 1. Consentono agli utenti di accedere ai dati effettivi all'interno di una raccolta.
In questo tutorial, forniremo a un singolo utente le autorizzazioni necessarie per indicizzare i dati nella raccolta denominata *books*.
**Creazione di una policy di accesso ai dati**
1. Nel pannello di navigazione a sinistra, scegli **Data access policies** (Policy di accesso ai dati) e **Create access policy** (Crea policy di accesso).
1. Nomina la policy **books-policy**. Nella descrizione, inserisci **policy di accesso ai dati per la raccolta di libri**.
1. Per il metodo di definizione della policy seleziona **JSON** e incolla la seguente policy nell'editor JSON.
Sostituisci l'ARN principale con l'ARN dell'account che utilizzerai per accedere alle OpenSearch dashboard e ai dati degli indici.
```
[
{
"Rules":[
{
"ResourceType":"index",
"Resource":[
"index/books/*"
],
"Permission":[
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateIndex",
"aoss:DeleteIndex"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/my-user"
]
}
]
```
Questa policy fornisce a un singolo utente le autorizzazioni minime necessarie per creare un indice nella raccolta *books*, indicizzare alcuni dati e cercarli.
1. Scegli **Create** (Crea).
## Passaggio 5: Crea una raccolta
Ora che hai configurato la crittografia e le policy di rete, puoi creare una raccolta corrispondente e le impostazioni di sicurezza verranno applicate automaticamente ad essa.
**Per creare una raccolta OpenSearch Serverless**
1. Scegli **Collections** (Raccolte) nel pannello di navigazione a sinistra e scegli **Create collection** (Crea raccolta).
1. Nomina la raccolta **books**.
1. Per il tipo di raccolta, scegli **Search** (Cerca).
1. In **Encryption**, OpenSearch Serverless informa che il nome della raccolta corrisponde alla `books-policy` politica di crittografia.
1. In **Impostazioni di accesso alla rete**, OpenSearch Serverless informa che il nome della raccolta corrisponde alla politica di rete. `books-policy`
1. Scegli **Next (Successivo)**.
1. In **Opzioni della politica di accesso ai dati**, OpenSearch Serverless ti informa che il nome della raccolta corrisponde alla politica di accesso ai `books-policy` dati.
1. Scegli **Next (Successivo)**.
1. Rivedi la configurazione della raccolta e scegli **Submit** (Invia). Generalmente, l'inizializzazione delle raccolte richiede meno di un minuto.
## Fase 6: caricamento e ricerca dei dati
Puoi caricare dati in una raccolta OpenSearch Serverless utilizzando Postman o curl. Per brevità, questi esempi utilizzano **Dev Tools** all'interno della console Dashboards. OpenSearch
**Indicizzazione e ricerca di dati in una raccolta**
1. Scegli **Collections** (Raccolte) nel pannello di navigazione a sinistra e scegli la raccolta **books** per aprirne la pagina dei dettagli.
1. Scegli l'URL delle OpenSearch dashboard per la raccolta. L'URL assume il formato `https://collection-id.us-east-1.aoss.amazonaws.com/_dashboards`.
1. Accedi alle OpenSearch dashboard utilizzando le [chiavi di AWS accesso e segrete](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-appendix-sign-up.html) per il principale che hai specificato nella politica di accesso ai dati.
1. All'interno di OpenSearch Dashboards, apri il menu di navigazione a sinistra e scegli **Dev** Tools.
1. Per creare un singolo indice chiamato *books-index*, esegui il seguente comando:
```
PUT books-index
```
![\[OpenSearch Dashboards console showing PUT request for books-index with JSON response.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-createindex.png)
1. Per indicizzare un singolo documento in *books-index*, esegui il seguente comando:
```
PUT books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
1. Per cercare dati nelle OpenSearch dashboard, devi configurare almeno un modello di indice. OpenSearch utilizza questi modelli per identificare gli indici da analizzare. Apri il menu principale di Dashboards, scegliere **Gestione stack**, scegliere **Modelli di indice**, quindi scegliere **Crea modello di indice**. Per questo tutorial, inserisci *books-index*.
1. Scegliere **Fase successiva** quindi selezionare **Crea modello di indice**. Dopo aver creato il modello, è possibile visualizzare i vari campi del documento, ad esempio `author` e `title`.
1. Per iniziare a cercare i dati, apri di nuovo il menu principale e scegli **Discover** (Rileva) o utilizza l'[API di ricerca](https://opensearch.org/docs/latest/opensearch/rest-api/search/).
# Tutorial: Guida introduttiva alla sicurezza in Amazon OpenSearch Serverless (CLI)
Questo tutorial illustra i passaggi descritti nel [tutorial introduttivo per la sicurezza della console](gsg-serverless.md), ma utilizza la console AWS CLI anziché la console di OpenSearch servizio.
In questo tutorial completerai le seguenti fasi:
1. Crea una politica di autorizzazioni IAM
1. Associa la policy IAM a un ruolo IAM
1. Creare una policy di crittografia
1. Creazione di una policy di rete
1. Creare una raccolta
1. Configurazione di una policy di accesso ai dati
1. Recupera l'endpoint di raccolta
1. Carica i dati sulla tua connessione
1. Cerca i dati nella tua raccolta
L'obiettivo di questo tutorial è configurare un'unica raccolta OpenSearch Serverless con impostazioni di crittografia, rete e accesso ai dati abbastanza semplici. Ad esempio, configureremo l'accesso alla rete pubblica, una Chiave gestita da AWS per la crittografia e una politica di accesso ai dati semplificata che conceda autorizzazioni minime a un singolo utente.
In uno scenario di produzione, ti consigliamo di implementare una configurazione più affidabile, che includa l'autenticazione SAML, una chiave di crittografia personalizzata e l'accesso al VPC.
**Per iniziare con le politiche di sicurezza in Serverless OpenSearch**
1.
**Nota**
Puoi saltare questa fase se stai già utilizzando una policy più ampia basata sull'identità, ad esempio `Action":"aoss:*"` o `Action":"*"`. Negli ambienti di produzione, tuttavia, si consiglia di seguire il principio del privilegio minimo e di assegnare solo le autorizzazioni minime necessarie per completare un'attività.
Per iniziare, crea una AWS Identity and Access Management politica con le autorizzazioni minime richieste per eseguire i passaggi di questo tutorial. Denomineremo la policy `TutorialPolicy`:
```
aws iam create-policy \
--policy-name TutorialPolicy \
--policy-document "{\"Version\": \"2012-10-17\",\"Statement\": [{\"Action\": [\"aoss:ListCollections\",\"aoss:BatchGetCollection\",\"aoss:CreateCollection\",\"aoss:CreateSecurityPolicy\",\"aoss:GetSecurityPolicy\",\"aoss:ListSecurityPolicies\",\"aoss:CreateAccessPolicy\",\"aoss:GetAccessPolicy\",\"aoss:ListAccessPolicies\"],\"Effect\": \"Allow\",\"Resource\": \"*\"}]}"
```
**Risposta di esempio**
```
{
"Policy": {
"PolicyName": "TutorialPolicy",
"PolicyId": "ANPAW6WRAECKG6QJWUV7U",
"Arn": "arn:aws:iam::123456789012:policy/TutorialPolicy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-10-16T20:57:18+00:00",
"UpdateDate": "2022-10-16T20:57:18+00:00"
}
}
```
1. Allega la `TutorialPolicy` al ruolo IAM che indicizzerà e cercherà i dati nella raccolta. Denomineremo l'utente `TutorialRole`:
```
aws iam attach-role-policy \
--role-name TutorialRole \
--policy-arn arn:aws:iam::123456789012:policy/TutorialPolicy
```
1. Prima di creare una raccolta, è necessario creare una [policy di crittografia](serverless-encryption.md) che assegni una Chiave di proprietà di AWS alla raccolta *books* che creerai in una fase successiva.
Invia la seguente richiesta per creare una policy di crittografia per la raccolta *books*:
```
aws opensearchserverless create-security-policy \
--name books-policy \
--type encryption --policy "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AWSOwnedKey\":true}"
```
**Risposta di esempio**
```
{
"securityPolicyDetail": {
"type": "encryption",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDAwNTk5MF8x",
"policy": {
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AWSOwnedKey": true
},
"createdDate": 1669240005990,
"lastModifiedDate": 1669240005990
}
}
```
1. Crea una [policy di rete](serverless-network.md) che fornisca l'accesso pubblico alla raccolta *books*:
```
aws opensearchserverless create-security-policy --name books-policy --type network \
--policy "[{\"Description\":\"Public access for books collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/books\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/books\"]}],\"AllowFromPublic\":true}]"
```
**Risposta di esempio**
```
{
"securityPolicyDetail": {
"type": "network",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDI1Njk1NV8x",
"policy": [
{
"Rules": [
{
"Resource": [
"collection/books"
],
"ResourceType": "dashboard"
},
{
"Resource": [
"collection/books"
],
"ResourceType": "collection"
}
],
"AllowFromPublic": true,
"Description": "Public access for books collection"
}
],
"createdDate": 1669240256955,
"lastModifiedDate": 1669240256955
}
}
```
1. Crea la raccolta *books*:
```
aws opensearchserverless create-collection --name books --type SEARCH
```
**Risposta di esempio**
```
{
"createCollectionDetail": {
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "CREATING",
"type": "SEARCH",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"kmsKeyArn": "auto",
"createdDate": 1669240325037,
"lastModifiedDate": 1669240325037
}
}
```
1. Crea una [policy di accesso ai dati](serverless-data-access.md) che fornisca le autorizzazioni minime per indicizzare e cercare i dati nella raccolta *books*. Sostituisci l'ARN principale con l'ARN del `TutorialRole` dalla fase 1:
```
aws opensearchserverless create-access-policy \
--name books-policy \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"index\",\"Resource\":[\"index\/books\/books-index\"],\"Permission\":[\"aoss:CreateIndex\",\"aoss:DescribeIndex\",\"aoss:ReadDocument\",\"aoss:WriteDocument\",\"aoss:UpdateIndex\",\"aoss:DeleteIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:role\/TutorialRole\"]}]"
```
**Risposta di esempio**
```
{
"accessPolicyDetail": {
"type": "data",
"name": "books-policy",
"policyVersion": "MTY2OTI0MDM5NDY1M18x",
"policy": [
{
"Rules": [
{
"Resource": [
"index/books/books-index"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument",
"aoss:WriteDocument",
"aoss:UpdateDocument",
"aoss:DeleteDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam::123456789012:role/TutorialRole"
]
}
],
"createdDate": 1669240394653,
"lastModifiedDate": 1669240394653
}
}
```
Ora `TutorialRole` dovrebbe essere in grado di indicizzare e cercare documenti nella raccolta *books*.
1. Per effettuare chiamate all' OpenSearch API, è necessario l'endpoint di raccolta. Invia la seguente richiesta per recuperare il parametro `collectionEndpoint`:
```
aws opensearchserverless batch-get-collection --names books
```
**Risposta di esempio**
```
{
"collectionDetails": [
{
"id": "8kw362bpwg4gx9b2f6e0",
"name": "books",
"status": "ACTIVE",
"type": "SEARCH",
"description": "",
"arn": "arn:aws:aoss:us-east-1:123456789012:collection/8kw362bpwg4gx9b2f6e0",
"createdDate": 1665765327107,
"collectionEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com",
"dashboardEndpoint": "https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/_dashboards"
}
],
"collectionErrorDetails": []
}
```
**Nota**
Non sarà possibile visualizzare l'endpoint della nuova raccolta fino a quando lo stato della nuova raccolta non sarà `ACTIVE`. Potrebbe essere necessario effettuare più chiamate per verificare lo stato fino a quando la raccolta non viene creata correttamente.
1. Usa uno strumento HTTP come [Postman](https://www.getpostman.com/) o curl per indicizzare i dati nella raccolta *books*. Creeremo un indice denominato *books-index* e aggiungeremo un singolo documento.
Invia la richiesta seguente all'endpoint di raccolta recuperato nella fase precedente, utilizzando le credenziali del `TutorialRole`.
```
PUT https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_doc/1
{
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
```
**Risposta di esempio**
```
{
"_index" : "books-index",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 0,
"successful" : 0,
"failed" : 0
},
"_seq_no" : 0,
"_primary_term" : 0
}
```
1. Per iniziare a cercare i dati nella raccolta, usa l'[API di ricerca](https://opensearch.org/docs/latest/opensearch/rest-api/search/). La seguente query esegue una ricerca di base:
```
GET https://8kw362bpwg4gx9b2f6e0.us-east-1.aoss.amazonaws.com/books-index/_search
```
**Risposta di esempio**
```
{
"took": 405,
"timed_out": false,
"_shards": {
"total": 6,
"successful": 6,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 2,
"relation": "eq"
},
"max_score": 1.0,
"hits": [
{
"_index": "books-index:0::3xJq14MBUaOS0wL26UU9:0",
"_id": "F_bt4oMBLle5pYmm5q4T",
"_score": 1.0,
"_source": {
"title": "The Shining",
"author": "Stephen King",
"year": 1977
}
}
]
}
}
```
# Identity and Access Management per Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse Serverless. OpenSearch IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [
## Policy basate sull'identità per Serverless OpenSearch
](#security-iam-serverless-id-based-policies)
+ [
## Azioni politiche per Serverless OpenSearch
](#security-iam-serverless-id-based-policies-actions)
+ [
## Risorse politiche per Serverless OpenSearch
](#security-iam-serverless-id-based-policies-resources)
+ [
## Chiavi delle condizioni delle policy per Amazon OpenSearch Serverless
](#security_iam_serverless-conditionkeys)
+ [
## ABAC con Serverless OpenSearch
](#security_iam_serverless-with-iam-tags)
+ [
## Utilizzo di credenziali temporanee con Serverless OpenSearch
](#security_iam_serverless-tempcreds)
+ [
## Ruoli collegati ai servizi per Serverless OpenSearch
](#security_iam_serverless-slr)
+ [
## Altri tipi di policy
](#security_iam_access-manage-other-policies)
+ [
## Esempi di policy basate sull'identità per Serverless OpenSearch
](#security_iam_serverless_id-based-policy-examples)
+ [
# Supporto IAM Identity Center per Amazon OpenSearch Serverless
](serverless-iam-identity-center.md)
## Policy basate sull'identità per Serverless OpenSearch
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Serverless OpenSearch
Per visualizzare esempi di policy basate sull'identità OpenSearch serverless, vedere. [Esempi di policy basate sull'identità per Serverless OpenSearch](#security_iam_serverless_id-based-policy-examples)
## Azioni politiche per Serverless OpenSearch
**Supporta le operazioni di policy:** si
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le *operazioni di sola autorizzazione* che non hanno un’operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate *operazioni dipendenti*.
Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in OpenSearch Serverless utilizzano il seguente prefisso prima dell'azione:
```
aoss
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
Puoi specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "aoss:List*"
```
Per visualizzare esempi di politiche basate sull'identità OpenSearch Serverless, vedere. [Esempi di policy basate sull'identità per Serverless OpenSearch](#security_iam_id-based-policy-examples)
## Risorse politiche per Serverless OpenSearch
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
## Chiavi delle condizioni delle policy per Amazon OpenSearch Serverless
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Oltre al controllo degli accessi basato sugli attributi (ABAC), OpenSearch Serverless supporta le seguenti chiavi di condizione:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
È possibile utilizzare le chiavi di condizione anche quando si forniscono le autorizzazioni per le policy di accesso e le policy di sicurezza. Esempio:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
In questo esempio, la condizione si applica alle policy che contengono *regole* che corrispondono al nome o al modello di una raccolta. Le condizioni hanno il seguente comportamento:
+ `StringEquals` - Si applica alle policy con regole che contengono la stringa di risorsa *esatta* "log" (ad esempio, `collection/log`).
+ `StringLike` - Si applica alle policy con regole che contengono una stringa di risorsa che *include* "log" (ad esempio, `collection/log` ma anche `collection/logs-application` o `collection/applogs123`).
**Nota**
Le chiavi di condizione *raccolta* non si applicano a livello di indice. Ad esempio, nella policy precedente, la condizione non si applicherebbe ad una policy di accesso o di sicurezza contenente la stringa di risorsa `index/logs-application/*`.
Per visualizzare un elenco di chiavi di condizione OpenSearch Serverless, consulta [Condition keys for Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys) nel *Service Authorization* Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions).
## ABAC con Serverless OpenSearch
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sull'etichettatura delle risorse OpenSearch Serverless, consulta. [Etichettatura delle raccolte Amazon OpenSearch Serverless](tag-collection.md)
## Utilizzo di credenziali temporanee con Serverless OpenSearch
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per Serverless OpenSearch
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione e la gestione di ruoli OpenSearch Serverless collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per creare raccolte Serverless OpenSearch](serverless-service-linked-roles.md)
## Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai più tipi di policy comuni.
+ **Politiche di controllo del servizio (SCPs)**: SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più AWS account di proprietà dell'azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni AWS utente root dell'account. Per ulteriori informazioni su Organizations and SCPs, consulta [le politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida AWS Organizations per l'utente*.
+ **Politiche di controllo delle risorse (RCPs)**: RCPs sono politiche JSON che puoi utilizzare per impostare le autorizzazioni massime disponibili per le risorse nei tuoi account senza aggiornare le politiche IAM allegate a ciascuna risorsa di tua proprietà. L'RCP limita le autorizzazioni per le risorse negli account dei membri e può influire sulle autorizzazioni effettive per le identità, incluso l'utente root dell' AWS account, indipendentemente dal fatto che appartengano all'organizzazione. Per ulteriori informazioni su Organizations e RCPs, incluso un elenco di AWS servizi che supportano RCPs, vedere [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
## Esempi di policy basate sull'identità per Serverless OpenSearch
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Serverless. OpenSearch Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon OpenSearch Serverless, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon OpenSearch Serverless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchserverless.html) nel *Service Authorization* Reference.
**Topics**
+ [
### Best practice per le policy
](#security_iam_serverless-policy-best-practices)
+ [
### Utilizzo di OpenSearch Serverless nella console
](#security_iam_serverless_id-based-policy-examples-console)
+ [
### Amministrazione delle raccolte Serverless OpenSearch
](#security_iam_id-based-policy-examples-collection-admin)
+ [
### Visualizzazione delle raccolte Serverless OpenSearch
](#security_iam_id-based-policy-examples-view-collections)
+ [
### Utilizzo delle operazioni OpenSearch API
](#security_iam_id-based-policy-examples-data-plane)
+ [
### ABAC per le operazioni OpenSearch API
](#security_iam_id-based-policy-examples-data-plane-abac)
### Best practice per le policy
Le policy basate su identità sono molto efficaci. Determinano se qualcuno può creare, accedere o eliminare risorse OpenSearch Serverless nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse OpenSearch Serverless nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
### Utilizzo di OpenSearch Serverless nella console
Per accedere a OpenSearch Serverless all'interno della console OpenSearch di servizio, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse OpenSearch Serverless presenti nel tuo account. AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (come i ruoli IAM) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
La seguente politica consente a un utente di accedere a OpenSearch Serverless dalla console di OpenSearch servizio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### Amministrazione delle raccolte Serverless OpenSearch
Questa policy è un esempio di policy di «amministrazione della raccolta» che consente a un utente di gestire e amministrare le raccolte Amazon OpenSearch Serverless. L'utente può creare, visualizzare ed eliminare le raccolte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### Visualizzazione delle raccolte Serverless OpenSearch
Questa policy di esempio consente a un utente di visualizzare i dettagli di tutte le raccolte Amazon OpenSearch Serverless nel proprio account. L'utente non può modificare le raccolte o le policy di sicurezza associate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### Utilizzo delle operazioni OpenSearch API
Le operazioni API del piano dati sono costituite dalle funzioni utilizzate in OpenSearch Serverless per ricavare valore in tempo reale dal servizio. Le operazioni API del piano di controllo sono costituite dalle funzioni utilizzate per configurare l'ambiente.
Per accedere al piano dati APIs e alle OpenSearch dashboard di Amazon OpenSearch Serverless dal browser, devi aggiungere due autorizzazioni IAM per le risorse di raccolta. Queste autorizzazioni sono e. `aoss:APIAccessAll` `aoss:DashboardsAccessAll`
**Nota**
A partire dal 10 maggio 2023, OpenSearch Serverless richiede queste due nuove autorizzazioni IAM per le risorse di raccolta. L'`aoss:APIAccessAll`autorizzazione consente l'accesso al piano dati e l'`aoss:DashboardsAccessAll`autorizzazione consente l'accesso alle OpenSearch dashboard dal browser. La mancata aggiunta delle due nuove autorizzazioni IAM genera un errore 403.
Questa policy di esempio consente a un utente di accedere al piano dati APIs per una raccolta specifica nel proprio account e di accedere alle OpenSearch dashboard per tutte le raccolte nel proprio account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
Entrambi `aoss:APIAccessAll` `aoss:DashboardsAccessAll` concedi l'autorizzazione IAM completa alle risorse di raccolta, mentre l'autorizzazione Dashboards fornisce anche l'accesso alle OpenSearch dashboard. Ogni autorizzazione funziona in modo indipendente, quindi una negazione esplicita `aoss:APIAccessAll` non blocca `aoss:DashboardsAccessAll` l'accesso alle risorse, inclusi Dev Tools. Lo stesso vale per una negazione dell'accesso. `aoss:DashboardsAccessAll` OpenSearch Serverless supporta le seguenti chiavi di condizione globali:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
Di seguito è riportato un esempio di utilizzo `aws:SourceIp` del blocco condition nella politica IAM del principale per le chiamate sul piano dati:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
Di seguito è riportato un esempio di utilizzo `aws:SourceVpc` del blocco condition nella politica IAM del principale per le chiamate sul piano dati:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
Inoltre, viene offerto supporto per le seguenti chiavi specifiche OpenSearch Serverless:
+ `aoss:CollectionId`
+ `aoss:collection`
Di seguito è riportato un esempio di utilizzo del blocco condition `aoss:collection` nella politica IAM del principale per le chiamate sul piano dati:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### ABAC per le operazioni OpenSearch API
Le policy basate sull'identità consentono di utilizzare i tag per controllare l'accesso al piano dati Amazon OpenSearch Serverless. APIs La seguente politica è un esempio per consentire ai principali collegati di accedere al piano dati APIs se la raccolta ha il tag: `team:devops`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
La seguente politica è un esempio per negare ai principali collegati l'accesso al piano dati APIs e alle dashboard se la raccolta ha il tag: `environment:production`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless non supporta chiavi `RequestTag` di condizione `TagKeys` globali per il piano APIs dati.
# Supporto IAM Identity Center per Amazon OpenSearch Serverless
## Supporto IAM Identity Center per Amazon OpenSearch Serverless
Puoi utilizzare i principali (utenti e gruppi) di IAM Identity Center per accedere ai dati Amazon OpenSearch Serverless tramite Amazon OpenSearch Applications. Per abilitare il supporto di IAM Identity Center per Amazon OpenSearch Serverless, dovrai abilitare l'uso di IAM Identity Center. Per ulteriori informazioni su come eseguire questa operazione, consulta [Cos'è IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?
**Nota**
Per accedere alle raccolte Amazon OpenSearch Serverless utilizzando utenti o gruppi IAM Identity Center, devi utilizzare la funzionalità OpenSearch UI (Applications). L'accesso diretto ai dashboard OpenSearch Serverless utilizzando le credenziali IAM Identity Center non è supportato. Per ulteriori informazioni, consulta [Guida introduttiva all' OpenSearch interfaccia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html) utente.
Dopo aver creato l'istanza IAM Identity Center, l'amministratore dell'account del cliente deve creare un'applicazione IAM Identity Center per il servizio Amazon OpenSearch Serverless. Questo può essere fatto chiamando [CreateSecurityConfig:](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html). L'amministratore dell'account cliente può specificare quali attributi verranno utilizzati per autorizzare la richiesta. Gli attributi predefiniti utilizzati sono e `UserId` `GroupId.`
L'integrazione di IAM Identity Center per Amazon OpenSearch Serverless utilizza le seguenti autorizzazioni AWS IAM Identity Center (IAM):
+ `aoss:CreateSecurityConfig`— Creare un provider IAM Identity Center
+ `aoss:ListSecurityConfig`— Elenca tutti i provider IAM Identity Center presenti nell'account corrente.
+ `aoss:GetSecurityConfig`— Visualizza le informazioni sui provider di IAM Identity Center.
+ `aoss:UpdateSecurityConfig`— Modifica una determinata configurazione di IAM Identity Center
+ `aoss:DeleteSecurityConfig`— Eliminare un provider IAM Identity Center.
La seguente policy di accesso basata sull'identità può essere utilizzata per gestire tutte le configurazioni di IAM Identity Center:
------
#### [ JSON ]
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
**Nota**
L'`Resource`elemento deve essere un jolly.
## Creazione di un provider IAM Identity Center (console)
Puoi creare un provider IAM Identity Center per abilitare l'autenticazione con OpenSearch l'applicazione. Per abilitare l'autenticazione IAM Identity Center for OpenSearch Dashboards, procedi nel seguente modo:
1. Accedi alla [console di Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home.).
1. Nel pannello di navigazione a sinistra, espandi **Serverless** e scegli **Autenticazione**.
1. Scegli l'**autenticazione IAM Identity Center**.
1. Seleziona **Modifica**
1. Seleziona la casella accanto a Autentica con IAM Identity Center.
1. Seleziona la chiave degli attributi **utente e gruppo** dal menu a discesa. Gli attributi utente verranno utilizzati per autorizzare gli utenti in base a `UserName``UserId`, e. `Email` Gli attributi di gruppo verranno utilizzati per autenticare gli utenti in base `GroupName` a e. `GroupId`
1. Seleziona l'istanza **IAM Identity Center**.
1. Seleziona **Salva**
## Creazione del provider IAM Identity Center (AWS CLI)
Per creare un provider IAM Identity Center utilizzando AWS Command Line Interface (AWS CLI), utilizza il seguente comando:
```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
"instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
"userAttribute": "UserName",
"groupAttribute": "GroupId"
}'
```
Dopo aver abilitato un IAM Identity Center, i clienti possono solo modificare gli attributi di **utenti e gruppi**.
```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id \
--config-version \
--iam-identity-center-options-updates '{
"userAttribute": "UserId",
"groupAttribute": "GroupId"
}'
```
Per visualizzare il provider IAM Identity Center utilizzando il AWS Command Line Interface, utilizza il seguente comando:
```
aws opensearchserverless list-security-configs --type iamidentitycenter
```
## Eliminazione di un provider IAM Identity Center
IAM Identity Center offre due istanze di provider, una per l'account dell'organizzazione e una per l'account membro. Se è necessario modificare l'istanza IAM Identity Center, è necessario eliminare la configurazione di sicurezza tramite l'`DeleteSecurityConfig`API e creare una nuova configurazione di sicurezza utilizzando la nuova istanza IAM Identity Center. Il seguente comando può essere utilizzato per eliminare un provider IAM Identity Center:
```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id
```
## Concessione dell'accesso a IAM Identity Center ai dati di raccolta
Dopo aver abilitato il provider IAM Identity Center, puoi aggiornare la politica di accesso ai dati di raccolta per includere i principali di IAM Identity Center. I principali di IAM Identity Center devono essere aggiornati nel seguente formato:
```
[
{
"Rules":[
...
],
"Principal":[
"iamidentitycenter//user/",
"iamidentitycenter//group/"
]
}
]
```
**Nota**
Amazon OpenSearch Serverless supporta solo un'istanza IAM Identity Center per tutte le raccolte di clienti e può supportare fino a 100 gruppi per un singolo utente. Se tenti di utilizzare un numero di istanze superiore a quello consentito, potresti riscontrare un'incoerenza nell'elaborazione delle autorizzazioni relative alla politica di accesso ai dati e riceverai un `403` messaggio di errore.
Puoi concedere l'accesso a raccolte, a indici o a entrambi. Se desideri che utenti diversi abbiano autorizzazioni diverse, dovrai creare più regole. Per un elenco delle autorizzazioni disponibili, consulta [Identity and Access Management in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Per informazioni su come formattare una politica di accesso, consulta [Concedere alle identità SAML l'accesso ai](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies) dati di raccolta.
# Crittografia in Amazon OpenSearch Serverless
## Crittografia dei dati a riposo
Ogni raccolta Amazon OpenSearch Serverless che crei è protetta con la crittografia dei dati inattivi, una funzionalità di sicurezza che aiuta a prevenire l'accesso non autorizzato ai tuoi dati. Encryption at rest utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia. Per eseguire la crittografia, utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).
**Topics**
+ [
### Policy di crittografia
](#serverless-encryption-policies)
+ [
### Considerazioni
](#serverless-encryption-considerations)
+ [
### Autorizzazioni richieste
](#serverless-encryption-permissions)
+ [
### Policy della chiave per una chiave gestita dal cliente
](#serverless-customer-cmk-policy)
+ [
### In OpenSearch che modo Serverless utilizza le sovvenzioni in AWS KMS
](#serverless-encryption-grants)
+ [
### Creazione di policy di crittografia (console)
](#serverless-encryption-console)
+ [
### Creazione di policy di crittografia (AWS CLI)
](#serverless-encryption-cli)
+ [
### Visualizzazione delle policy di crittografia
](#serverless-encryption-list)
+ [
### Aggiornamento di policy di crittografia
](#serverless-encryption-update)
+ [
### Eliminazione delle policy di crittografia
](#serverless-encryption-delete)
### Policy di crittografia
Con le policy di crittografia è possibile gestire molte raccolte su larga scala assegnando automaticamente una chiave di crittografia alle raccolte appena create che corrispondono a un nome o a un modello specifico.
Quando si crea una policy di crittografia, è possibile specificare un *prefisso*, ossia una regola di corrispondenza basata su caratteri jolly come `MyCollection*`, oppure inserire un unico nome di raccolta. Quindi, quando si crea una raccolta che corrisponde a tale modello di prefisso o nome, ad essa vengono assegnate automaticamente la policy e la chiave KMS corrispondenti.
Quando si crea una raccolta, è possibile specificare una AWS KMS chiave in due modi: tramite politiche di sicurezza o direttamente nella `CreateCollection` richiesta. Se fornite una AWS KMS chiave come parte della `CreateCollection` richiesta, questa ha la precedenza su qualsiasi politica di sicurezza corrispondente. Con questo approccio, hai la flessibilità di ignorare le impostazioni di crittografia basate su policy per raccolte specifiche quando necessario.
![\[Encryption policy creation process with rules and collection matching to KMS key.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-encryption.png)
Le policy di crittografia contengono i seguenti elementi:
+ `Rules`: una o più regole di abbinamento delle raccolte, ciascuna con i seguenti sottoelementi:
+ `ResourceType`: attualmente l'unica opzione è "raccolta". Le policy di crittografia si applicano solo alle risorse di raccolta.
+ `Resource`: uno o più nomi o modelli di raccolta a cui si applicherà la policy, nel formato `collection/`.
+ `AWSOwnedKey`: se usare o meno una Chiave di proprietà di AWS.
+ `KmsARN`: se impostati `AWSOwnedKey` su falso, specifica il nome della risorsa Amazon (ARN) della chiave KMS con cui crittografare le raccolte associate. Se si include questo parametro, OpenSearch Serverless lo ignora. `AWSOwnedKey`
La seguente policy di esempio assegnerà una chiave gestita dal cliente a qualsiasi raccolta futura denominata `autopartsinventory`, nonché alle raccolte che iniziano con il termine "vendite":
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Anche se una policy corrisponde al nome di una raccolta, è possibile scegliere di sovrascrivere tale assegnazione automatica durante la creazione della raccolta se il modello di risorsa contiene un carattere jolly (\$1). Se scegli di ignorare l'assegnazione automatica delle chiavi, OpenSearch Serverless crea per te una politica di crittografia denominata **auto-< *collection-name* >** e la allega alla raccolta. La policy inizialmente si applica solo a una singola raccolta, ma è possibile modificarla per includere raccolte aggiuntive.
Se modifichi le regole delle policy in modo che non corrispondano più a una raccolta, la chiave KMS associata non verrà annullata da tale raccolta. La raccolta rimane sempre crittografata con la sua chiave di crittografia iniziale. Se desideri modificare la chiave di crittografia per una raccolta, è necessario creare nuovamente la raccolta.
Se a una raccolta corrispondono le regole di più policy, viene utilizzata la regola più specifica. Ad esempio, se una policy contiene una regola per `collection/log*` e un'altra per `collection/logSpecial`, la chiave di crittografia per la seconda policy viene utilizzata in quanto è più specifica.
Non è possibile utilizzare un nome o un prefisso in una politica se esiste già in un'altra politica. OpenSearch Serverless visualizza un errore se si tenta di configurare modelli di risorse identici in diverse politiche di crittografia.
### Considerazioni
Quando configuri la crittografia per le tue raccolte considera quanto segue:
+ La crittografia dei dati inattivi è *obbligatoria* per tutte le raccolte serverless.
+ Hai la possibilità di utilizzare una chiave gestita dal cliente o una Chiave di proprietà di AWS. Se scegli una chiave gestita dal cliente, ti consigliamo di abilitare la [rotazione automatica delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
+ Dopo la creazione di una raccolta non è possibile modificarne la chiave di crittografia. Scegliete con AWS KMS attenzione quale utilizzare la prima volta che configurate una raccolta.
+ Una raccolta può corrispondere solo a una singola policy di crittografia.
+ Le raccolte con chiavi KMS uniche non possono condividere le unità di OpenSearch calcolo (OCUs) con altre raccolte. Ogni raccolta con una chiave unica richiede le sue 4. OCUs
+ Se aggiorni la chiave KMS in una policy di crittografia, la modifica non influirà sulle corrispondenti raccolte esistenti a cui sono state già assegnate chiavi KMS.
+ OpenSearch Serverless non controlla esplicitamente le autorizzazioni degli utenti sulle chiavi gestite dal cliente. Se un utente dispone delle autorizzazioni per accedere a una raccolta tramite una policy di accesso ai dati, sarà in grado di inserire e interrogare i dati crittografati con la chiave associata.
### Autorizzazioni richieste
Encryption at rest for OpenSearch Serverless utilizza le seguenti autorizzazioni AWS Identity and Access Management (IAM). È possibile specificare le condizioni IAM per limitare gli utenti a raccolte specifiche.
+ `aoss:CreateSecurityPolicy`: crea una policy di crittografia.
+ `aoss:ListSecurityPolicies`: elenca tutte le policy e le raccolte di crittografia a cui sono allegate.
+ `aoss:GetSecurityPolicy`: visualizza i dettagli di una policy di crittografia specifica.
+ `aoss:UpdateSecurityPolicy`: modifica una policy di crittografia.
+ `aoss:DeleteSecurityPolicy`: elimina una policy di crittografia.
Il seguente esempio di policy di accesso basata sull'identità fornisce le autorizzazioni minime necessarie all'utente per gestire le policy di crittografia con il modello di risorsa `collection/application-logs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"aoss:CreateSecurityPolicy",
"aoss:UpdateSecurityPolicy",
"aoss:DeleteSecurityPolicy",
"aoss:GetSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aoss:collection":"application-logs"
}
}
},
{
"Effect":"Allow",
"Action":[
"aoss:ListSecurityPolicies"
],
"Resource":"*"
}
]
}
```
------
### Policy della chiave per una chiave gestita dal cliente
Se si seleziona una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per proteggere una raccolta, OpenSearch Serverless ottiene l'autorizzazione a utilizzare la chiave KMS per conto del principale che effettua la selezione. Tale principale, un utente o un ruolo, deve disporre delle autorizzazioni sulla chiave KMS richieste da Serverless. OpenSearch Puoi fornire queste autorizzazioni in una [policy delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) o in una [policy IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html).
OpenSearch Serverless effettua chiamate API `Decrypt` KMS durante le operazioni di manutenzione, come la scalabilità automatica `GenerateDataKey` e gli aggiornamenti software. Potresti osservare queste chiamate al di fuori dei tuoi schemi di traffico tipici. Queste chiamate fanno parte delle normali operazioni di servizio e non indicano traffico utente attivo.
OpenSearch Serverless genera un messaggio `KMSKeyInaccessibleException` quando non può accedere alla chiave KMS che crittografa i dati inattivi. Ciò si verifica quando si disabilita o si elimina la chiave KMS o si revocano le concessioni che consentono a Serverless di utilizzare la chiave. OpenSearch
OpenSearch Serverless richiede almeno le seguenti autorizzazioni su una chiave gestita dal cliente:
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)
Esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
}
}
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dale"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "aoss.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"GenerateDataKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
OpenSearch [Serverless crea una concessione con le autorizzazioni [kms: GenerateDataKey e kms:decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html).](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
Per ulteriori informazioni, consulta [Utilizzo delle policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
### In OpenSearch che modo Serverless utilizza le sovvenzioni in AWS KMS
OpenSearch Serverless richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare una chiave gestita dal cliente.
Quando crei una politica di crittografia nel tuo account con una nuova chiave, OpenSearch Serverless crea una concessione per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a. AWS KMS Le concessioni AWS KMS vengono utilizzate per fornire a OpenSearch Serverless l'accesso a una chiave KMS in un account cliente.
OpenSearch Serverless richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave gestita dal cliente simmetrico fornito sia valido.
+ Invia [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)le richieste alla chiave KMS per creare chiavi di dati con cui crittografare gli oggetti.
+ Invia richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, OpenSearch Serverless non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà su tutte le operazioni che dipendono da tali dati, causando `AccessDeniedException` errori e guasti nei flussi di lavoro asincroni.
OpenSearch Serverless annulla le sovvenzioni in un flusso di lavoro asincrono quando una determinata chiave gestita dal cliente non è associata a politiche o raccolte di sicurezza.
### Creazione di policy di crittografia (console)
In una policy di crittografia, si specifica una chiave KMS e una serie di modelli di raccolta a cui verrà applicata la policy. A qualsiasi nuova raccolta che corrisponde a uno dei modelli definiti nella policy verrà assegnata la chiave KMS corrispondente al momento della creazione della raccolta. Consigliamo di creare policy di crittografia *prima* di iniziare a creare raccolte.
**Per creare una politica di crittografia Serverless OpenSearch**
1. Apri la console Amazon OpenSearch Service a [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel pannello di navigazione a sinistra, espandi **Serverless** e scegli **Encryption policies** (Policy di crittografia).
1. Scegli **Create encryption policy** (Crea policy di crittografia).
1. Fornisci un nome e una descrizione per la policy.
1. In **Resources** (Risorse), inserisci uno o più modelli di risorse per questa policy di crittografia. Tutte le nuove raccolte create nella Regione e nell' Account AWS attuali che corrispondono a uno dei modelli vengono automaticamente assegnate a questa policy. Ad esempio, se inserisci `ApplicationLogs` (senza caratteri jolly) e successivamente crei una raccolta con quel nome, la policy e la chiave KMS corrispondente vengono assegnate a tale raccolta.
Puoi anche fornire un prefisso, ad esempio `Logs*`, che assegni la policy a tutte le nuove raccolte i cui nomi iniziano con `Logs`. Utilizzando i caratteri jolly, puoi gestire le impostazioni di crittografia per varie raccolte su larga scala.
1. In **Encryption** (Crittografia), scegli una chiave KMS da usare.
1. Scegli **Create** (Crea).
#### Fase successiva: creazione di raccolte
Dopo aver configurato una o più policy di crittografia, puoi iniziare a creare raccolte che corrispondono alle regole definite in tali policy. Per istruzioni, consulta [Creazione di raccolte](serverless-create.md).
Nella fase di **crittografia** della creazione della raccolta, OpenSearch Serverless ti informa che il nome che hai inserito corrisponde al modello definito in una politica di crittografia e assegna automaticamente la chiave KMS corrispondente alla raccolta. Se il modello di risorsa contiene un carattere jolly (\$1), puoi scegliere di ignorare la corrispondenza e selezionare la tua chiave.
### Creazione di policy di crittografia (AWS CLI)
Per creare una politica di crittografia utilizzando le operazioni dell'API OpenSearch Serverless, si specificano modelli di risorse e una chiave di crittografia in formato JSON. La [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)richiesta accetta sia le politiche in linea che i file.json.
Le policy di crittografia assumono il formato seguente. Questo file `my-policy.json` di esempio corrisponde a qualsiasi raccolta futura denominata `autopartsinventory`, nonché a qualsiasi raccolta con nomi che iniziano con `sales`.
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":false,
"KmsARN":"arn:aws:kms:us-east-1:123456789012:key/93fd6da4-a317-4c17-bfe9-382b5d988b36"
}
```
Per utilizzare una chiave di proprietà del servizio, imposta `AWSOwnedKey` su `true`:
```
{
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
]
}
],
"AWSOwnedKey":true
}
```
La seguente richiesta crea la policy di crittografia:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type encryption \
--policy file://my-policy.json
```
Quindi, utilizzate l'operazione [CreateCollection](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateCollection.html)API per creare una o più raccolte che corrispondono a uno dei modelli di risorse.
### Visualizzazione delle policy di crittografia
Prima di creare una raccolta, hai la possibilità di visualizzare in anteprima le policy di crittografia esistenti nel tuo account per vedere quali hanno uno schema di risorse che corrisponde al nome della raccolta. La seguente [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)richiesta elenca tutte le politiche di crittografia del tuo account:
```
aws opensearchserverless list-security-policies --type encryption
```
La richiesta restituisce informazioni su tutte le policy di crittografia configurate. Utilizza i contenuti dell'elemento `policy` per visualizzare le regole del modello definite nella policy:
```
{
"securityPolicyDetails": [
{
"createdDate": 1663693217826,
"description": "Sample encryption policy",
"lastModifiedDate": 1663693217826,
"name": "my-policy",
"policy": "{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"]}],\"AWSOwnedKey\":true}",
"policyVersion": "MTY2MzY5MzIxNzgyNl8x",
"type": "encryption"
}
]
}
```
Per visualizzare informazioni dettagliate su una politica specifica, inclusa la chiave KMS, usa il [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)comando.
### Aggiornamento di policy di crittografia
Se aggiorni la chiave KMS in una policy di crittografia, la modifica verrà applicata solo alle raccolte appena create che corrispondono al nome o al modello configurato. Non influisce sulle raccolte esistenti a cui sono già assegnate chiavi KMS.
Lo stesso vale per le regole di abbinamento delle policy. Se aggiungi, modifichi o elimini una regola, la modifica si applica solo alle raccolte appena create. Se modifichi le regole di una policy in modo che non corrisponda più al nome di una raccolta, le raccolte esistenti non perdono la chiave KMS assegnata.
**Per aggiornare una politica di crittografia nella console OpenSearch Serverless, scegli **Politiche di crittografia**, seleziona la politica da modificare e scegli Modifica.** Apporta le modifiche necessarie, quindi scegli **Save** (Salva).
Per aggiornare una politica di crittografia utilizzando l'API OpenSearch Serverless, utilizza l'[UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)operazione. La seguente richiesta aggiorna una policy di crittografia con un nuovo documento JSON della policy:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type encryption \
--policy-version 2 \
--policy file://my-new-policy.json
```
### Eliminazione delle policy di crittografia
Quando elimini una policy di crittografia, tutte le raccolte che attualmente utilizzano la chiave KMS definita nella policy non saranno modificate. **Per eliminare una policy nella console OpenSearch Serverless, seleziona la policy e scegli Elimina.**
Puoi anche utilizzare l'[DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)operazione:
```
aws opensearchserverless delete-security-policy --name my-policy --type encryption
```
## Crittografia dei dati in transito
In OpenSearch Serverless, tutti i percorsi di una raccolta sono crittografati in transito utilizzando Transport Layer Security 1.2 (TLS) con un codice AES-256 standard di settore. L'accesso a tutti APIs e alle dashboard di Opensearch avviene anche tramite TLS 1.2. TLS è un insieme di protocolli crittografici standard del settore utilizzati per crittografare le informazioni scambiate sulla rete.
# Accesso alla rete per Amazon OpenSearch Serverless
Le impostazioni di rete per una raccolta Amazon OpenSearch Serverless determinano se la raccolta è accessibile su Internet da reti pubbliche o se è necessario accedervi privatamente.
L'accesso privato può applicarsi a uno o entrambi i seguenti elementi:
+ OpenSearch Endpoint VPC gestiti senza server
+ Supportato Servizi AWS come Amazon Bedrock
Puoi configurare l'accesso alla rete separatamente per l'endpoint di una raccolta e l'*OpenSearch*endpoint *OpenSearch Dashboards* corrispondente.
L'accesso alla rete è il meccanismo di isolamento che consente l'accesso da diverse reti di origine. Ad esempio, se l'endpoint OpenSearch Dashboards di una raccolta è accessibile pubblicamente ma l'endpoint OpenSearch API no, un utente può accedere ai dati della raccolta solo tramite Dashboards quando si connette da una rete pubblica. Se provano a chiamarli OpenSearch APIs direttamente da una rete pubblica, verranno bloccati. Le impostazioni di rete possono essere utilizzate per tali permutazioni dall'origine al tipo di risorsa. Amazon OpenSearch Serverless supporta sia la connettività che IPv4 la IPv6 connettività.
**Topics**
+ [
## Policy di rete
](#serverless-network-policies)
+ [
## Considerazioni
](#serverless-network-considerations)
+ [
## Autorizzazioni necessarie per configurare le politiche di rete
](#serverless-network-permissions)
+ [
## Priorità delle policy
](#serverless-network-precedence)
+ [
## Creazione di policy di rete (console)
](#serverless-network-console)
+ [
## Creazione di policy di rete (AWS CLI)
](#serverless-network-cli)
+ [
## Visualizzazione delle policy di rete
](#serverless-network-list)
+ [
## Aggiornamento delle policy di rete
](#serverless-network-update)
+ [
## Eliminazione delle policy di rete
](#serverless-network-delete)
## Policy di rete
Le policy di rete consentono di gestire molte raccolte su larga scala assegnando automaticamente le impostazioni di accesso alla rete alle raccolte che corrispondono alle regole definite nella policy.
In una policy di rete, si specifica una serie di *regole*. Queste regole definiscono le autorizzazioni di accesso agli endpoint di raccolta e OpenSearch agli endpoint di Dashboards. Ogni regola è composta da un tipo di accesso (pubblico o privato) e da un tipo di risorsa (raccolta e/o OpenSearch endpoint Dashboards). Per ogni tipo di risorsa (`collection` e `dashboard`), si specifica una serie di regole che definiscono a quali raccolte si applicherà la policy.
In questa policy di esempio, la prima regola specifica l'accesso degli endpoint VPC sia all'endpoint di raccolta che all'endpoint Dashboards per tutte le raccolte che iniziano con il termine. `marketing*` Specifica inoltre l'accesso ad Amazon Bedrock.
**Nota**
L'accesso privato Servizi AWS ad Amazon Bedrock si applica *solo* all'endpoint della raccolta, non all' OpenSearch endpoint OpenSearch Dashboards. Anche se lo `ResourceType` è`dashboard`, Servizi AWS non può essere concesso l'accesso alle dashboard. OpenSearch
La seconda regola specifica l'accesso pubblico alla raccolta `finance`, ma solo per l'endpoint di raccolta (nessun accesso a Dashboards).
```
[
{
"Description":"Marketing access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/marketing*"
]
},
{
"ResourceType":"dashboard",
"Resource":[
"collection/marketing*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
},
{
"Description":"Sales access",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Questa politica fornisce l'accesso pubblico solo alle OpenSearch dashboard per le raccolte che iniziano con «finanza». Qualsiasi tentativo di accedere direttamente all' OpenSearch API fallirà.
```
[
{
"Description": "Dashboards access",
"Rules": [
{
"ResourceType": "dashboard",
"Resource": [
"collection/finance*"
]
}
],
"AllowFromPublic": true
}
]
```
Le policy di rete possono essere applicate alle raccolte esistenti e alle raccolte future. Ad esempio, è possibile creare una raccolta e quindi creare una policy di rete con una regola che corrisponda al nome della raccolta. Non è necessario creare policy di rete prima di creare le raccolte.
## Considerazioni
Quando configuri l'accesso di rete per le tue raccolte considera quanto segue:
+ [Se prevedi di configurare l'accesso agli endpoint VPC per una raccolta, devi prima creare almeno un endpoint VPC gestito senza server. OpenSearch ](serverless-vpc.md)
+ L'accesso privato a si applica Servizi AWS solo all'endpoint della raccolta, non all' OpenSearchendpoint Dashboards. OpenSearch Anche se lo `ResourceType` è`dashboard`, Servizi AWS non può essere concesso l'accesso alle dashboard. OpenSearch
+ Se una raccolta è accessibile dalle reti pubbliche, è accessibile anche da tutti gli endpoint VPC OpenSearch gestiti senza server e tutto il resto. Servizi AWS
+ A una singola raccolta possono essere applicate più policy di rete. Per ulteriori informazioni, consulta [Priorità delle policy](#serverless-network-precedence).
## Autorizzazioni necessarie per configurare le politiche di rete
L'accesso alla rete per OpenSearch Serverless utilizza le seguenti autorizzazioni AWS Identity and Access Management (IAM). È possibile specificare le condizioni IAM per limitare gli utenti alle policy di rete associate a raccolte specifiche.
+ `aoss:CreateSecurityPolicy`: crea una policy di accesso alla rete.
+ `aoss:ListSecurityPolicies`: elenca tutte le policy di rete nell'account corrente.
+ `aoss:GetSecurityPolicy`: visualizza una specifica della policy di accesso alla rete.
+ `aoss:UpdateSecurityPolicy`: modifica una determinata policy di accesso alla rete e modifica l'ID VPC o la designazione di accesso pubblico.
+ `aoss:DeleteSecurityPolicy`: elimina una policy di accesso alla rete (dopo che è stata scollegata da tutte le raccolte).
La seguente policy di accesso basata sull'identità consente a un utente di visualizzare tutte le policy di rete e di aggiornarle in base al modello delle risorse `collection/application-logs`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:UpdateSecurityPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": "application-logs"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:ListSecurityPolicies",
"aoss:GetSecurityPolicy"
],
"Resource": "*"
}
]
}
```
------
**Nota**
Inoltre, OpenSearch Serverless richiede le autorizzazioni `aoss:APIAccessAll` e le `aoss:DashboardsAccessAll` autorizzazioni per le risorse di raccolta. Per ulteriori informazioni, consulta [Utilizzo delle operazioni OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Priorità delle policy
Possono verificarsi situazioni in cui le regole delle policy di rete si sovrappongono, all'interno delle policy o tra di esse. *Quando ciò accade, una regola che specifica l'accesso pubblico ha la precedenza su una regola che specifica l'accesso privato per tutte le raccolte comuni a entrambe le regole.*
Ad esempio, nella policy seguente, entrambe le regole assegnano l'accesso di rete alla raccolta `finance`, ma una regola specifica l'accesso VPC mentre l'altra specifica l'accesso pubblico. In questa situazione, l'accesso pubblico prevale sull'accesso al VPC *solo per la raccolta "finance"* (poiché esiste in entrambe le regole), quindi la raccolta "finance" sarà accessibile dalle reti pubbliche. La raccolta delle vendite avrà accesso al VPC dall'endpoint specificato.
```
[
{
"Description":"Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/sales",
"collection/finance"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
]
},
{
"Description":"Rule 2",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
Se a una raccolta si applicano più endpoint VPC di regole diverse, la raccolta sarà accessibile da tutti gli endpoint specificati in quanto le regole sono additive. Se lo `AllowFromPublic` imposti `true` ma ne fornisci anche uno o più `SourceVPCEs` oppure`SourceServices`, OpenSearch Serverless ignora gli endpoint VPC e gli identificatori del servizio e le raccolte associate avranno accesso pubblico.
## Creazione di policy di rete (console)
Le policy di rete possono essere applicate alle raccolte esistenti e alle raccolte future. Consigliamo di creare le policy di rete prima di iniziare a creare raccolte.
**Per creare una policy di rete Serverless OpenSearch**
1. Apri la console Amazon OpenSearch Service a [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Nel pannello di navigazione a sinistra, espandi **Serverless** e scegli **Network policies** (Policy di rete).
1. Scegli **Create network policy** (Crea policy di rete).
1. Fornisci un nome e una descrizione per la policy.
1. Fornisci una o più *regole*. Queste regole definiscono le autorizzazioni di accesso per le tue raccolte OpenSearch Serverless e i relativi endpoint OpenSearch Dashboard.
Ogni regola contiene i seguenti elementi:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/serverless-network.html)
Per ogni tipo di risorsa selezionato, puoi scegliere raccolte esistenti a cui applicare le impostazioni dei criteri, and/or creare uno o più modelli di risorse. I modelli di risorse sono costituiti da un prefisso e da un carattere jolly (\$1), e definiscono a quali raccolte si applicheranno le impostazioni delle policy.
Ad esempio, se includi un modello denominato `Marketing*`, a qualsiasi raccolta nuova o esistente il cui nome inizia con "Marketing" verranno applicate automaticamente le impostazioni di rete di questa policy. Una singolo carattere jolly (`*`) applica la policy a tutte le raccolte attuali e future.
Inoltre, potete specificare il nome di una collezione *futura* senza caratteri jolly, ad esempio`Finance`. OpenSearch Serverless applicherà le impostazioni dei criteri a qualsiasi raccolta appena creata con quel nome esatto.
1. Quando sei soddisfatto della configurazione della policy, scegli **Create** (Crea).
## Creazione di policy di rete (AWS CLI)
Per creare una politica di rete utilizzando le operazioni dell'API OpenSearch Serverless, specificate le regole in formato JSON. La [CreateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityPolicy.html)richiesta accetta sia le politiche in linea che i file.json. Tutte le raccolte e i modelli devono assumere la forma `collection/`.
**Nota**
Il tipo di risorsa consente `dashboards` solo l'autorizzazione alle OpenSearch dashboard, ma per far funzionare le OpenSearch dashboard è necessario consentire anche l'accesso alla raccolta dalle stesse fonti. Osserva la seconda policy di seguito per un esempio.
Per specificare l'accesso privato, includi uno o entrambi i seguenti elementi:
+ `SourceVPCEs`— Specificare uno o più endpoint OpenSearch VPC gestiti senza server.
+ `SourceServices`— Specificare l'identificatore di uno o più supportati. Servizi AWS Attualmente sono supportati i seguenti identificatori di servizio:
+ `bedrock.amazonaws.com`— Amazon Bedrock
La seguente policy di rete di esempio fornisce l'accesso privato, a un endpoint VPC e Amazon Bedrock, agli endpoint di raccolta solo per le raccolte che iniziano con il prefisso. `log*` Gli utenti autenticati non possono accedere alle OpenSearch dashboard; possono solo accedere all'endpoint di raccolta a livello di codice.
```
[
{
"Description":"Private access for log collections",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/log*"
]
}
],
"AllowFromPublic":false,
"SourceVPCEs":[
"vpce-050f79086ee71ac05"
],
"SourceServices":[
"bedrock.amazonaws.com"
],
}
]
```
La seguente politica fornisce l'accesso pubblico all' OpenSearch endpoint *e* alle OpenSearch dashboard per una singola raccolta denominata. `finance` Se la raccolta non esiste, le impostazioni di rete verranno applicate alla raccolta se e quando viene creata.
```
[
{
"Description":"Public access for finance collection",
"Rules":[
{
"ResourceType":"dashboard",
"Resource":[
"collection/finance"
]
},
{
"ResourceType":"collection",
"Resource":[
"collection/finance"
]
}
],
"AllowFromPublic":true
}
]
```
La seguente richiesta crea la policy di rete di cui sopra:
```
aws opensearchserverless create-security-policy \
--name sales-inventory \
--type network \
--policy "[{\"Description\":\"Public access for finance collection\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection\/finance\"]},{\"ResourceType\":\"collection\",\"Resource\":[\"collection\/finance\"]}],\"AllowFromPublic\":true}]"
```
Per fornire la policy in un file JSON, utilizzare il formato `--policy file://my-policy.json`
## Visualizzazione delle policy di rete
Prima di creare una raccolta, hai la possibilità di visualizzare in anteprima le policy di rete esistenti nel tuo account per vedere quali hanno uno schema di risorse che corrisponde al nome della raccolta. La [ListSecurityPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityPolicies.html)richiesta seguente elenca tutte le politiche di rete del tuo account:
```
aws opensearchserverless list-security-policies --type network
```
La richiesta restituisce informazioni su tutte le policy di rete configurate. Per visualizzare le regole del modello definite in una politica specifica, trova le informazioni sulla politica nel contenuto dell'`securityPolicySummaries`elemento nella risposta. Prendi nota della `name` fine `type` di questa politica e utilizza queste proprietà in una [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)richiesta per ricevere una risposta con i seguenti dettagli della politica:
```
{
"securityPolicyDetail": [
{
"type": "network",
"name": "my-policy",
"policyVersion": "MTY2MzY5MTY1MDA3Ml8x",
"policy": "[{\"Description\":\"My network policy rule\",\"Rules\":[{\"ResourceType\":\"dashboard\",\"Resource\":[\"collection/*\"]}],\"AllowFromPublic\":true}]",
"createdDate": 1663691650072,
"lastModifiedDate": 1663691650072
}
]
}
```
Per visualizzare informazioni dettagliate su una politica specifica, utilizzare il [GetSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetSecurityPolicy.html)comando.
## Aggiornamento delle policy di rete
Quando si modificano gli endpoint VPC o la designazione di accesso pubblico per una rete, vengono interessate anche tutte le raccolte associate. Per aggiornare una politica di rete nella console OpenSearch Serverless, espandi **Criteri di rete**, seleziona la politica da modificare e scegli **Modifica**. Apporta le modifiche necessarie, quindi scegli **Save** (Salva).
Per aggiornare una politica di rete utilizzando l'API OpenSearch Serverless, usa il [UpdateSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityPolicy.html)comando. È necessario includere una versione della policy nella richiesta. È possibile recuperare la versione della policy utilizzando i comandi `ListSecurityPolicies` o `GetSecurityPolicy`. L'inclusione della versione più recente delle policy garantisce di non sovrascrivere inavvertitamente una modifica apportata da qualcun altro.
La seguente richiesta aggiorna una policy di rete con un nuovo documento JSON della policy:
```
aws opensearchserverless update-security-policy \
--name sales-inventory \
--type network \
--policy-version MTY2MzY5MTY1MDA3Ml8x \
--policy file://my-new-policy.json
```
## Eliminazione delle policy di rete
Prima di eliminare una policy di rete, è necessario scollegarla da tutte le raccolte. **Per eliminare una policy nella console OpenSearch Serverless, seleziona la policy e scegli Elimina.**
Puoi anche usare il [DeleteSecurityPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityPolicy.html)comando:
```
aws opensearchserverless delete-security-policy --name my-policy --type network
```
# Conformità FIPS in Amazon Serverless OpenSearch
Amazon OpenSearch Serverless supporta il Federal Information Processing Standards (FIPS) 140-2, uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Quando ti connetti a endpoint compatibili con FIPS con OpenSearch Serverless, le operazioni crittografiche avvengono utilizzando librerie crittografiche convalidate FIPS.
OpenSearch Gli endpoint FIPS serverless sono disponibili laddove è supportato FIPS. Regioni AWS Questi endpoint utilizzano TLS 1.2 o versioni successive e algoritmi crittografici convalidati da FIPS per tutte le comunicazioni. *Per ulteriori informazioni, consulta la conformità [FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) nella Guida per l'utente ad accesso verificato.AWS *
**Topics**
+ [
## Utilizzo degli endpoint FIPS con Serverless OpenSearch
](#using-fips-endpoints-opensearch-serverless)
+ [
## Utilizza gli endpoint FIPS con AWS SDKs
](#using-fips-endpoints-aws-sdks)
+ [
## Configurazione dei gruppi di sicurezza per gli endpoint VPC
](#configuring-security-groups-vpc-endpoints)
+ [
## Usa l'endpoint FIPS VPC
](#using-fips-vpc-endpoint)
+ [
## Verifica la conformità FIPS
](#verifying-fips-compliance)
+ [
# Risolvi i problemi di connettività degli endpoint FIPS nelle zone ospitate private
](serverless-fips-endpoint-issues.md)
## Utilizzo degli endpoint FIPS con Serverless OpenSearch
Regioni AWS Laddove è supportato FIPS, le raccolte OpenSearch Serverless sono accessibili tramite endpoint standard e conformi a FIPS. *Per ulteriori informazioni, consulta la conformità [FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) nella Guida per l'utente ad accesso verificato.AWS *
Negli esempi seguenti, sostituisci *collection\$1id* e *Regione AWS* con il tuo ID di raccolta e il relativo Regione AWS.
+ **Endpoint standard**:**https://*collection\$1id*.*Regione AWS*.aoss.amazonaws.com**.
+ **Endpoint conforme allo standard FIPS:**. **https://*collection\$1id*.*Regione AWS*.aoss-fips.amazonaws.com**
Allo stesso modo, le OpenSearch dashboard sono accessibili tramite endpoint standard e conformi a FIPS:
+ Endpoint di **dashboard** standard:. **https://*collection\$1id*.*Regione AWS*.aoss.amazonaws.com/\$1dashboards**
+ **Endpoint di dashboard conformi allo standard FIPS:**. **https://*collection\$1id*.*Regione AWS*.aoss-fips.amazonaws.com/\$1dashboards**
**Nota**
Nelle regioni abilitate alla FIPS, gli endpoint standard e conformi allo standard FIPS forniscono una crittografia conforme allo standard FIPS. **Gli endpoint specifici per FIPS consentono di soddisfare i requisiti di conformità che impongono specificamente l'uso di endpoint con FIPS nel nome.**
## Utilizza gli endpoint FIPS con AWS SDKs
Quando si utilizza AWS SDKs, è possibile specificare l'endpoint FIPS durante la creazione del client. Nell'esempio seguente, sostituisci *collection\$1id* e *Regione AWS* con il tuo ID di raccolta e il relativo. Regione AWS
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Regione AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Configurazione dei gruppi di sicurezza per gli endpoint VPC
Per garantire una comunicazione corretta con il tuo endpoint Amazon VPC (VPC) conforme a FIPS, crea o modifica un gruppo di sicurezza per consentire il traffico HTTPS in entrata (porta TCP 443) dalle risorse del tuo VPC che devono accedere a Serverless. OpenSearch Quindi associa questo gruppo di sicurezza al tuo endpoint VPC durante la creazione o modificando l'endpoint dopo la creazione. Per ulteriori informazioni, consulta [Creazione di un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) nella *Guida per l'utente di Amazon VPC*.
## Usa l'endpoint FIPS VPC
Dopo aver creato l'endpoint VPC conforme a FIPS, puoi utilizzarlo per accedere OpenSearch a Serverless dalle risorse all'interno del tuo VPC. Per utilizzare l'endpoint per le operazioni API, configura il tuo SDK per utilizzare l'endpoint FIPS regionale come descritto nella sezione. [Utilizzo degli endpoint FIPS con Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless) Per accedere alle OpenSearch dashboard, utilizza l'URL Dashboards specifico della raccolta, che verrà indirizzato automaticamente attraverso l'endpoint VPC conforme a FIPS quando vi si accede dall'interno del VPC. Per ulteriori informazioni, consulta [Utilizzo dei OpenSearch pannelli di controllo con Amazon Service OpenSearch](dashboards.md).
## Verifica la conformità FIPS
Per verificare che le connessioni a OpenSearch Serverless utilizzino la crittografia conforme a FIPS, utilizza per monitorare le chiamate API effettuate a Serverless. AWS CloudTrail OpenSearch Verifica che il campo nei log venga visualizzato per le chiamate API. `eventSource` CloudTrail `aoss-fips.amazonaws.com`
Per accedere alle OpenSearch dashboard, puoi utilizzare gli strumenti di sviluppo del browser per controllare i dettagli della connessione TLS e verificare che vengano utilizzate suite di crittografia conformi a FIPS.
# Risolvi i problemi di connettività degli endpoint FIPS nelle zone ospitate private
Gli endpoint FIPS funzionano con raccolte Amazon OpenSearch Serverless ad accesso pubblico. Per le raccolte VPC appena create che utilizzano endpoint VPC appena creati, gli endpoint FIPS funzionano come previsto. Per altre raccolte VPC, potrebbe essere necessario eseguire la configurazione manuale per garantire il corretto funzionamento degli endpoint FIPS.
**Per configurare zone ospitate private FIPS in Amazon Route 53**
1. Apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Controlla le tue zone ospitate:
1. Individua le zone ospitate in cui si trovano le Regioni AWS tue raccolte.
1. Verifica i modelli di denominazione delle zone ospitate:
+ Formato non FIPS:. `region.aoss.amazonaws.com`
+ Formato FIPS:. `region.aoss-fips.amazonaws.com`
1. Conferma che il **Tipo** per tutte le tue zone ospitate sia impostato su **Zona ospitata privata**.
1. Se manca la zona ospitata privata FIPS:
1. Seleziona la zona ospitata privata non FIPS corrispondente.
1. Copia le informazioni **associate VPCs**. Ad esempio: `vpc-1234567890abcdef0 | us-east-2`.
1. Trova il record del dominio wildcard. Ad esempio: `*.us-east-2.aoss.amazonaws.com`.
1. Copia il **valore e il percorso del traffico** nelle informazioni. Ad esempio: `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.
1. Crea la zona ospitata privata FIPS:
1. Crea una nuova zona ospitata privata con il formato FIPS. Ad esempio: `us-east-2.aoss-fips.amazonaws.com`.
1. Per **Associato VPCs**, inserisci le informazioni sul VPC che hai copiato dalla zona ospitata privata non FIPS.
1. Aggiungi un nuovo record con le seguenti impostazioni:
1. Nome del record: \$1
1. Tipo di record: CNAME
1. Valore: inserisci il **valore/indirizzamento del traffico verso le informazioni che** hai copiato in precedenza.
## Problemi comuni
Se riscontri problemi di connettività con gli endpoint VPC conformi a FIPS, utilizza le seguenti informazioni per risolvere il problema.
+ Errori di risoluzione DNS: non è possibile risolvere il nome di dominio dell'endpoint FIPS all'interno del VPC
+ Timeout di connessione: scadono le tue richieste all'endpoint FIPS
+ Errori di accesso negato: l'autenticazione o l'autorizzazione falliscono quando si utilizzano gli endpoint FIPS
+ Record di zona ospitata privata mancanti per le raccolte solo VPC
**Per risolvere i problemi di connettività degli endpoint FIPS**
1. Verifica la configurazione della tua zona ospitata privata:
1. Conferma che esiste una zona ospitata privata per il dominio dell'endpoint FIPS (. `*.region.aoss-fips.amazonaws.com`
1. Verifica che la zona ospitata privata sia associata al VPC corretto.
Per ulteriori informazioni, consulta le [zone ospitate private](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) nella *Amazon Route 53 Developer Guide* e [Manage DNS names](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) nella *AWS PrivateLink Guida*.
1. Verifica la risoluzione DNS:
1. Connect a un'istanza EC2 nel tuo VPC.
1. Esegui il comando seguente:
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. Verifica che la risposta includa l'indirizzo IP privato del tuo endpoint VPC.
Per ulteriori informazioni, consulta [le politiche degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) e gli [attributi DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) nella Amazon *VPC* User Guide.
1. Controlla le impostazioni del tuo gruppo di sicurezza:
1. Verifica che il gruppo di sicurezza collegato all'endpoint VPC consenta il traffico HTTPS (porta 443) dalle tue risorse.
1. Verifica che i gruppi di sicurezza per le tue risorse consentano il traffico in uscita verso l'endpoint VPC.
Per ulteriori informazioni, consulta [le politiche degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) nella *AWS PrivateLink Guida* e i [gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) nella *Amazon VPC* User Guide.
1. Controlla la configurazione ACL della tua rete:
1. Verifica che la rete ACLs consenta il traffico tra le tue risorse e l'endpoint VPC.
Per ulteriori informazioni, consulta [Network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) in the *Amazon VPC User* Guide.
1. Rivedi la tua politica sugli endpoint:
1. Verifica che la policy degli endpoint VPC consenta le azioni richieste sulle tue risorse Serverless. OpenSearch
*Per ulteriori informazioni, consulta le [autorizzazioni degli endpoint VPC richieste](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) e le politiche degli [endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies) nella Guida.AWS PrivateLink *
**Suggerimento**
Se utilizzi resolver DNS personalizzati nel tuo VPC, configurali per inoltrare le richieste di domini ai server. `*.amazonaws.com` AWS
# Controllo dell'accesso ai dati per Amazon OpenSearch Serverless
Con il controllo dell'accesso ai dati in Amazon OpenSearch Serverless, puoi consentire agli utenti di accedere a raccolte e indici, indipendentemente dal meccanismo di accesso o dalla fonte di rete. Puoi fornire l'accesso ai ruoli IAM e alle [identità SAML](serverless-saml.md).
Puoi gestire le autorizzazioni di accesso tramite le *policy di accesso ai dati*, che si applicano alle raccolte e alle risorse dell'indice. Le policy di accesso ai dati consentono di gestire le raccolte su larga scala assegnando automaticamente autorizzazioni di accesso a raccolte e indici che corrispondono a uno schema specifico. È possibile applicare più policy di accesso ai dati a una singola risorsa. Tieni presente che devi disporre di una politica di accesso ai dati per la tua raccolta per poter accedere all'URL delle dashboard OpenSearch .
**Topics**
+ [
## Policy di accesso ai dati rispetto alle policy IAM
](#serverless-data-access-vs-iam)
+ [
## Autorizzazioni IAM necessarie per configurare le politiche di accesso ai dati
](#serverless-data-access-permissions)
+ [
## Sintassi delle policy
](#serverless-data-access-syntax)
+ [
## Autorizzazioni delle policy supportate
](#serverless-data-supported-permissions)
+ [
## Set di dati di esempio nelle dashboard OpenSearch
](#serverless-data-sample-index)
+ [
## Creazione di policy di accesso ai dati (console)
](#serverless-data-access-console)
+ [
## Creazione di policy di accesso ai dati (AWS CLI)
](#serverless-data-access-cli)
+ [
## Visualizzazione di policy di accesso ai dati
](#serverless-data-access-list)
+ [
## Aggiornamento delle policy di accesso ai dati
](#serverless-data-access-update)
+ [
## Eliminazione delle policy di accesso ai dati
](#serverless-data-access-delete)
+ [
## Accesso ai dati tra account
](#serverless-data-access-cross)
## Policy di accesso ai dati rispetto alle policy IAM
Le policy di accesso ai dati sono logicamente separate dalle policy AWS Identity and Access Management (IAM). Le autorizzazioni IAM controllano l'accesso alle [operazioni API serverless](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html), come `CreateCollection` e `ListAccessPolicies`. Le politiche di accesso ai dati controllano l'accesso alle [OpenSearch operazioni](#serverless-data-supported-permissions) supportate da OpenSearch Serverless, come `PUT ` o. `GET _cat/indices`
Le autorizzazioni IAM che controllano l'accesso alle operazioni dell'API della policy di accesso ai dati, come `aoss:CreateAccessPolicy` e `aoss:GetAccessPolicy` (descritte nella sezione successiva), non influiscono sull'autorizzazione specificata in una policy di accesso ai dati.
Ad esempio, supponiamo che una policy IAM impedisca a un utente di creare policy di accesso ai dati per `collection-a`, ma gli consenta di creare policy di accesso ai dati per tutte le raccolte (`*`):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "collection-a"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*"
}
]
}
```
------
Se l'utente crea una policy di accesso ai dati che consente determinate autorizzazioni per *tutte* le raccolte (`collection/*` o `index/*/*`), la policy si applicherà a tutte le raccolte, inclusa la raccolta A.
**Importante**
La concessione delle autorizzazioni nell'ambito di una politica di accesso ai dati non è sufficiente per accedere ai dati della raccolta OpenSearch Serverless. A un principale associato deve *inoltre* essere concesso l'accesso alle autorizzazioni `aoss:APIAccessAll` IAM e. `aoss:DashboardsAccessAll` Entrambe le autorizzazioni garantiscono l'accesso completo alle risorse di raccolta, mentre l'autorizzazione Dashboards fornisce anche l'accesso alle dashboard. OpenSearch Se un principale non dispone di entrambe queste autorizzazioni IAM, riceverà 403 errori quando tenta di inviare richieste alla raccolta. Per ulteriori informazioni, consulta [Utilizzo delle operazioni OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Autorizzazioni IAM necessarie per configurare le politiche di accesso ai dati
Il controllo dell'accesso ai dati per OpenSearch Serverless utilizza le seguenti autorizzazioni IAM. È possibile specificare condizioni IAM per limitare gli utenti a nomi di policy di accesso specifici.
+ `aoss:CreateAccessPolicy`: crea una policy di accesso.
+ `aoss:ListAccessPolicies`: elenca tutte le policy di accesso.
+ `aoss:GetAccessPolicy`: visualizza i dettagli su una policy di accesso specifica.
+ `aoss:UpdateAccessPolicy`: modifica una policy di accesso.
+ `aoss:DeleteAccessPolicy`: elimina una policy di accesso.
La seguente policy di accesso basata sull'identità consente a un utente di visualizzare tutte le policy di accesso e aggiornare le policy che contengono il modello delle risorse `collection/logs`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListAccessPolicies",
"aoss:GetAccessPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"aoss:UpdateAccessPolicy"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"logs"
]
}
}
}
]
}
```
------
**Nota**
Inoltre, OpenSearch Serverless richiede le autorizzazioni `aoss:APIAccessAll` e le `aoss:DashboardsAccessAll` autorizzazioni per le risorse di raccolta. Per ulteriori informazioni, consulta [Utilizzo delle operazioni OpenSearch API](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Sintassi delle policy
Una policy di accesso ai dati include una serie di regole, ognuna con i seguenti elementi:
| Elemento | Description |
| --- | --- |
| ResourceType | Il tipo di risorsa (raccolta o indice) a cui si applicano le autorizzazioni. Le autorizzazioni degli alias e dei modelli sono a livello di raccolta, mentre le autorizzazioni per la creazione, la modifica e la ricerca dei dati sono a livello di indice. Per ulteriori informazioni, consulta la sezione [Supported policy permissions](#serverless-data-supported-permissions) (Autorizzazioni delle policy supportate). |
| Resource | Un elenco di modelli di nomi and/or di risorse. I modelli sono prefissi seguiti da un carattere jolly (\$1), che consentono di applicare le autorizzazioni associate a più risorse.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/serverless-data-access.html) |
| Permission | Un elenco di autorizzazioni da concedere per le risorse specificate. Per un elenco completo delle autorizzazioni e delle operazioni dell'API che queste concedono, consulta la sezione [Operazioni e autorizzazioni API supportate OpenSearch](serverless-genref.md#serverless-operations). |
| Principal | Un elenco di uno o più principali a cui concedere l'accesso. I principali possono essere ruoli IAM ARNs o identità SAML. Questi principali devono essere all'interno dell' Account AWS corrente. Le policy di accesso ai dati non supportano direttamente l'accesso tra account diversi, ma puoi includere nella policy un ruolo che un utente di un altro account Account AWS può assumere nell'account proprietario della raccolta. Per ulteriori informazioni, consulta [Accesso ai dati tra account](#serverless-data-access-cross). |
La seguente policy di esempio concede autorizzazioni di alias e modello alla raccolta denominata `autopartsinventory`, nonché a tutte le raccolte che iniziano con il prefisso `sales*`. Inoltre, concede autorizzazioni di lettura e scrittura a tutti gli indici della raccolta `autopartsinventory` e a tutti gli indici della raccolta `salesorders` che iniziano con il prefisso `orders*`.
```
[
{
"Description": "Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
],
"Permission":[
"aoss:CreateCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DescribeCollectionItems"
]
},
{
"ResourceType":"index",
"Resource":[
"index/autopartsinventory/*",
"index/salesorders/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie",
"saml/123456789012/anotherprovider/group/Accounting"
]
}
]
```
Non puoi negare esplicitamente l'accesso all'interno di una policy. Pertanto, tutte le autorizzazioni delle policy sono additive. Ad esempio, se a un utente una policy concede `aoss:ReadDocument` e un'altra concede `aoss:WriteDocument`, l'utente avrà *entrambe* le autorizzazioni. Se una terza policy concede `aoss:*` allo stesso utente, l'utente può eseguire *tutte* le azioni sull'indice associato; le autorizzazioni più restrittive non sostituiscono quelle meno restrittive.
## Autorizzazioni delle policy supportate
Le seguenti autorizzazioni sono supportate nelle policy di accesso ai dati. Per le operazioni OpenSearch API consentite da ciascuna autorizzazione, consulta. [Operazioni e autorizzazioni API supportate OpenSearch](serverless-genref.md#serverless-operations)
**Autorizzazioni della raccolta**
+ `aoss:CreateCollectionItems`
+ `aoss:DeleteCollectionItems`
+ `aoss:UpdateCollectionItems`
+ `aoss:DescribeCollectionItems`
+ `aoss:*`
**Autorizzazioni dell'indice**
+ `aoss:ReadDocument`
+ `aoss:WriteDocument`
+ `aoss:CreateIndex`
+ `aoss:DeleteIndex`
+ `aoss:UpdateIndex`
+ `aoss:DescribeIndex`
+ `aoss:*`
## Set di dati di esempio nelle dashboard OpenSearch
OpenSearch Dashboards fornisce [set di dati di esempio](https://opensearch.org/docs/latest/dashboards/quickstart-dashboards/#adding-sample-data) che includono visualizzazioni, dashboard e altri strumenti per aiutarti a esplorare le dashboard prima di aggiungere i tuoi dati. Per creare indici a partire da questi dati di esempio, è necessaria una politica di accesso ai dati che fornisca le autorizzazioni per il set di dati con cui desideri lavorare. La seguente politica utilizza un wildcard (`*`) per fornire le autorizzazioni per tutti e tre i set di dati di esempio.
```
[
{
"Rules": [
{
"Resource": [
"index//opensearch_dashboards_sample_data_*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam:::user/"
]
}
]
```
## Creazione di policy di accesso ai dati (console)
È possibile creare una policy di accesso ai dati utilizzando l'editor visivo o in formato JSON. A qualsiasi nuova raccolta che corrisponde a uno dei modelli definiti nella policy verranno assegnate le autorizzazioni corrispondenti al momento della creazione della raccolta.
**Per creare una politica di accesso ai dati OpenSearch Serverless**
1. Apri la console Amazon OpenSearch Service a [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Nel riquadro di navigazione a sinistra, espandi **Serverless** e in **Sicurezza**, scegli **Politiche di accesso ai dati**.
1. Scegli **Create access policy** (Crea policy di accesso).
1. Fornisci un nome e una descrizione per la policy.
1. Fornisci un nome per la prima regola nella policy. Ad esempio, "Accesso alla raccolta di log".
1. Scegli **Add principals** (Aggiungi principali) e seleziona uno o più ruoli IAM o [utenti e gruppi SAML](serverless-saml.md) a cui fornire l'accesso ai dati.
**Nota**
Per poter selezionare i principali dai menu a discesa, è necessario disporre delle autorizzazioni `iam:ListUsers` e `iam:ListRoles` (per i principali IAM) e dell'autorizzazione `aoss:ListSecurityConfigs` (per le identità SAML).
1. Scegli **Grant** (Concedi) e seleziona le autorizzazioni per l'alias, il modello e l'indice da concedere ai principali associati. Per un elenco completo delle autorizzazioni e l'accesso che queste concedono, consulta la sezione [Operazioni e autorizzazioni API supportate OpenSearch](serverless-genref.md#serverless-operations).
1. (Facoltativo) Configurazione di regole aggiuntive per la policy.
1. Scegli **Create** (Crea). Potrebbe esserci circa un minuto di ritardo tra il momento in cui si crea la policy e il momento in cui vengono applicate le autorizzazioni. Se occorrono più di 5 minuti, contatta [Supporto](https://console.aws.amazon.com/support/home).
**Importante**
Se la policy include solo le autorizzazioni dell'indice (e nessuna autorizzazione della raccolta), potresti comunque visualizzare un messaggio per le raccolte corrispondenti che indica `Collection cannot be accessed yet. Configure data access policies so that users can access the data within this collection`. Tale avviso si può ignorare. I principali autorizzati possono comunque eseguire le operazioni relative all'indice assegnate sulla raccolta.
## Creazione di policy di accesso ai dati (AWS CLI)
Per creare una politica di accesso ai dati utilizzando l'API OpenSearch Serverless, usa il `CreateAccessPolicy` comando. Il comando accetta sia policy inline che file .json. Le policy inline devono essere codificate come una [stringa con escape JSON](https://www.freeformatter.com/json-escape.html).
La seguente richiesta crea una policy di accesso ai dati:
```
aws opensearchserverless create-access-policy \
--name marketing \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]"
```
Per fornire la policy all'interno di un file .json, utilizza il formato `--policy file://my-policy.json`.
I principali inclusi nella policy possono ora utilizzare le [OpenSearch operazioni](#serverless-data-supported-permissions) a cui hanno avuto accesso.
## Visualizzazione di policy di accesso ai dati
Prima di creare una raccolta, hai la possibilità di visualizzare in anteprima le policy di accesso ai dati esistenti nel tuo account per vedere quali hanno un modello di risorse che corrisponde al nome della raccolta. La seguente [ListAccessPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListAccessPolicies.html)richiesta elenca tutte le politiche di accesso ai dati del tuo account:
```
aws opensearchserverless list-access-policies --type data
```
La richiesta restituisce informazioni su tutte le policy di accesso ai dati configurate. Per visualizzare le regole del modello definite in una politica specifica, trova le informazioni sulla politica nel contenuto dell'`accessPolicySummaries`elemento nella risposta. Prendi nota della `name` fine `type` di questa politica e utilizza queste proprietà in una [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)richiesta per ricevere una risposta con i seguenti dettagli della politica:
```
{
"accessPolicyDetails": [
{
"type": "data",
"name": "my-policy",
"policyVersion": "MTY2NDA1NDE4MDg1OF8x",
"description": "My policy",
"policy": "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]",
"createdDate": 1664054180858,
"lastModifiedDate": 1664054180858
}
]
}
```
Puoi includere filtri di risorse per limitare i risultati alle policy che contengono raccolte o indici specifici:
```
aws opensearchserverless list-access-policies --type data --resource "index/autopartsinventory/*"
```
Per visualizzare i dettagli su una politica specifica, utilizzare il [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)comando.
## Aggiornamento delle policy di accesso ai dati
Quando aggiorni una policy di accesso ai dati, vengono interessate anche tutte le altre raccolte associate. Per aggiornare una politica di accesso ai dati nella console OpenSearch Serverless, scegli **Controllo dell'accesso ai dati**, seleziona la politica da modificare e scegli **Modifica**. Apporta le modifiche necessarie, quindi scegli **Save** (Salva).
Per aggiornare una politica di accesso ai dati utilizzando l'API OpenSearch Serverless, invia una `UpdateAccessPolicy` richiesta. È necessario includere una versione della policy, che è possibile recuperare utilizzando i comandi `ListAccessPolicies` o `GetAccessPolicy`. L'inclusione della versione più recente delle policy garantisce di non sovrascrivere inavvertitamente una modifica apportata da qualcun altro.
La seguente [UpdateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccessPolicy.html)richiesta aggiorna una politica di accesso ai dati con un nuovo documento JSON di policy:
```
aws opensearchserverless update-access-policy \
--name sales-inventory \
--type data \
--policy-version MTY2NDA1NDE4MDg1OF8x \
--policy file://my-new-policy.json
```
Potrebbero verificarsi alcuni minuti di ritardo tra l'aggiornamento della policy e il momento in cui vengono applicate le nuove autorizzazioni.
## Eliminazione delle policy di accesso ai dati
Quando si elimina una policy di accesso ai dati, tutte le raccolte associate perdono l'accesso definito nella policy stessa. Prima di eliminare una policy, assicurati che i tuoi utenti IAM e SAML abbiano l'accesso appropriato alla raccolta. **Per eliminare una policy nella console OpenSearch Serverless, seleziona la policy e scegli Elimina.**
Puoi anche usare il [DeleteAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteAccessPolicy.html)comando:
```
aws opensearchserverless delete-access-policy --name my-policy --type data
```
## Accesso ai dati tra account
Sebbene non sia possibile creare una politica di accesso ai dati con identità o raccolte tra più account, puoi comunque configurare l'accesso su più account con l'opzione Assumi ruolo. Ad esempio, se `account-a` possiede una raccolta a cui `account-b` deve accedere, l'utente di `account-b` può assumere un ruolo in. `account-a` Il ruolo deve disporre delle autorizzazioni IAM `aoss:APIAccessAll` ed `aoss:DashboardsAccessAll` essere incluso nella politica di accesso ai dati su`account-a`.
# Accesso al piano dati tramite AWS PrivateLink
Amazon OpenSearch Serverless supporta due tipi di AWS PrivateLink connessioni per le operazioni sul piano di controllo e sul piano dati. Le operazioni del piano di controllo includono la creazione e l'eliminazione di raccolte e la gestione delle politiche di accesso. Le operazioni del piano dati servono per l'indicizzazione e l'interrogazione dei dati all'interno di una raccolta. Questa pagina descrive gli endpoint VPC del piano dati. Per informazioni sugli AWS PrivateLink endpoint del piano di controllo, vedere. [Controlla l'accesso al piano tramite AWS PrivateLink](serverless-vpc-cp.md)
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e Amazon OpenSearch Serverless. Puoi accedere a OpenSearch Serverless come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere a OpenSearch Serverless. Per ulteriori informazioni sull'accesso alla rete VPC, consulta [Modelli di connettività di rete per Amazon OpenSearch Serverless](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/).
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da specificare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a Serverless. OpenSearch
Per ulteriori informazioni, consulta la sezione [Accesso a Servizi AWS tramite AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) nella *Guida di AWS PrivateLink *.
**Topics**
+ [
## Risoluzione DNS degli endpoint di raccolta
](#vpc-endpoint-dnc)
+ [
## VPCs e politiche di accesso alla rete
](#vpc-endpoint-network)
+ [
## VPCs e politiche relative agli endpoint
](#vpc-endpoint-policy)
+ [
## Considerazioni
](#vpc-endpoint-considerations)
+ [
## Autorizzazioni richieste
](#serverless-vpc-permissions)
+ [
## Crea un endpoint di interfaccia per Serverless OpenSearch
](#serverless-vpc-create)
+ [
## Configurazione VPC condivisa per Amazon Serverless OpenSearch
](#shared-vpc-setup)
## Risoluzione DNS degli endpoint di raccolta
Quando crei un endpoint VPC del piano dati tramite la console OpenSearch Serverless, il servizio crea una nuova [zona ospitata Amazon Route 53 privata](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) e la collega al VPC. Questa zona ospitata privata è costituita da un record per risolvere il record DNS wildcard per le raccolte OpenSearch Serverless (`*.us-east-1.aoss.amazonaws.com`) negli indirizzi di interfaccia utilizzati per l'endpoint. È sufficiente un solo endpoint VPC OpenSearch serverless in un VPC per accedere a tutte le raccolte e i dashboard di ciascuno di essi. Regione AWS Ogni VPC con un endpoint per OpenSearch Serverless ha una propria zona ospitata privata collegata.
L'endpoint di interfaccia OpenSearch Serverless crea anche un record DNS wildcard pubblico di Route 53 per tutte le raccolte nella regione. Il nome DNS viene risolto negli indirizzi IP pubblici Serverless. OpenSearch I client VPCs che non dispongono di un endpoint VPC OpenSearch Serverless o i client in reti pubbliche possono utilizzare il resolver pubblico Route 53 e accedere alle raccolte e ai dashboard con tali indirizzi IP. [Il tipo di indirizzo IP (IPv4o Dualstack) dell'endpoint VPC viene determinato in base alle sottoreti fornite quando si crea un endpoint di interfaccia per Serverless. IPv6 OpenSearch ](#serverless-vpc-create)
**Nota**
OpenSearch Serverless crea una zona ospitata privata (``.opensearch.amazonaws.com``) Amazon Route 53 aggiuntiva per la risoluzione di qualsiasi dominio di OpenSearch servizio. Puoi aggiornare il tuo endpoint IPv4 VPC esistente a Dualstack utilizzando il comando in. [update-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/opensearchserverless/update-vpc-endpoint.html) AWS CLI
L'indirizzo del resolver DNS per un determinato VPC è il secondo indirizzo IP del VPC CIDR. Qualsiasi client nel VPC deve utilizzare quel resolver per ottenere l'indirizzo dell'endpoint VPC per qualsiasi raccolta. Il resolver utilizza una zona ospitata privata creata da Serverless. OpenSearch È sufficiente utilizzare quel resolver per tutte le raccolte di qualsiasi account. È anche possibile utilizzare il resolver VPC per alcuni endpoint di raccolta e il resolver pubblico per altri, sebbene in genere non sia necessario.
## VPCs e politiche di accesso alla rete
Per concedere le autorizzazioni di rete OpenSearch APIs e i dashboard per le tue raccolte, puoi utilizzare le policy di [accesso alla rete OpenSearch ](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-network.html) Serverless. Puoi controllare questo accesso alla rete dai tuoi endpoint VPC o dalla rete Internet pubblica. Poiché la policy di rete controlla solo le autorizzazioni relative al traffico, è necessario impostare anche una [policy di accesso ai dati](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-data-access.html) che specifichi l'autorizzazione a operare sui dati di una raccolta e sui relativi indici. Pensate a un endpoint VPC OpenSearch serverless come punto di accesso al servizio, a una policy di accesso alla rete come punto di accesso a livello di rete a raccolte e dashboard e a una politica di accesso ai dati come punto di accesso per il controllo granulare degli accessi per qualsiasi operazione sui dati della raccolta.
Poiché puoi specificare più endpoint VPC IDs in una policy di rete, ti consigliamo di creare un endpoint VPC per ogni VPC che deve accedere a una raccolta. Questi VPCs possono appartenere a AWS account diversi rispetto all'account che possiede la raccolta e la policy di rete OpenSearch Serverless. Non è consigliabile creare una soluzione di VPC-to-VPC peering o altra soluzione di proxy tra due account in modo che il VPC di un account possa utilizzare l'endpoint VPC di un altro account. Si tratta di una soluzione meno sicura ed economica rispetto a ogni VPC con il proprio endpoint. Il primo VPC non sarà facilmente visibile all'amministratore dell'altro VPC, che ha impostato l'accesso all'endpoint di quel VPC nella policy di rete.
## VPCs e politiche relative agli endpoint
Amazon OpenSearch Serverless supporta le policy degli endpoint per. VPCs Una policy per gli endpoint è una policy basata sulle risorse IAM che colleghi a un endpoint VPC per controllare quali AWS responsabili possono utilizzare l'endpoint per accedere al tuo servizio. AWS Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Per utilizzare una policy per gli endpoint, devi prima creare un endpoint di interfaccia. È possibile creare un endpoint di interfaccia utilizzando la console Serverless o l' OpenSearch API Serverless. OpenSearch Dopo aver creato l'endpoint di interfaccia, dovrai aggiungere la policy dell'endpoint all'endpoint. Per ulteriori informazioni, consulta [Crea un endpoint di interfaccia per Serverless OpenSearch](#serverless-vpc-create).
**Nota**
Non è possibile definire una policy per gli endpoint direttamente nella console di servizio. OpenSearch
Una policy per gli endpoint non sostituisce né sostituisce altre politiche basate sull'identità, politiche basate sulle risorse, politiche di rete o politiche di accesso ai dati che potresti aver configurato. Per ulteriori informazioni sull'aggiornamento delle policy degli endpoint, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Per impostazione predefinita, una policy per gli endpoint garantisce l'accesso completo all'endpoint VPC.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
Sebbene la policy degli endpoint VPC predefinita garantisca l'accesso completo agli endpoint, puoi configurare una policy degli endpoint VPC per consentire l'accesso a ruoli e utenti specifici. A tale scopo, consulta l'esempio seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"987654321098"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Puoi specificare una raccolta OpenSearch Serverless da includere come elemento condizionale nella tua policy degli endpoint VPC. A tale scopo, consulta l'esempio seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"coll-abc"
]
}
}
}
]
}
```
------
Il supporto per `aoss:CollectionId` è supportato.
```
Condition": {
"StringEquals": {
"aoss:CollectionId": "collection-id"
}
}
```
Puoi utilizzare le identità SAML nella tua policy degli endpoint VPC per determinare l'accesso agli endpoint VPC. È necessario utilizzare un carattere jolly `(*)` nella sezione principale della policy degli endpoint VPC. A tale scopo, consulta l'esempio seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
}
]
}
```
------
Inoltre, puoi configurare la tua policy sugli endpoint per includere una politica principale SAML specifica. A tale scopo, consulta quanto segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Department": [
"Engineering"]
}
}
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo dell'autenticazione SAML con Amazon OpenSearch Serverless, consulta Autenticazione [SAML per Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html) Serverless. OpenSearch
Puoi anche includere utenti IAM e SAML nella stessa policy degli endpoint VPC. A tale scopo, consulta l'esempio seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"saml:cn": [
"saml/111122223333/idp123/group/football",
"saml/111122223333/idp123/group/soccer",
"saml/111122223333/idp123/group/cricket"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": "*",
"Resource": "*"
}
]
}
```
------
Puoi anche accedere a una raccolta Amazon OpenSearch Serverless da Amazon EC2 tramite endpoint VPC di interfaccia. Per ulteriori informazioni, consulta [Accedere a una raccolta OpenSearch serverless da Amazon EC2 (tramite endpoint VPC di interfaccia)](https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/).
## Considerazioni
Prima di configurare un endpoint di interfaccia per OpenSearch Serverless, considera quanto segue:
+ OpenSearch Serverless supporta l'esecuzione di chiamate a tutte le [operazioni OpenSearch API supportate (non le operazioni](serverless-genref.md#serverless-operations) API di configurazione) tramite l'endpoint dell'interfaccia.
+ Dopo aver creato un endpoint di interfaccia per OpenSearch Serverless, è comunque necessario includerlo nelle [politiche di accesso alla rete per consentirgli di accedere alle](serverless-network.md) raccolte serverless.
+ Per impostazione predefinita, l'accesso completo a OpenSearch Serverless è consentito tramite l'endpoint dell'interfaccia. È possibile associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso OpenSearch Serverless attraverso l'endpoint dell'interfaccia.
+ Un singolo dispositivo Account AWS può avere un massimo di 50 endpoint VPC OpenSearch serverless.
+ Se abiliti l'accesso pubblico a Internet all'API o alle dashboard della tua raccolta in una politica di rete, la raccolta è accessibile da qualsiasi VPC e dalla rete Internet pubblica.
+ Se sei in locale e all'esterno del VPC, non puoi utilizzare direttamente un resolver DNS per OpenSearch la risoluzione degli endpoint VPC Serverless. Se hai bisogno di un accesso VPN, il VPC necessita di un resolver proxy DNS per l'utilizzo da parte di client esterni. Route 53 offre un'opzione di endpoint in entrata che puoi utilizzare per risolvere le query DNS sul tuo VPC dalla tua rete locale o da un altro VPC.
+ La zona ospitata privata che OpenSearch Serverless crea e collega al VPC è gestita dal servizio, ma compare nelle tue Amazon Route 53 risorse e viene fatturata sul tuo account.
+ Per altre considerazioni, consulta la sezione [Considerazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) nella *Guida AWS PrivateLink *.
## Autorizzazioni richieste
L'accesso VPC per OpenSearch Serverless utilizza le seguenti autorizzazioni AWS Identity and Access Management (IAM). È possibile specificare le condizioni IAM per limitare gli utenti a raccolte specifiche.
+ `aoss:CreateVpcEndpoint` - Creazione di un endpoint VPC.
+ `aoss:ListVpcEndpoints` - Elencazione di tutti gli endpoint VPC.
+ `aoss:BatchGetVpcEndpoint` - Visualizzazione dei dettagli su un sottoinsieme di endpoint VPC.
+ `aoss:UpdateVpcEndpoint` - Modifica di un endpoint VPC.
+ `aoss:DeleteVpcEndpoint` - Eliminazione di un endpoint VPC.
Inoltre, sono necessarie le seguenti autorizzazioni Amazon EC2 e Route 53 per creare un endpoint VPC.
+ `ec2:CreateTags`
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndPoints`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:DescribeVpcs`
+ `ec2:ModifyVpcEndPoint`
+ `route53:AssociateVPCWithHostedZone`
+ `route53:ChangeResourceRecordSets`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:GetChange`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZonesByVPC`
+ `route53:ListResourceRecordSets`
## Crea un endpoint di interfaccia per Serverless OpenSearch
Puoi creare un endpoint di interfaccia per OpenSearch Serverless utilizzando la console o l'API Serverless. OpenSearch
**Per creare un endpoint di interfaccia per una raccolta Serverless OpenSearch**
1. Apri la console Amazon OpenSearch Service a [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Nel pannello di navigazione a sinistra, espandi **Serverless** e seleziona **endpoint VPC**.
1. Scegli **Create VPC endpoint** (Crea endpoint VPC).
1. Fornisci un nome per l'endpoint.
1. Per **VPC**, seleziona il VPC da cui accederai Serverless. OpenSearch
1. Per le **sottoreti**, seleziona una sottorete da cui accederai a Serverless. OpenSearch
+ L'indirizzo IP e il tipo DNS dell'endpoint si basano sul tipo di sottorete
+ Dualstack: se tutte le sottoreti hanno entrambi gli intervalli di indirizzi IPv4 IPv6
+ IPv6: Se tutte le sottoreti sono solo sottoreti IPv6
+ IPv4: Se tutte le sottoreti hanno intervalli di indirizzi IPv4
1. Per **Security groups** (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. Questo è un passaggio fondamentale in cui limiti le porte, i protocolli e le fonti per il traffico in entrata che stai autorizzando verso il tuo endpoint. Assicurati che le regole del gruppo di sicurezza consentano alle risorse che utilizzeranno l'endpoint VPC di comunicare con OpenSearch Serverless di comunicare con l'interfaccia di rete dell'endpoint.
1. Seleziona **Crea endpoint**.
Per creare un endpoint VPC utilizzando l'API OpenSearch Serverless, usa il comando. `CreateVpcEndpoint`
**Nota**
Dopo aver creato un endpoint, annotane l'ID (ad esempio, `vpce-abc123def4EXAMPLE`). Per fornire all'endpoint l'accesso alle raccolte, è necessario includere questo ID in una o più policy di accesso alla rete.
Dopo aver creato un endpoint di interfaccia, è necessario fornirgli l'accesso alle raccolte tramite policy di accesso alla rete. Per ulteriori informazioni, consulta [Accesso alla rete per Amazon OpenSearch Serverless](serverless-network.md).
## Configurazione VPC condivisa per Amazon Serverless OpenSearch
Puoi utilizzare Amazon Virtual Private Cloud (VPC) per condividere sottoreti VPC con altri Account AWS membri dell'organizzazione, nonché condividere infrastrutture di rete come una VPN tra più risorse. Account AWS
Attualmente, Amazon OpenSearch Serverless non supporta la creazione di una AWS PrivateLink connessione a un VPC condiviso a meno che tu non sia il proprietario di quel VPC. AWS PrivateLink inoltre non supporta la condivisione di connessioni tra. Account AWS
Tuttavia, sulla base dell'architettura flessibile e modulare di OpenSearch Serverless, puoi comunque configurare un VPC condiviso. Questo perché l'infrastruttura di rete OpenSearch Serverless è separata da quella dell'infrastruttura di raccolta individuale (OpenSearch Service). È quindi possibile creare un AWS PrivateLink VPCe endpoint per un account in cui si trova un VPC e quindi utilizzare VPCe un ID nella politica di rete di altri account per limitare il traffico proveniente solo da quel VPC condiviso.
*Le seguenti procedure si riferiscono a un *account proprietario e a un account* consumatore.*
Un account proprietario funge da account di rete comune in cui è possibile configurare un VPC e condividerlo con altri account. Gli account consumer sono quegli account che creano e gestiscono le proprie raccolte OpenSearch Serverless nel VPC condiviso con loro dall'account proprietario.
**Prerequisiti**
Assicurati che siano soddisfatti i seguenti requisiti prima di configurare il VPC condiviso:
+ L'account proprietario desiderato deve aver già configurato un VPC, sottoreti, tabella di routing e altre risorse richieste in Amazon Virtual Private Cloud. Per ulteriori informazioni, consulta la *[Guida utente Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)*.
+ L'account proprietario e gli account consumer previsti devono appartenere alla stessa organizzazione in. AWS Organizations Per ulteriori informazioni, consulta la *Guida per l'utente [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/)*.
**Per configurare un VPC condiviso in un account di account/common rete proprietario.**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Segui la procedura riportata in [Crea un endpoint di interfaccia per Serverless OpenSearch](#serverless-vpc-create). Mentre lo fai, effettua le seguenti selezioni:
+ Seleziona un VPC e delle sottoreti condivise con gli account consumer della tua organizzazione.
1. Dopo aver creato l'endpoint, prendi nota dell' VPCe ID generato e forniscilo agli amministratori che devono eseguire l'attività di configurazione negli account consumer.
VPCe IDs sono nel formato. `vpce-abc123def4EXAMPLE`
**Per configurare un VPC condiviso in un account consumer**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Usa le informazioni [Gestione delle raccolte Amazon OpenSearch Serverless](serverless-manage.md) per creare una collezione, se non ne hai già una.
1. Usa le informazioni contenute [Creazione di policy di rete (console)](serverless-network.md#serverless-network-console) per creare una politica di rete. Mentre lo fai, effettua le seguenti selezioni.
**Nota**
A tale scopo è inoltre possibile aggiornare una politica di rete esistente.
1. Per **Tipo di accesso**, seleziona **VPC (consigliato)**.
1. Per gli **endpoint VPC per l'accesso**, scegli l' VPCe ID fornito dall'account proprietario, nel formato. `vpce-abc123def4EXAMPLE`
1. Nell'area **Tipo di risorsa, procedi** come segue:
+ Seleziona la casella **Abilita l'accesso all' OpenSearchendpoint**, quindi seleziona il nome o il modello di raccolta da utilizzare per abilitare l'accesso da quel VPC condiviso.
+ Seleziona la casella **Abilita l'accesso alla OpenSearch dashboard**, quindi seleziona il nome o il modello di raccolta da utilizzare per abilitare l'accesso da quel VPC condiviso.
1. Per una nuova politica, scegli **Crea**. Per una politica esistente, scegli **Aggiorna**.
# Controlla l'accesso al piano tramite AWS PrivateLink
Amazon OpenSearch Serverless supporta due tipi di AWS PrivateLink connessioni per le operazioni sul piano di controllo e sul piano dati. Le operazioni del piano di controllo includono la creazione e l'eliminazione di raccolte e la gestione delle politiche di accesso. Le operazioni sul piano dati servono per l'indicizzazione e l'interrogazione dei dati all'interno di una raccolta. Questa pagina copre l'endpoint del piano di controllo. AWS PrivateLink Per informazioni sugli endpoint VPC del piano dati, vedere. [Accesso al piano dati tramite AWS PrivateLink](serverless-vpc.md)
## Creazione di un endpoint del piano di controllo AWS PrivateLink
Puoi migliorare il livello di sicurezza del tuo VPC OpenSearch configurando Serverless per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da. AWS PrivateLink Questa tecnologia consente di accedere privatamente a OpenSearch Serverless APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect.
Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta la sezione Endpoint VPC [nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints).
### Considerazioni
+ Gli endpoint VPC sono supportati solo all'interno della stessa regione.
+ Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53.
+ Gli endpoint VPC supportano le policy degli endpoint per controllare l'accesso a OpenSearch Serverless Collections, Policies e. VpcEndpoints
+ OpenSearch Serverless supporta solo gli endpoint di interfaccia. Gli endpoint gateway non sono supportati.
### Creazione dell'endpoint VPC
*Per creare l'endpoint VPC del piano di controllo per Amazon OpenSearch Serverless, utilizza la [procedura Access an AWS service using an interface VPC endpoint nella Amazon VPC Developer Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint).* Crea il seguente endpoint:
+ `com.amazonaws.region.aoss`
**Per creare un endpoint VPC del piano di controllo utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, seleziona **Endpoints (Endpoint)**.
1. Scegliere **Create Endpoint** (Crea endpoint).
1. Per **Service category** (Categoria servizio), scegli **Servizi AWS**.
1. Per **Servizi, scegli**. `com.amazonaws.region.aoss` Ad esempio, `com.amazonaws.us-east-1.aoss`.
1. Per **VPC**, scegli un VPC in cui creare l'endpoint.
1. In **Subnets (Sottoreti)**, scegliere le sottoreti (zone di disponibilità) in cui creare le interfacce di rete degli endpoint.
1. Per **i gruppi di sicurezza**, scegli i gruppi di sicurezza da associare alle interfacce di rete degli endpoint. Assicurati che HTTPS (porta 443) sia consentito.
1. Per **Policy**, scegli **Accesso completo** per consentire tutte le operazioni oppure scegli **Personalizzato** per allegare una politica personalizzata.
1. Seleziona **Crea endpoint**.
### Creazione di una policy per gli endpoint
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso ad Amazon Serverless. OpenSearch La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Example Policy degli endpoint VPC per Serverless OpenSearch**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection"
],
"Resource": "*"
}
]
}
```
**Example Politica restrittiva che consente solo le operazioni di elenco**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "aoss:ListCollections",
"Resource": "*"
}
]
}
```
# Autenticazione SAML per Amazon Serverless OpenSearch
Con l'autenticazione SAML per Amazon OpenSearch Serverless, puoi utilizzare il tuo provider di identità esistente per offrire il Single Sign-On (SSO) per gli endpoint OpenSearch Dashboards delle raccolte serverless.
L'autenticazione SAML consente di utilizzare provider di identità di terze parti per accedere alle dashboard per indicizzare e cercare dati. OpenSearch OpenSearch Serverless supporta i provider che utilizzano lo standard SAML 2.0, come IAM Identity Center, Okta, Keycloak, Active Directory Federation Services (AD FS) e Auth0. Puoi configurare IAM Identity Center per sincronizzare utenti e gruppi da altre fonti di identità come Okta e Microsoft Entra ID. OneLogin Per un elenco delle fonti di identità supportate da IAM Identity Center e i passaggi per configurarle, consulta i [tutorial introduttivi](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) nella Guida per l'utente di *IAM Identity* Center.
**Nota**
L'autenticazione SAML serve solo per accedere alle OpenSearch dashboard tramite un browser web. Gli utenti autenticati possono effettuare richieste alle operazioni OpenSearch API solo tramite **Dev Tools** in Dashboards. OpenSearch Le tue credenziali SAML *non* ti consentono di effettuare richieste HTTP dirette alle operazioni API. OpenSearch
Per configurare l'autenticazione SAML, è necessario configurare prima un provider di identità (IdP) SAML. Quindi includi uno o più utenti di quell'IdP in una [policy di accesso ai dati](serverless-data-access.md). Questa politica concede determinate autorizzazioni per gli indici delle raccolte. and/or Un utente può quindi accedere alle OpenSearch dashboard ed eseguire le azioni consentite nella politica di accesso ai dati.
![\[SAML authentication flow with data access policy, OpenSearch interface, and JSON configuration.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/serverless-saml-flow.png)
**Topics**
+ [
## Considerazioni
](#serverless-saml-considerations)
+ [
## Autorizzazioni richieste
](#serverless-saml-permissions)
+ [
## Creazione di provider SAML (console)
](#serverless-saml-creating)
+ [
## Accesso ai pannelli OpenSearch di controllo
](#serverless-saml-dashboards)
+ [
## Concessione alle identità SAML dell'accesso ai dati della raccolta
](#serverless-saml-policies)
+ [
## Creazione di provider SAML (AWS CLI)
](#serverless-saml-creating-api)
+ [
## Visualizzazione di provider SAML
](#serverless-saml-viewing)
+ [
## Aggiornamento dei provider SAML
](#serverless-saml-updating)
+ [
## Eliminazione di provider SAML
](#serverless-saml-deleting)
## Considerazioni
Durante la configurazione dell'autenticazione SAML tieni presente quanto segue:
+ Le richieste firmate e crittografate non sono supportate.
+ Le asserzioni crittografate non sono supportate.
+ L'autenticazione e la disconnessione avviate dal'IdP non sono supportate.
+ Le policy di controllo dei servizi (SCP) non saranno applicabili o valutate nel caso di identità non IAM (come SAML in Amazon OpenSearch Serverless e SAML e l'autorizzazione utente interna di base per Amazon Service). OpenSearch
## Autorizzazioni richieste
L'autenticazione SAML per OpenSearch Serverless utilizza le seguenti autorizzazioni (IAM): AWS Identity and Access Management
+ `aoss:CreateSecurityConfig`: crea un provider SAML.
+ `aoss:ListSecurityConfig`: elenca tutti i provider SAML nell'account corrente.
+ `aoss:GetSecurityConfig`: visualizza le informazioni sul provider SAML.
+ `aoss:UpdateSecurityConfig`: modifica una determinata configurazione del provider SAML, inclusi i metadati XML.
+ `aoss:DeleteSecurityConfig`: elimina un provider SAML.
La seguente policy di accesso basata sull'identità consente a un utente di gestire tutte le configurazioni dell'IdP:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:CreateSecurityConfig",
"aoss:DeleteSecurityConfig",
"aoss:GetSecurityConfig",
"aoss:UpdateSecurityConfig",
"aoss:ListSecurityConfigs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Nota bene: l'elemento `Resource` deve essere un carattere jolly.
## Creazione di provider SAML (console)
Queste fasi spiegano come creare provider SAML. Ciò consente l'autenticazione SAML con l'autenticazione avviata dal provider di servizi (SP) per le dashboard. OpenSearch L'autenticazione avviata dall'IdP non è supportata.
**Per abilitare l'autenticazione SAML per le dashboard OpenSearch**
1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Nel pannello di navigazione a sinistra, espandi **Serverless** e scegli **SAML authentication** (Autenticazione SAML).
1. Scegli **Add SAML provider** (Aggiungi provider SAML).
1. Fornisci un nome e una descrizione per il provider.
**Nota**
Il nome specificato è accessibile pubblicamente e verrà visualizzato in un menu a discesa quando gli utenti accedono alle OpenSearch dashboard. Assicurati che il nome sia facilmente riconoscibile e non riveli informazioni sensibili sul tuo provider di identità.
1. In **Configure your IdP** (Configura il tuo IdP), copia l'URL Assertion consumer service (ACS).
1. Utilizza l'URL ACS che hai appena copiato per configurare il provider di identità. La terminologia e le fasi variano in base al provider. Consultare la documentazione del provider.
In Okta, ad esempio, crei una "applicazione Web SAML 2.0" e specifichi l'URL ACS come l'**URL di Single Sign-On**, l'**URL del destinatario** e l'**URL di destinazione**. **Per Auth0, lo specifichi in Allowed Callback. URLs**
1. Se il tuo IdP prevede un campo apposito, fornisci la restrizione per il pubblico. La restrizione per il pubblico è un valore all'interno dell'asserzione SAML che specifica a chi è destinata l'asserzione. Con OpenSearch Serverless, puoi fare quanto segue. Assicurati di sostituire il codice riportato *content* nel seguente esempio di codice con il tuo Account AWS ID:
1. Usa la restrizione `:opensearch:111122223333` predefinita per il pubblico.
1. (Facoltativo) configura una restrizione personalizzata per il pubblico utilizzando. AWS CLI Per ulteriori informazioni, consulta [Creazione di provider SAML (AWS CLI)](#serverless-saml-creating-api).
Il nome del campo della restrizione per il pubblico varia in base al provider. Per Okta è l'**URI del pubblico (ID entità SP)**. Per IAM Identity Center è il **pubblico SAML dell'applicazione**.
1. Se si utilizza IAM Identity Center, è necessario anche specificare la seguente [mappatura degli attributi](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html): `Subject=${user:name}`, con un formato `unspecified`.
1. Dopo aver configurato il provider di identità, viene generato un file di metadati IdP. Questo file XML contiene informazioni sul provider, ad esempio un certificato TLS, endpoint Single Sign-On e l'ID entità del provider di identità.
Copia il testo nel file di metadati dell'IdP e incollalo nel campo **Provide metadata from your IdP** (Fornisci metadati dal tuo IdP). In alternativa, scegliere **Importa da file XML** e caricare il file. Il file dei metadati dovrebbe avere un aspetto simile al seguente:
```
tls-certificate
s
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
```
1. Mantieni vuoto il campo dell'**attributo ID utente personalizzato** per utilizzare l'`NameID`elemento dell'asserzione SAML per il nome utente. Se l'asserzione non utilizza questo elemento standard e include invece il nome utente come attributo personalizzato, specificare tale attributo qui. Gli attributi rispettano la distinzione tra maiuscole e minuscole. È supportato solo un singolo attributo dell'utente.
L'esempio seguente mostra un attributo di sovrascrizione per `NameID` nell'asserzione SAML:
```
annie
```
1. (Facoltativo) Specifica un attributo personalizzato nel campo **Group attribute** (Attributo del gruppo), ad esempio `role` o `group`. È supportato solo un singolo attributo del gruppo. Non esiste un attributo del gruppo predefinito. Se non ne specifichi uno, le policy di accesso ai dati possono contenere solo utenti principali.
L'esempio seguente mostra un attributo del gruppo nell'asserzione SAML:
```
finance
```
1. Per impostazione predefinita, OpenSearch Dashboards disconnette gli utenti dopo 24 ore. **Puoi configurare questo valore su qualsiasi numero compreso tra 1 e 12 ore (15 e 720 minuti) specificando il timeout del OpenSearch pannello di controllo.** Se tenti di impostare il timeout uguale o inferiore a 15 minuti, la sessione verrà reimpostata a un'ora.
1. Scegli **Create SAML provider** (Crea provider SAML).
## Accesso ai pannelli OpenSearch di controllo
Dopo aver configurato un provider SAML, tutti gli utenti e i gruppi associati a tale provider possono accedere all'endpoint OpenSearch Dashboards. *L'URL Dashboards ha il formato `collection-endpoint/_dashboards/` per tutte le raccolte.*
Se hai abilitato SAML, selezionando il link in basso verrai Console di gestione AWS indirizzato alla pagina di selezione IdP, dove puoi accedere utilizzando le tue credenziali SAML. Innanzitutto, utilizza il menu a discesa per selezionare un provider di identità:
![\[OpenSearch login page with dropdown menu for selecting SAML Identity Provider options.\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/images/idpList.png)
Quindi accedi utilizzando le tue credenziali IdP.
Se non hai abilitato SAML, selezionando il link nelle Console di gestione AWS istruzioni potrai accedere come utente o ruolo IAM, senza alcuna opzione per SAML.
## Concessione alle identità SAML dell'accesso ai dati della raccolta
Dopo aver creato un provider SAML, è comunque necessario concedere agli utenti e ai gruppi sottostanti l'accesso ai dati all'interno delle raccolte. L'accesso viene concesso tramite le [policy di accesso ai dati](serverless-data-access.md). Finché non fornisci l'accesso agli utenti, questi non saranno in grado di leggere, scrivere o eliminare alcun dato contenuto nelle raccolte.
Per concedere l'accesso, crea una politica di accesso ai dati e specifica il tuo and/or gruppo IDs di utenti SAML nella dichiarazione: `Principal`
```
[
{
"Rules":[
...
],
"Principal":[
"saml/987654321098/myprovider/user/Shaheen",
"saml/987654321098/myprovider/group/finance"
]
}
]
```
Puoi concedere l'accesso a raccolte, a indici o a entrambi. Se desideri che utenti diversi dispongano di autorizzazioni diverse, crea più regole. Per un elenco di autorizzazioni disponibili, consulta la sezione [Supported policy permissions](serverless-data-access.md#serverless-data-supported-permissions) (Autorizzazioni di policy supportate). Per ulteriori informazioni sul formato di una policy di accesso, consulta la sezione [Policy syntax](serverless-data-access.md) (Sintassi della policy).
## Creazione di provider SAML (AWS CLI)
Per creare un provider SAML utilizzando l'API OpenSearch Serverless, invia una richiesta: [CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)
```
aws opensearchserverless create-security-config \
--name myprovider \
--type saml \
--saml-options file://saml-auth0.json
```
Specifica `saml-options`, inclusi i metadati XML, come una mappa chiave-valore all'interno di un file .json. I metadati XML devono essere codificati come [stringa con escape JSON](https://www.freeformatter.com/json-escape.html).
```
{
"sessionTimeout": 70,
"groupAttribute": "department",
"userAttribute": "userid",
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"metadata": "EntityDescriptor xmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ... ... ... IDPSSODescriptor\r\n\/EntityDescriptor"
}
```
**Nota**
(Facoltativo) configura una restrizione personalizzata per il pubblico utilizzando. AWS CLI Per ulteriori informazioni, consulta [Creazione di provider SAML (AWS CLI)](#serverless-saml-creating-api).
## Visualizzazione di provider SAML
La seguente [ListSecurityConfigs](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListSecurityConfigs.html)richiesta elenca tutti i provider SAML presenti nel tuo account:
```
aws opensearchserverless list-security-configs --type saml
```
La richiesta restituisce informazioni su tutti i provider SAML esistenti, inclusi i metadati completi dell'IdP generati dal provider di identità:
```
{
"securityConfigDetails": [
{
"configVersion": "MTY2NDA1MjY4NDQ5M18x",
"createdDate": 1664054180858,
"description": "Example SAML provider",
"id": "saml/111122223333/myprovider",
"lastModifiedDate": 1664054180858,
"samlOptions": {
"groupAttribute": "department",
"metadata": "EntityDescriptorxmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" ...... ...IDPSSODescriptor\r\n/EntityDescriptor",
"sessionTimeout": 120,
"openSearchServerlessEntityId": "aws:opensearch:111122223333:app1",
"userAttribute": "userid"
}
}
]
}
```
Per visualizzare i dettagli su un provider specifico, inclusa la `configVersion` per gli aggiornamenti futuri, invia una richiesta `GetSecurityConfig`.
## Aggiornamento dei provider SAML
**Per aggiornare un provider SAML utilizzando la console OpenSearch Serverless, scegli l'**autenticazione SAML**, seleziona il tuo provider di identità e scegli Modifica.** Puoi modificare tutti i campi, inclusi i metadati e gli attributi personalizzati.
Per aggiornare un provider tramite l'API OpenSearch Serverless, invia una [UpdateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateSecurityConfig.html)richiesta e includi l'identificatore della politica da aggiornare. Inoltre, è necessario includere una versione di configurazione, che è possibile recuperare utilizzando i comandi `ListSecurityConfigs` o `GetSecurityConfig`. L'inclusione della versione più recente garantisce di non sovrascrivere inavvertitamente una modifica apportata da qualcun altro.
La seguente richiesta aggiorna le opzioni SAML per un provider:
```
aws opensearchserverless update-security-config \
--id saml/123456789012/myprovider \
--type saml \
--saml-options file://saml-auth0.json \
--config-version MTY2NDA1MjY4NDQ5M18x
```
Specifica le opzioni di configurazione SAML come mappa chiave-valore all'interno di un file .json.
**Importante**
**Gli aggiornamenti alle opzioni SAML *non* sono incrementali**. Se non si specifica un valore per un parametro nell'oggetto `SAMLOptions` quando si effettua un aggiornamento, i valori esistenti verranno sostituiti da valori vuoti. Ad esempio, se la configurazione corrente contiene un valore per `userAttribute`, e poi si effettua un aggiornamento e non lo si include, il valore viene rimosso dalla configurazione. Prima di effettuare un aggiornamento, assicurati di conoscere i valori esistenti richiamando l'operazione `GetSecurityConfig`.
## Eliminazione di provider SAML
Quando elimini un provider SAML, qualsiasi riferimento a utenti e gruppi associati nelle policy di accesso ai dati non è più funzionale. Per evitare confusione, nelle policy di accesso ti suggeriamo di rimuovere tutti i riferimenti all'endpoint prima di eliminarlo.
**Per eliminare un provider SAML utilizzando la console OpenSearch Serverless, scegli **Autenticazione**, seleziona il provider e scegli Elimina.**
Per eliminare un provider tramite l'API OpenSearch Serverless, invia una richiesta: [DeleteSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteSecurityConfig.html)
```
aws opensearchserverless delete-security-config --id saml/123456789012/myprovider
```
# Convalida della conformità per Amazon Serverless OpenSearch
Revisori di terze parti valutano la sicurezza e la conformità di Amazon OpenSearch Serverless nell'ambito di diversi programmi di AWS conformità. Questi programmi includono SOC, PCI e HIPAA.
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).