IAM アイデンティティセンターによる OpenSearch に対する信頼できる ID の伝達のサポート - Amazon OpenSearch Service
考慮事項ドメインアクセスポリシーの変更IAM アイデンティティセンターの認証と認可の設定 (コンソール)きめ細かなアクセスコントロールの設定IAM アイデンティティセンターの認証と認可の設定 (CLI)ドメインでの IAM アイデンティティセンター認証の無効化

IAM アイデンティティセンターによる OpenSearch に対する信頼できる ID の伝達のサポート

一元的に構成された AWS IAM アイデンティティセンターのプリンシパル (ユーザーとグループ) を、信頼されている ID の伝達を介して OpenSearch Service アプリケーションから Amazon OpenSearch Service ドメインにアクセスするために使用できるようになりました。OpenSearch の IAM アイデンティティセンターのサポートを有効にするには、IAM アイデンティティセンターの使用を有効にする必要があります。これを行う方法の詳細については、「What is IAM Identity Center?」を参照してください。その他の詳細については、「How to associate OpenSearch domain as datasource in OpenSearch applications?」を参照してください。

OpenSearch Service コンソール、AWS Command Line Interface (AWS CLI)、または AWS SDK を使用して、IAM アイデンティティセンターを設定できます。

注記

IAM アイデンティティセンタープリンシパルは ダッシュボード (クラスターと共存) ではサポートされていません。これらは、一元化された OpenSearch ユーザーインターフェイス (ダッシュボード) でのみサポートされています。

考慮事項

Amazon OpenSearch Service で IAM アイデンティティセンターを使用する前に、以下をチェックする必要があります。

  • IAM アイデンティティセンターがアカウントで有効になっている。

  • ご利用のリージョンで IAM アイデンティティセンターが利用可能である。

  • OpenSearch のドメインバージョンは 1.3 以降である。

  • きめ細かなアクセスコントロールがドメインで有効になっている。

  • ドメインは IAM アイデンティティセンターインスタンスと同じリージョンにある。

  • ドメインと OpenSearch アプリケーションは同じ AWS アカウントに属している。

ドメインアクセスポリシーの変更

IAM アイデンティティセンターを設定する前に、ドメインアクセスポリシーまたは OpenSearch アプリケーションで設定された IAM ロールのアクセス許可を、信頼できる ID の伝達用に更新する必要があります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}

IAM アイデンティティセンターの認証と認可の設定 (コンソール)

ドメイン作成プロセス時、または既存のドメインを更新することで、IAM アイデンティティセンターの認証と認可を有効にすることができます。セットアップ手順は、選択するオプションに応じて若干異なります。

次の手順では、Amazon OpenSearch Service コンソールで IAM アイデンティティセンターの認証と許可用に既存のドメインを設定する方法について説明します。

  1. [ドメイン設定]で、[セキュリティ設定] に移動し、[編集] を選択して IAM アイデンティティセンター認証セクションに移動し、[IAM アイデンティティセンターで認証された API アクセスを有効にする] を選択します。

  2. 次のようにサブジェクトキーとロールキーを選択します。

    • [サブジェクトキー] – UserId (デフォルト)、UserName、E メールのいずれかを選択して、対応する属性をドメインにアクセスするプリンシパルとして使用します。

    • [ロールキー] – IdC プリンシパルに関連付けられたすべてのグループについて、GroupId (デフォルト) と GroupName のいずれかを選択して、対応する属性値を fine-grained-access-control のバックエンドロールとして使用します。

変更を行ったら、ドメインを保存します。

きめ細かなアクセスコントロールの設定

OpenSearch ドメインで IAM アイデンティティセンターオプションを有効にしたら、バックエンドロールへのロールマッピングを作成して、IAM アイデンティティセンタープリンシパルへのアクセスを設定できます。プリンシパルのバックエンドロール値は、IdC プリンシパルのグループメンバーシップと GroupId または GroupName の RolesKey 設定に基づいています。

注記

Amazon OpenSearch Service は、単一のユーザーに対して最大 100 グループをサポートします。許可されたインスタンスの数を超えて使用しようとすると、きめ細かなアクセスコントロールの認可処理に不整合が発生し、403 エラーメッセージが表示されます。

IAM アイデンティティセンターの認証と認可の設定 (CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

ドメインでの IAM アイデンティティセンター認証の無効化

OpenSearch ドメインで IAM アイデンティティセンターを無効にするには

  1. ドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。

  2. [IAM アイデンティティセンターで認証された API アクセスを有効にする] のチェックを外します。

  3. [Save changes] (変更の保存) をクリックします。

  4. ドメインの処理が完了したら、IdC プリンシパルに追加されたロールマッピングを削除します。

CLI を使用して IAM アイデンティティセンターを無効にするには、以下を使用できます。


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'