翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM アイデンティティセンターによる OpenSearch に対する信頼できる ID の伝達のサポート
[ Trusted Identity Propagation](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) を介して一元的に設定された AWS IAM Identity Center プリンシパル (ユーザーとグループ) を使用して、OpenSearch Service アプリケーション を介して Amazon OpenSearch [ OpenSearch](application.md)ドメインにアクセスできるようになりました。OpenSearch の IAM アイデンティティセンターのサポートを有効にするには、IAM アイデンティティセンターの使用を有効にする必要があります。これを行う方法の詳細については、「[What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。その他の詳細については、「[How to associate OpenSearch domain as datasource in OpenSearch applications?](application.md)」を参照してください。
OpenSearch Service コンソール、 AWS Command Line Interface (AWS CLI)、または AWS SDKs を使用して、IAM Identity Center を設定できます。
**注記**
IAM アイデンティティセンタープリンシパルは [ダッシュボード (クラスターと共存)](dashboards.md) ではサポートされていません。これらは、[一元化された OpenSearch ユーザーインターフェイス (ダッシュボード)](application.md) でのみサポートされています。
## 考慮事項
Amazon OpenSearch Service で IAM アイデンティティセンターを使用する前に、以下をチェックする必要があります。
+ IAM アイデンティティセンターがアカウントで有効になっている。
+ ご利用の[リージョン](opensearch-ui-endpoints-quotas.md)で IAM アイデンティティセンターが利用可能である。
+ OpenSearch のドメインバージョンは 1.3 以降である。
+ [きめ細かなアクセスコントロール](fgac.md)がドメインで有効になっている。
+ ドメインは IAM アイデンティティセンターインスタンスと同じリージョンにある。
+ ドメインと [OpenSearch アプリケーション](application.md)は同じ AWS アカウントに属します。
## ドメインアクセスポリシーの変更
IAM アイデンティティセンターを設定する前に、ドメインアクセスポリシーまたは OpenSearch アプリケーションで設定された IAM ロールのアクセス許可を、信頼できる ID の伝達用に更新する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
}
]
}
```
------
## IAM アイデンティティセンターの認証と認可の設定 (コンソール)
ドメイン作成プロセス時、または既存のドメインを更新することで、IAM アイデンティティセンターの認証と認可を有効にすることができます。セットアップ手順は、選択するオプションに応じて若干異なります。
次の手順では、Amazon OpenSearch Service コンソールで IAM アイデンティティセンターの認証と許可用に既存のドメインを設定する方法について説明します。
1. **[ドメイン設定]**で、**[セキュリティ設定]** に移動し、[編集] を選択して IAM アイデンティティセンター認証セクションに移動し、**[IAM アイデンティティセンターで認証された API アクセスを有効にする]** を選択します。
1. 次のようにサブジェクトキーとロールキーを選択します。
+ **[サブジェクトキー]** – UserId (デフォルト)、UserName、E メールのいずれかを選択して、対応する属性をドメインにアクセスするプリンシパルとして使用します。
+ **ロールキー** - GroupId (デフォルト) と GroupName のいずれかを選択して、対応する属性値を IAM アイデンティティセンタープリンシパルに関連付けられたすべてのグループの[fine-grained-access-control](fgac.md)のバックエンドロールとして使用します。
変更を行ったら、ドメインを保存します。
## きめ細かなアクセスコントロールの設定
OpenSearch ドメインで IAM アイデンティティセンターオプションを有効にしたら、[**バックエンドロール**へのロールマッピングを作成](fgac.md#fgac-mapping)して、IAM アイデンティティセンタープリンシパルへのアクセスを設定できます。プリンシパルのバックエンドロール値は、IAM Identity Center プリンシパルのグループメンバーシップとGroupId または GroupName の RolesKey 設定に基づいています。
**注記**
Amazon OpenSearch Service は、単一のユーザーに対して最大 **100 グループ**をサポートします。許可されたインスタンスの数を超えて使用しようとすると、きめ細かなアクセスコントロールの認可処理に不整合が発生し、403 エラーメッセージが表示されます。
## IAM アイデンティティセンターの認証と認可の設定 (CLI)
```
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn", "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
```
## ドメインでの IAM アイデンティティセンター認証の無効化
OpenSearch ドメインで IAM アイデンティティセンターを無効にするには
1. ドメインを選択し、[**アクション**] から [**セキュリティ設定の編集**] を選択します。
1. **[IAM アイデンティティセンターで認証された API アクセスを有効にする]** のチェックを外します。
1. **[Save changes]** (変更の保存) をクリックします。
1. ドメインの処理が完了したら、IAM Identity Center プリンシパルに追加された[ロールマッピング](fgac.md)を削除します。
CLI を使用して IAM アイデンティティセンターを無効にするには、以下を使用できます。
```
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": false}'
```