OpenSearch를 위한 IAM Identity Center의 신뢰할 수 있는 ID 전파 지원 - Amazon OpenSearch Service
고려 사항도메인 액세스 정책 수정IAM Identity Center 인증 및 권한 부여 구성(콘솔)세분화된 액세스 제어 구성IAM Identity Center 인증 및 권한 부여 구성(CLI)도메인에서 IAM Identity Center 인증 비활성화

OpenSearch를 위한 IAM Identity Center의 신뢰할 수 있는 ID 전파 지원

이제 OpenSearch Service 애플리케이션을 통해 Amazon OpenSearch Service 도메인에 액세스하도록 신뢰할 수 있는 ID 전파를 통해 AWS IAM Identity Center 위탁자(사용자 및 그룹)를 중앙에서 구성할 수 있습니다. OpenSearch에 대한 IAM Identity Center 지원을 활성화하려면 IAM Identity Center 사용을 활성화해야 합니다. 이 방법을 자세히 알아보려면 IAM Identity Center란 무엇인가요?를 참조하세요. 자세한 내용은 OpenSearch 도메인을 OpenSearch 애플리케이션의 데이터 소스로 연결하는 방법을 참조하세요.

OpenSearch Service 콘솔, AWS Command Line Interface(AWS CLI) 또는 AWS SDK를 사용하여 IAM Identity Center를 구성할 수 있습니다.

참고

IAM Identity Center 위탁자는 Dashboards (클러스터와 코로케이션됨)를 통해 지원되지 않습니다. 중앙 집중식 OpenSearch 사용자 인터페이스(Dashboards)를 통해서만 지원됩니다.

고려 사항

Amazon OpenSearch Service에서 IAM Identity Center를 사용하기 전에 다음을 고려해야 합니다.

  • IAM Identity Center가 계정에 활성화되어 있습니다.

  • 해당 리전에서 IAM Identity Center를 사용할 수 있습니다.

  • OpenSearch 도메인 버전이 1.3 이상입니다.

  • 도메인에 세분화된 액세스 제어가 활성화되어 있습니다.

  • 도메인이 IAM Identity Center 인스턴스와 동일한 리전에 있습니다.

  • 도메인과 OpenSearch 애플리케이션이 동일한 AWS 계정에 속합니다.

도메인 액세스 정책 수정

IAM Identity Center를 구성하기 전에 신뢰할 수 있는 자격 증명 전파를 위해 OpenSearch 애플리케이션에 구성된 IAM 역할의 권한 또는 도메인 액세스 정책을 업데이트해야 합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}

IAM Identity Center 인증 및 권한 부여 구성(콘솔)

도메인 생성 프로세스 중에 또는 기존 도메인을 업데이트하여 IAM Identity Center 인증 및 권한 부여를 활성화할 수 있습니다. 설정 단계는 선택 사항에 따라 약간 다릅니다.

다음 단계에서는 Amazon OpenSearch Service 콘솔에서 IAM Identity Center 인증 및 권한 부여를 위해 기존 도메인을 구성하는 방법을 설명합니다.

  1. 도메인 구성에서 보안 구성으로 이동하여 편집을 선택하고 IAM Identity Center 인증 섹션으로 이동한 다음 IAM Identity Center로 인증된 API 액세스 활성화를 선택합니다.

  2. 다음과 같이 SubjectKey와 역할 키를 선택합니다.

    • 제목 키 - 해당 속성을 도메인에 액세스하는 위탁자로 사용하려면 UserId(기본값), UserName 및 Email 중 하나를 선택합니다.

    • 역할 키 - GroupId(기본값) 및 GroupName 중 하나를 선택하여 해당 속성 값을 IdC 위탁자와 연결된 모든 그룹의 fine-grained-access-control에 대한 백엔드 역할로 사용합니다.

변경한 후에 도메인을 저장합니다.

세분화된 액세스 제어 구성

OpenSearch 도메인에서 IAM Identity Center 옵션을 활성화한 후에는 백엔드 역할에 대한 역할 매핑을 생성하여 IAM Identity Center 위탁자에 대한 액세스를 구성할 수 있습니다. 위탁자의 백엔드 역할 값은 IdC 위탁자의 그룹 멤버십과 GroupId 또는 GroupName의 RolesKey 구성을 기반으로 합니다.

참고

Amazon OpenSearch Service는 단일 사용자에 대해 최대 100개의 그룹을 지원할 수 있습니다. 허용된 인스턴스 수를 초과하여 사용하려고 하면 fine-grained-access-control 권한 부여 처리와이 불일치가 발생하여 403 오류 메시지가 표시됩니다.

IAM Identity Center 인증 및 권한 부여 구성(CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

도메인에서 IAM Identity Center 인증 비활성화

OpenSearch 도메인에서 IAM Identity Center를 비활성화하려면

  1. 도메인을 선택하고 [작업(Actions)], [보안 구성 편집(Edit security configuration)]을 선택합니다.

  2. IAM Identity Center로 인증된 API 액세스 활성화를 선택 취소합니다.

  3. 변경 사항 저장을 선택합니다.

  4. 도메인 처리가 완료되면 IdC 위탁자에 대해 추가된 역할 매핑을 제거합니다.

CLI를 통해 IAM Identity Center를 비활성화하려면 다음을 사용합니다.


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'