기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon OpenSearch Serverless에 대한 IAM Identity Center 지원
<a name="serverless-iam-identity-center"></a>

## Amazon OpenSearch Serverless에 대한 IAM Identity Center 지원
<a name="serverless-iam-identity-support"></a>

IAM Identity Center 위탁자(사용자 및 그룹)를 사용하여 Amazon OpenSearch 애플리케이션을 통해 Amazon OpenSearch Serverless 데이터에 액세스할 수 있습니다. Amazon OpenSearch Serverless에 대한 IAM Identity Center 지원을 활성화하려면 IAM Identity Center 사용을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [IAM Identity Center란 무엇인가요?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요.

**참고**  
IAM Identity Center 사용자 또는 그룹을 사용하여 Amazon OpenSearch Serverless 컬렉션에 액세스하려면 OpenSearch UI(애플리케이션) 기능을 사용해야 합니다. IAM Identity Center 자격 증명을 사용하여 OpenSearch Serverless Dashboards에 직접 액세스할 수 없습니다. 자세한 내용은 [ OpenSearch 사용자 인터페이스 시작하기를 참조하세요](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).

IAM Identity Center 인스턴스가 생성된 후 고객 계정 관리자는 Amazon OpenSearch Serverless 서비스용 IAM Identity Center 애플리케이션을 생성해야 합니다. [CreateSecurityConfig:](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html)를 직접적으로 호출하여 이 작업을 수행할 수 있습니다. 고객 계정 관리자는 요청 권한 부여에 사용할 속성을 지정할 수 있습니다. 사용되는 기본 속성은 `UserId` 및 `GroupId.`입니다.

Amazon OpenSearch Serverless용 IAM Identity Center 통합은 다음 AWS IAM Identity Center(IAM) 권한을 사용합니다.
+ `aoss:CreateSecurityConfig` – IAM Identity Center 공급자를 생성합니다.
+ `aoss:ListSecurityConfig` – 현재 계정의 모든 IAM Identity Center 공급자를 나열합니다.
+ `aoss:GetSecurityConfig` - IAM Identity Center 공급자 정보를 봅니다.
+ `aoss:UpdateSecurityConfig` - 지정된 IAM Identity Center 구성을 수정합니다.
+ `aoss:DeleteSecurityConfig` – IAM Identity Center 신뢰 공급자를 삭제합니다.

다음 자격 증명 기반 액세스 정책을 사용하여 모든 IAM Identity Center 구성을 관리할 수 있습니다.

------
#### [ JSON ]

****  

```
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**참고**  
`Resource` 요소는 와일드카드여야 합니ㅏㄷ.

## IAM Identity Center 공급자 생성(콘솔)
<a name="serverless-iam-console"></a>

IAM Identity Center 공급자를 생성하여 OpenSearch 애플리케이션에 대한 인증을 활성화할 수 있습니다. OpenSearch Dashboards에 대한 IAM Identity Center 인증을 활성화하려면 다음 단계를 수행합니다.

1. [Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home.) 콘솔에 로그인합니다.

1. 왼쪽 탐색 패널에서 **서버리스**를 확장하고 **인증**을 선택합니다.

1. **IAM Identity Center 인증**을 선택합니다.

1. **편집**을 선택합니다.

1. IAM Identity Center로 인증 옆의 확인란을 선택합니다.

1. 드롭다운 메뉴에서 **사용자 및 그룹** 속성 키를 선택합니다. 사용자 속성은 `UserName`, `UserId` 및 `Email`을 기반으로 사용자에게 권한을 부여하는 데 사용됩니다. 그룹 속성은 `GroupName` 및 `GroupId`를 기반으로 사용자를 인증하는 데 사용됩니다.

1. **IAM Identity Center** 인스턴스를 선택합니다.

1. **저장**을 선택합니다.

## IAM Identity Center 공급자 생성(AWS CLI)
<a name="serverless-iam-identity-center-cli"></a>

 AWS Command Line Interface (AWS CLI)를 사용하여 IAM Identity Center 공급자를 생성하려면 다음 명령을 사용합니다.

```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'
```

IAM Identity Center가 활성화되고 나면 고객은 **사용자 및 그룹** 속성만 수정할 수 있습니다.

```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'
```

를 사용하여 IAM Identity Center 공급자를 보려면 다음 명령을 AWS Command Line Interface사용합니다.

```
aws opensearchserverless list-security-configs --type iamidentitycenter
```

## IAM Identity Center 공급자 삭제
<a name="serverless-iam-identity-center-deleting"></a>

 IAM Identity Center는 2개의 공급자 인스턴스를 제공합니다. 그중 하나는 조직 계정용이고 다른 하나는 멤버 계정용입니다. IAM Identity Center 인스턴스를 변경해야 하는 경우 `DeleteSecurityConfig` API를 통해 보안 구성을 삭제하고 새 IAM Identity Center 인스턴스를 사용하여 새 보안 구성을 생성해야 합니다. 다음 명령을 사용하여 IAM Identity Center 공급자를 삭제할 수 있습니다.

```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>
```

## IAM Identity Center에 컬렉션 데이터에 대한 액세스 권한 부여
<a name="serverless-iam-identity-center-collection-data"></a>

IAM Identity Center 공급자가 활성화되고 나면 IAM Identity Center 위탁자를 포함하도록 컬렉션 데이터 액세스 정책을 업데이트할 수 있습니다. IAM Identity Center 위탁자를 다음 형식으로 업데이트해야 합니다.

```
[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
```

**참고**  
Amazon OpenSearch Serverless는 모든 고객 컬렉션에 대해 하나의 IAM Identity Center 인스턴스만 지원하며, 단일 사용자에 대해 최대 100개의 그룹을 지원할 수 있습니다. 허용된 인스턴스 수를 초과하여 사용하려고 하면 데이터 액세스 정책 권한 부여 처리에 불일치가 발생하여 `403` 오류 메시지가 표시됩니다.

컬렉션, 인덱스 또는 둘 다에 대한 액세스 권한을 부여할 수 있습니다. 사용자마다 다른 권한을 가지게 하려면 규칙을 여러 개 만들어야 합니다. 사용 가능한 권한 목록은 [Amazon OpenSearch Service의 Identity and Access Management](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html)를 참조하세요. 액세스 정책의 형식을 지정하는 방법에 대한 자세한 내용은 [컬렉션 데이터에 대한 SAML 자격 증명 액세스 권한 부여](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies)를 참조하세요.