Compatibilidade da Propagação de identidades confiáveis do IAM Identity Center para o OpenSearch - Amazon OpenSearch Service
ConsideraçõesModificar a política de acesso ao domínioConfigurar autenticação e autorização do IAM Identity Center (console)Habilitar o controle de acesso refinadoConfigurar autenticação e autorização do IAM Identity Center (CLI)Desabilitar a autenticação do IAM Identity Center no domínio

Compatibilidade da Propagação de identidades confiáveis do IAM Identity Center para o OpenSearch

Agora é possível configurar centralmente as entidades principais (usuários e grupos) do AWS IAM Identity Center por meio da Propagação de identidades confiáveis para acessar os domínios do Amazon OpenSearch Service por meio das aplicações do OpenSearch Service. Para habilitar a compatibilidade do IAM Identity Center com o OpenSearch, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity Center?. Consulte Como associar um domínio do OpenSearch como fonte de dados em aplicações do OpenSearch? para obter mais detalhes.

Você pode configurar o IAM Identity Center usando o console do OpenSearch Service, a AWS Command Line Interface (AWS CLI) ou os SDKs da AWS.

nota

As entidades principais do IAM Identity Center não são compatíveis com Dashboards (no mesmo local do cluster). Eles são compatíveis apenas com a interface de usuário centralizada do OpenSearch (Dashboards).

Considerações

Antes de usar o IAM Identity Center com o Amazon OpenSearch Service, você deve considerar o seguinte:

  • O IAM Identity está habilitado na conta.

  • O IAM Identity Center está disponível na sua região.

  • A versão do domínio do OpenSearch é a 1.3 ou posterior.

  • O controle de acesso refinado está habilitado no domínio.

  • O domínio está na mesma região que a instância do IAM Identity Center.

  • O domínio e a aplicação do OpenSearch pertencem à mesma conta da AWS.

Modificar a política de acesso ao domínio

Antes de configurar o IAM Identity Center, você deve atualizar a política de acesso ao domínio ou as permissões do perfil do IAM configurada nas aplicações do OpenSearch para Propagação de identidades confiáveis.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}

Configurar autenticação e autorização do IAM Identity Center (console)

Você pode habilitar a autenticação e a autorização do IAM Identity Center durante o processo de criação do domínio ou atualizando um domínio existente. As etapas de configuração variam um pouco, dependendo de qual opção você escolher.

As etapas a seguir explicam como configurar um domínio existente para autenticação e autorização do IAM Identity Center no console do Amazon OpenSearch Service:

  1. Em Configuração do domínio, navegue até Configuração de segurança, escolha Editar e vá até a seção Autenticação do IAM Identity Center e selecione Habilitar acesso de API autenticado com o IAM Identity Center.

  2. Selecione as chaves SubjectKey e Roles como se segue.

    • Chave Subject: escolha entre UserId (padrão), UserName e Email para usar o atributo correspondente como entidade principal acessando o domínio.

    • Chave Roles: escolha uma entre GroupID (padrão) e GroupName para usar os valores de atributos correspondentes como perfil de backend para fine-grained-access-control para todos os grupos associados à entidade principal do IdC.

Depois de fazer as alterações, salve o seu domínio.

Habilitar o controle de acesso refinado

Depois de habilitar a opção IAM Identity Center no domínio do OpenSearch, você pode configurar o acesso às entidades principais do IAM Identity Center criando um mapeamento de perfis para o perfil de backend. O valor do perfil de backend para a entidade principal é baseado na associação ao grupo da entidade principal do IdC e na configuração de RolesKey de GroupID ou GroupName.

nota

O Amazon OpenSearch Service aceita até 100 grupos para um único usuário. Se tentar usar mais que o número permitido de instâncias, você terá enfrentará inconsistência com seu processamento de autorização de fine-grained-access-control e receberá uma mensagem de erro 403.

Configurar autenticação e autorização do IAM Identity Center (CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Desabilitar a autenticação do IAM Identity Center no domínio

Para desabilitar o IAM Identity Center em seu domínio do OpenSearch:

  1. Escolha o domínio, Ações, e Editar configuração de segurança.

  2. Desmarque a Habilitar acesso de API autenticado com o IAM Identity Center.

  3. Escolha Salvar alterações.

  4. Após o processamento do domínio terminar, remova os mapeamentos de perfis adicionados para as entidades principais do IdC

Para desabilitar o IAM Identity Center usando a CLI, você pode usar o que o procedimento a seguir


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'