As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Suporte confiável de propagação de identidade do IAM Identity Center para OpenSearch
<a name="idc-aos"></a>

 [Agora você pode usar os diretores AWS do IAM Identity Center configurados centralmente (usuários e grupos) por meio do [Trusted Identity Propagation](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) para acessar os domínios do Amazon OpenSearch Service por meio de aplicativos de serviço. OpenSearch ](application.md) Para habilitar o suporte do IAM Identity Center OpenSearch, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) . Consulte [Como associar OpenSearch domínio como fonte de dados em OpenSearch aplicativos](application.md)? para obter detalhes. 

Você pode configurar o IAM Identity Center usando o console de OpenSearch serviço, o AWS Command Line Interface (AWS CLI) ou AWS SDKs o.

**nota**  
As entidades principais do IAM Identity Center não são compatíveis com [Dashboards (no mesmo local do cluster)](dashboards.md). Eles só são suportados por meio de [uma interface de OpenSearch usuário centralizada (painéis)](application.md). 

## Considerações
<a name="idc-considerations"></a>

Antes de usar o IAM Identity Center com o Amazon OpenSearch Service, você deve considerar o seguinte:
+ O IAM Identity está habilitado na conta.
+ O IAM Identity Center está disponível na sua [região](opensearch-ui-endpoints-quotas.md).
+ A versão do OpenSearch domínio é 1.3 ou posterior.
+ O [controle de acesso refinado](fgac.md) está habilitado no domínio.
+ O domínio está na mesma região que a instância do IAM Identity Center.
+ O domínio e o [OpenSearch aplicativo](application.md) pertencem à mesma AWS conta.

## Modificar a política de acesso ao domínio
<a name="idc-domain-access"></a>

Antes de configurar o IAM Identity Center, você deve atualizar a política de acesso ao domínio ou as permissões da função do IAM configurada nos OpenSearch aplicativos para o Trusted Identity Propagation.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}
```

------

## Configurar autenticação e autorização do IAM Identity Center (console)
<a name="idc-configure-console"></a>

Você pode habilitar a autenticação e a autorização do IAM Identity Center durante o processo de criação do domínio ou atualizando um domínio existente. As etapas de configuração variam um pouco, dependendo de qual opção você escolher. 

As etapas a seguir explicam como configurar um domínio existente para autenticação e autorização do IAM Identity Center no console do Amazon OpenSearch Service:

1. Em **Configuração do domínio**, navegue até **Configuração de segurança**, escolha Editar e vá até a seção Autenticação do IAM Identity Center e selecione **Habilitar acesso de API autenticado com o IAM Identity Center**. 

1.  Selecione a tecla SubjectKey and Roles da seguinte forma.
   + **Chave de assunto** - escolha uma das UserId (padrão) UserName e E-mail para usar o atributo correspondente como principal acessando o domínio. 
   + **Chave de funções** - escolha uma das GroupId (padrão) e GroupName use os valores de atributos correspondentes como função de back-end [fine-grained-access-control](fgac.md)para todos os grupos associados ao diretor do IAM Identity Center. 

Depois de fazer as alterações, salve o seu domínio.

## Habilitar o controle de acesso refinado
<a name="idc-configure-fgac"></a>

Depois de habilitar a opção IAM Identity Center em seu OpenSearch domínio, você pode configurar o acesso aos principais do IAM Identity Center [criando um mapeamento de funções para a função de **back-end**](fgac.md#fgac-mapping). O valor da função de back-end para o principal é baseado na associação ao grupo principal do IAM Identity Center e na RolesKey configuração de GroupId ou GroupName. 

**nota**  
O Amazon OpenSearch Service pode oferecer suporte a até **100 grupos** para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, ocorrerá uma inconsistência no processamento da fine-grained-access-control autorização e receberá uma mensagem de erro 403. 

## Configurar autenticação e autorização do IAM Identity Center (CLI)
<a name="idc-configure-cli"></a>

```
	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
```

## Desabilitar a autenticação do IAM Identity Center no domínio
<a name="idc-configure-disable"></a>

Para desativar o IAM Identity Center em seu OpenSearch domínio:

1. Escolha o domínio, **Ações**, e **Editar configuração de segurança**.

1. Desmarque a **Habilitar acesso de API autenticado com o IAM Identity Center**.

1. Escolha **Salvar alterações**.

1. Depois que o processamento do domínio for concluído, remova os [mapeamentos de função](fgac.md) adicionados aos diretores do IAM Identity Center 

Para desabilitar o IAM Identity Center usando a CLI, você pode usar o que o procedimento a seguir

```
	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'
```