Suporte do IAM Identity Center para Amazon OpenSearch Serverless Criar um provedor do IAM Identity Center (console)Criar provedor do IAM Identity Center (AWS CLI)Excluir provedor do IAM Identity Center Conceder ao IAM Identity Center acesso a dados de coleção

Suporte do IAM Identity Center para Amazon OpenSearch Serverless

Você pode usar os diretores do IAM Identity Center (usuários e grupos) para acessar dados do Amazon OpenSearch Serverless por meio dos Amazon Applications. OpenSearch Para habilitar o suporte do IAM Identity Center para Amazon OpenSearch Serverless, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity?

Depois que a instância do IAM Identity Center é criada, o administrador da conta do cliente precisa criar um aplicativo do IAM Identity Center para o OpenSearch serviço Amazon Serverless. Isso pode ser feito chamando o CreateSecurityConfig:. O administrador da conta de cliente pode especificar quais atributos serão usados para autorizar a solicitação. Os atributos padrão usados são UserId e GroupId.

A integração do IAM Identity Center para o Amazon OpenSearch Serverless usa as seguintes permissões AWS do IAM Identity Center (IAM):

aoss:CreateSecurityConfig: criar um provedor do IAM Identity Center
aoss:ListSecurityConfig: listar todos os provedores do IAM Identity Center na conta atual.
aoss:GetSecurityConfig: visualizar informações do provedor do IAM Identity Center.
aoss:UpdateSecurityConfig: modificar uma determinada configuração do IAM Identity Center
aoss:DeleteSecurityConfig: excluir um provedor do IAM Identity Center

A seguinte política de acesso baseada em identidade pode ser usada para gerenciar todas as configurações do IAM Identity Center:

nota

O elemento Resource deve ser um caractere curinga.

Criar um provedor do IAM Identity Center (console)

Você pode criar um provedor do IAM Identity Center para habilitar a autenticação com o OpenSearch aplicativo. Para habilitar a autenticação do IAM Identity Center para OpenSearch painéis, execute as seguintes etapas:

Faça login no console do Amazon OpenSearch Service.
No painel de navegação à esquerda, expanda Tecnologia sem servidor e escolha Autenticação.
Escolha Autenticação do IAM Identity Center.
Selecione Editar
Marque a caixa ao lado de Autenticar com o IAM Identity Center.
Selecione a chave de atributo usuário e grupo no menu suspenso. Os atributos de usuário serão usados para autorizar usuários com base em UserName, UserId e Email. Os atributos de usuário serão usados para autorizar usuário com base em GroupName e GroupId.
Selecione a instância do IAM Identity Center.
Selecione Salvar.

Criar provedor do IAM Identity Center (AWS CLI)

Para criar um provedor do IAM Identity Center usando o AWS Command Line Interface (AWS CLI), use o seguinte comando:


aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

Depois que um IAM Identity Center é habilitado, os clientes somente podem modificar os atributos de usuário e grupo.


aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

Para visualizar o provedor do IAM Identity Center usando o AWS Command Line Interface, use o seguinte comando:


aws opensearchserverless list-security-configs --type iamidentitycenter

Excluir provedor do IAM Identity Center

O IAM Identity Center oferece duas instâncias de provedores, uma para a conta da organização e outra para a sua conta de membro. Se precisar alterar a instância do IAM Identity Center, você terá que excluir a configuração de segurança por meio da API DeleteSecurityConfig e criar uma nova configuração de segurança usando a nova instância do IAM Identity Center. O seguinte comando pode ser usado para excluir um provedor do IAM Identity Center:


aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Conceder ao IAM Identity Center acesso a dados de coleção

Depois que o provedor do IAM Identity Center está habilitado, você pode atualizar a política de acesso a dados da coleção para incluir as entidades principais do IAM Identity Center. As entidades principais do IAM Identity Center precisam ser atualizadas no seguinte formato:


[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]

nota

O Amazon OpenSearch Serverless oferece suporte a apenas uma instância do IAM Identity Center para todas as coleções de clientes e pode suportar até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, terá inconsistência no processamento da autorização da política de acesso a dados e receberá uma mensagem de erro 403.

É possível conceder acesso a coleções, índices ou ambos. Se você quiser que usuários diferentes tenham permissões diferentes, precisará criar várias regras. Para obter uma lista das permissões disponíveis, consulte Identity and Access Management no Amazon OpenSearch Service. Para obter informações sobre como formatar uma política de acesso, consulte Conceder a identidades SAML acesso a dados de coleções.


aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso

Criptografia