Compatibilidade do IAM Identity Center com o Amazon OpenSearch Sem Servidor Criar um provedor do IAM Identity Center (console)Criar provedor do IAM Identity Center (AWS CLI)Excluir provedor do IAM Identity Center Conceder ao IAM Identity Center acesso a dados de coleção

Compatibilidade do IAM Identity Center com o Amazon OpenSearch Sem Servidor

Você pode usar as entidades principais do IAM Identity Center (usuários e grupos) para acessar dados do Amazon OpenSearch sem Servidor por meio das aplicações do Amazon OpenSearch. Para o IAM Identity Center ser compatível com o Amazon OpenSearch sem Servidor, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte O que é o IAM Identity?

Depois que a instância do IAM Identity Center é criada, o administrador da conta do cliente precisa criar uma aplicação do IAM Identity Center para o serviço Amazon OpenSearch sem Servidor. Isso pode ser feito chamando CreateSecurityConfig:. O administrador da conta de cliente pode especificar quais atributos serão usados para autorizar a solicitação. Os atributos padrão usados são UserId e GroupId.

A integração do IAM Identity Center para o Amazon OpenSearch sem Servidor usa as seguintes permissões do AWS IAM Identity Center (IAM):

aoss:CreateSecurityConfig: criar um provedor do IAM Identity Center
aoss:ListSecurityConfig: listar todos os provedores do IAM Identity Center na conta atual.
aoss:GetSecurityConfig: visualizar informações do provedor do IAM Identity Center.
aoss:UpdateSecurityConfig: modificar uma determinada configuração do IAM Identity Center
aoss:DeleteSecurityConfig: excluir um provedor do IAM Identity Center

A seguinte política de acesso baseada em identidade pode ser usada para gerenciar todas as configurações do IAM Identity Center:

nota

O elemento Resource deve ser um caractere curinga.

Criar um provedor do IAM Identity Center (console)

Você pode criar um provedor do IAM Identity Center para habilitar a autenticação com uma aplicação do OpenSearch. Para habilitar a autenticação do IAM Identity Center para o OpenSearch Dashboards realize as seguintes etapas:

Faça login no console do Amazon OpenSearch Service.
No painel de navegação à esquerda, expanda Tecnologia sem servidor e escolha Autenticação.
Escolha Autenticação do IAM Identity Center.
Selecione Editar
Marque a caixa ao lado de Autenticar com o IAM Identity Center.
Selecione a chave de atributo usuário e grupo no menu suspenso. Os atributos de usuário serão usados para autorizar usuários com base em UserName, UserId e Email. Os atributos de usuário serão usados para autorizar usuário com base em GroupName e GroupId.
Selecione a instância do IAM Identity Center.
Selecione Salvar.

Criar provedor do IAM Identity Center (AWS CLI)

Para criar um provedor do IAM Identity Center usando a AWS Command Line Interface (AWS CLI), use o seguinte comando:


aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

Depois que um IAM Identity Center é habilitado, os clientes somente podem modificar os atributos de usuário e grupo.


aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

Para visualizar o provedor do IAM Identity Center usando a AWS Command Line Interface, use o seguinte comando:


aws opensearchserverless list-security-configs --type iamidentitycenter

Excluir provedor do IAM Identity Center

O IAM Identity Center oferece duas instâncias de provedores, uma para a conta da organização e outra para a sua conta de membro. Se precisar alterar a instância do IAM Identity Center, você terá que excluir a configuração de segurança por meio da API DeleteSecurityConfig e criar uma nova configuração de segurança usando a nova instância do IAM Identity Center. O seguinte comando pode ser usado para excluir um provedor do IAM Identity Center:


aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Conceder ao IAM Identity Center acesso a dados de coleção

Depois que o provedor do IAM Identity Center está habilitado, você pode atualizar a política de acesso a dados da coleção para incluir as entidades principais do IAM Identity Center. As entidades principais do IAM Identity Center precisam ser atualizadas no seguinte formato:


[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]

nota

O Amazon OpenSearch sem Servidor é compatível com apenas uma instância do IAM Identity Center para todas as coleções de clientes e com até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, terá inconsistência no processamento da autorização da política de acesso a dados e receberá uma mensagem de erro 403.

É possível conceder acesso a coleções, índices ou ambos. Se você quiser que usuários diferentes tenham permissões diferentes, precisará criar várias regras. Para obter uma lista das permissões disponíveis, consulte Gerenciar identidade e acesso no Amazon OpenSearch Service. Para obter informações sobre como formatar uma política de acesso, consulte Conceder a identidades SAML acesso a dados de coleções.


aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso

Criptografia