IAM Identity Center 可信身份传播对 OpenSearch 的支持 - Amazon OpenSearch Service
注意事项修改域访问策略配置 IAM Identity Centity Center 身份验证和授权(控制台)配置精细访问控制配置 IAM Identity Centity Center 身份验证和授权(CLI)禁用域上的 IAM Identity Center 身份验证

IAM Identity Center 可信身份传播对 OpenSearch 的支持

您现在可以通过可信身份传播,使用集中配置的 AWS IAM Identity Center 主体(用户和组),通过 OpenSearch Service 应用程序访问 Amazon OpenSearch Service 域。要启用 IAM Identity Center 对 OpenSearch 的支持,您需要启用 IAM Identity Center 的使用。有关如何操作的详细信息,请参阅什么是 IAM Identity Center?。有关详细信息,请参阅。有关详细信息,请参阅如何在 OpenSearch 应用程序中将 OpenSearch 域关联为数据源?

您可以使用 OpenSearch Service 控制台、AWS Command Line Interface(AWS CLI)或 AWS SDK 配置 IAM Identity Center。

注意

控制面板(与集群同置)不支持 IAM Identity Center 主体。仅可通过集中式 OpenSearch 用户界面(控制面板)提供支持。

注意事项

将 IAM Identity Center 与 Amazon OpenSearch Service 结合使用之前,您必须注意以下几点:

  • IAM Identity Center 已在该账户中启用。

  • IAM Identity Center 在区域中可用。

  • OpenSearch 域版本为 1.3 或更高版本。

  • 域上已启用精细访问控制

  • 域与 IAM Identity Center 实例位于同一区域。

  • 域和 OpenSearch 应用程序属于同一 AWS 账户。

修改域访问策略

配置 IAM Identity Center 之前,必须更新域访问策略或 OpenSearch 应用程序中为可信身份传播配置的 IAM 角色的权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}

配置 IAM Identity Centity Center 身份验证和授权(控制台)

您可以在域创建过程中或通过更新现有域启用 IAM Identity Center 身份验证和授权。根据您选择的具体选项,设置步骤会略有差异。

以下步骤说明如何在 Amazon OpenSearch Service 控制台中配置现有域的 IAM Identity Center 身份验证和授权:

  1. 域配置下,导航至安全配置,选择“编辑”,进入“IAM Identity Center 身份验证”部分,勾选启用通过 IAM Identity Center 进行身份验证的 API 访问

  2. 按如下所示选择主题密钥和角色密钥。

    • 主题密钥:选择 UserId(默认)、UserName 和 Email 其中之一,使用相应属性作为访问域的主体。

    • 角色密钥:选择 GroupId(默认)和 GroupName 其中之一,将相应属性值用作与 IdC 主体相关联所有组的 fine-grained-access-control 后端角色。

完成更改后,请保存域。

配置精细访问控制

在 OpenSearch 域上启用 IAM Identity Center 选项后,可通过创建与后端角色的角色映射配置对 IAM Identity Center 主体的访问权限。主体的后端角色值基于 IdC 主体的组成员身份,以及 GroupId 或 GroupName 的 RolesKey 配置。

注意

Amazon OpenSearch Service 支持单个用户最多创建 100 个组。如果尝试使用超过允许的实例数量,您将遇到与精细访问控制授权处理不一致的情况,并收到 403 错误消息。

配置 IAM Identity Centity Center 身份验证和授权(CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

禁用域上的 IAM Identity Center 身份验证

要在 OpenSearch 域上禁用 IAM Identity Center:

  1. 选择域、操作编辑安全配置

  2. 取消选中启用通过 IAM Identity Center 进行身份验证的 API 访问权限

  3. 选择保存更改

  4. 域完成处理后,移除为 IdC 主体添加的角色映射

要通过 CLI 禁用 IAM Identity Center,可执行以下操作


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'