Amazon OpenSearch Service 的 IAM Identity Center 受信任身分傳播支援 - Amazon OpenSearch Service
考量事項修改網域存取政策設定 IAM Identity Center 身分驗證和授權 (主控台)設定精細分割存取控制設定 IAM Identity Center 身分驗證和授權 (CLI)在網域上停用 IAM Identity Center 身分驗證

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon OpenSearch Service 的 IAM Identity Center 受信任身分傳播支援

您現在可以透過信任的身分傳播,使用集中設定的 AWS IAM Identity Center 主體 (使用者和群組),透過 OpenSearch Service 應用程式 存取 OpenSearch 網域。若要啟用 Amazon OpenSearch Service 的 IAM Identity Center 支援,您需要啟用 IAM Identity Center 的使用。若要進一步了解如何執行此操作,請參閱什麼是 IAM Identity Center?。如需詳細資訊,請參閱如何在 OpenSearch 應用程式中將 OpenSearch 網域關聯為資料來源?

您可以使用 OpenSearch Service 主控台、 AWS Command Line Interface (AWS CLI) 或 SDKs 來 AWS 設定 IAM Identity Center。

注意

Dashboards 不支援 IAM Identity Center 主體 (與叢集共置)。它們僅透過集中式 OpenSearch 使用者介面 (儀表板) 支援。

考量事項

將 IAM Identity Center 與 Amazon OpenSearch Service 搭配使用之前,您必須考慮下列事項:

  • 帳戶已啟用 IAM Identity Center。

  • OpenSearch 網域版本為 1.3 或更新版本。

  • 網域上已啟用精細分割存取控制

  • 網域應與 IAM Identity Center 執行個體位於相同的區域。

  • 網域和 OpenSearch 應用程式應屬於相同的 AWS 帳戶。

修改網域存取政策

設定 IAM Identity Center 之前,您必須更新網域存取政策或在 OpenSearch 應用程式中設定的 IAM 角色許可,以進行受信任身分傳播。


	 {
	     "Version": "2012-10-17",
	     "Statement": [
	         {
	             "Effect": "Allow",
	             "Principal": {
	                 "AWS": "IAM Role configured in OpenSearch application"
	             },
	             "Action": "es:ESHttp*",
	             "Resource": "domain-arn/*"
	         },
	         {
	         ... // Any other permissions
	         }
	     ]
	 }

設定 IAM Identity Center 身分驗證和授權 (主控台)

您可以在網域建立程序期間或透過更新現有網域來啟用 IAM Identity Center 身分驗證和授權。設定步驟會因您選擇的選項而略有不同。

下列步驟說明如何在 Amazon OpenSearch Service 主控台中設定 IAM Identity Center 身分驗證和授權的現有網域:

  1. 網域組態下,導覽至安全組態,選擇編輯並導覽至 IAM Identity Center Authentication 區段,然後選取啟用使用 IAM Identity Center 驗證的 API 存取

  2. 選取 SubjectKey 和 Roles 金鑰,如下所示。

    • 主旨金鑰 - 選擇其中一個 UserId (預設)、UserName 和 Email,以使用對應的屬性做為存取網域的主體。

    • 角色金鑰 - 選擇其中一個 GroupId (預設) 和 GroupName,針對與 IdC 主體相關聯的所有群組,使用對應的屬性值做為fine-grained-access-control的後端角色。

完成變更後,請儲存您的網域。

設定精細分割存取控制

在 OpenSearch 網域上啟用 IAM Identity Center 選項後,您可以透過建立角色映射至後端角色來設定對 IAM Identity Center 主體的存取。委託人的後端角色值是以 IdC 委託人的群組成員資格和 GroupId 或 GroupName 的 RolesKey 組態為基礎。

注意

Amazon OpenSearch Service 最多可為單一使用者支援 100 個群組。如果您嘗試使用超過允許的執行個體數量,您會遇到與fine-grained-access-control授權處理不一致的情況,並收到 403 錯誤訊息。

設定 IAM Identity Center 身分驗證和授權 (CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

在網域上停用 IAM Identity Center 身分驗證

若要在 OpenSearch 網域上停用 IAM Identity Center:

  1. 選擇網域、Actions (動作) 和 Edit security configuration (編輯安全組態)。

  2. 取消勾選啟用透過 IAM Identity Center 驗證的 API 存取

  3. 選擇儲存變更

  4. 網域完成處理後,移除為 IdC 主體新增的角色映射

若要透過 CLI 停用 IAM Identity Center,您可以使用下列


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'