IAM Identity Center 可信身份传播支持 OpenSearch - 亚马逊 OpenSearch 服务
注意事项修改域访问策略配置 IAM Identity Centity Center 身份验证和授权(控制台)配置精细访问控制配置 IAM Identity Centity Center 身份验证和授权(CLI)禁用域上的 IAM Identity Center 身份验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 可信身份传播支持 OpenSearch

现在,您可以通过可信身份传播使用集中配置Amazon的 IAM Identity Center 委托人(用户和群组),通过 OpenSearch 服务应用程序访问亚马逊 OpenSearch 服务域。要启用 IAM 身份中心支持 OpenSearch,您需要启用 IAM 身份中心。要详细了解如何执行此操作,请参阅什么是 IAM 身份中心? 。请参阅如何在应用程序中 OpenSearch 将 OpenSearch 域关联为数据源? 了解详情。

您可以使用 OpenSearch 服务控制台、Amazon Command Line Interface (Amazon CLI) 或配置 IAM 身份中心Amazon SDKs。

注意

控制面板(与集群同置)不支持 IAM Identity Center 主体。它们只能通过集中式 OpenSearch 用户界面(仪表板)获得支持。

注意事项

在将 IAM 身份中心与 Amazon OpenSearch 服务配合使用之前,您必须考虑以下几点:

  • IAM Identity Center 已在该账户中启用。

  • IAM Identity Center 在区域中可用。

  • OpenSearch 域名版本为 1.3 或更高版本。

  • 域上已启用精细访问控制

  • 域与 IAM Identity Center 实例位于同一区域。

  • 域和OpenSearch 应用程序属于同一个Amazon账户。

修改域访问策略

在配置 IAM Identity Center 之前,您必须更新域访问策略或在 OpenSearch 应用程序中为可信身份传播配置的 IAM 角色的权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Amazon": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}

配置 IAM Identity Centity Center 身份验证和授权(控制台)

您可以在域创建过程中或通过更新现有域启用 IAM Identity Center 身份验证和授权。根据您选择的具体选项,设置步骤会略有差异。

以下步骤说明了如何在 Amazon S OpenSearch ervice 控制台中为 IAM 身份中心身份验证和授权配置现有域:

  1. 域配置下,导航至安全配置,选择“编辑”,进入“IAM Identity Center 身份验证”部分,勾选启用通过 IAM Identity Center 进行身份验证的 API 访问

  2. 按如下方式选择 SubjectKey 和角色键。

    • 主题密钥-选择一个 UserId(默认), UserName 然后选择电子邮件以使用相应的属性作为访问域名的委托人。

    • 角色密钥-选择一个 GroupId(默认),然后 GroupName 使用相应的属性值作为与 IdC 委托人关联的所有群组的后端角色。fine-grained-access-control

完成更改后,请保存域。

配置精细访问控制

在您的 OpenSearch 域上启用 IAM Identity Center 选项后,您可以通过创建到后端角色的角色映射来配置对 IAM 身份中心委托人的访问权限。委托人的后端角色值基于 IdC 委托人的组成员资格和 GroupId 或 GroupName的 RolesKey配置。

注意

亚马逊 OpenSearch 服务可以为单个用户最多支持 100 个群组。如果您尝试使用的实例数量超过允许的数量,则会遇到与 fine-grained-access-control授权处理不一致的问题,并会收到 403error 消息。

配置 IAM Identity Centity Center 身份验证和授权(CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

禁用域上的 IAM Identity Center 身份验证

要在您的 OpenSearch 域上禁用 IAM 身份中心,请执行以下操作:

  1. 选择域、Actions(操作)Edit security configuration(编辑安全配置)

  2. 取消选中启用通过 IAM Identity Center 进行身份验证的 API 访问权限

  3. 选择保存更改

  4. 域完成处理后,移除为 IdC 主体添加的角色映射

要通过 CLI 禁用 IAM Identity Center,可执行以下操作


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'