向 Amazon OpenSearch Ingestion 管道授予访问域的权限 - 亚马逊 OpenSearch 服务
步骤 1:创建管道角色步骤 2:为域配置数据访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 Amazon OpenSearch Ingestion 管道授予访问域的权限

Amazon OpenSearch Ingestion 管道需要权限才能写入配置为其接收器的 S OpenSearch ervice 域。要提供访问权限,您需要为 Amazon Identity and Access Management (IAM) 角色配置限制权限策略,限制对管道发送数据的域的访问权限。例如,您可能希望将摄取管道限制为仅含支持其用例所需的域和索引。

重要

您可以选择手动创建管道角色,也可以让 OpenSearch Ingestion 在创建管道期间为您创建该角色。如果您选择自动创建角色, OpenSearch Ingestion 会根据您选择的来源和接收器将所有必需的权限添加到管道角色访问策略中。它使用您输入的前缀OpenSearchIngestion-和后缀在 IAM 中创建管道角色。有关更多信息,请参阅 管道角色

如果您让 OpenSearch Ingestion 为您创建管道角色,则仍然需要在创建管道之前或之后将该角色包含在域访问策略中,并将其映射到后端角色(如果该域使用精细访问控制)。有关说明,请参阅。

步骤 1:创建管道角色

管道角色必须具有允许其向域接收器发送数据的附加权限策略。同时,还必须具有允许 OpenSearch Ingestion 担任角色的信任关系。有关如何附加角色策略的说明,请参阅 IAM 用户指南中的添加 IAM 身份权限

以下示例策略演示了您可以在管道角色中为其提供写入单个域的最低权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "es:DescribeDomain",
            "Resource": "arn:aws:es:*:account-id:domain/*"
        },
        {
            "Effect": "Allow",
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:*:account-id:domain/domain-name/*"
        }
    ]
}

如果计划重用角色写入多个域,则可以将域名替换为通配符 (*) 来扩大策略范围。

角色必须具有以下信任关系,从而允许 OpenSearch Ingestion 担任管道角色:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"osis-pipelines.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

步骤 2:为域配置数据访问

为使管道能够将数据写入域,域必须具有域级访问策略,以允许管道角色访问域。

以下示例域访问策略允许名为的管道角色pipeline-role向名为的域写入数据ingestion-domain

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:role/pipeline-role"
      },
      "Action": ["es:DescribeDomain", "es:ESHttp*"],
      "Resource": "arn:aws:es:region:account-id:domain/domain-name/*"
    }
  ]
}

映射管道角色(仅适用于使用精细访问控制的域)

如果您的域使用精细访问控制进行身份验证,则需要采取额外步骤,为管道提供域访问权限。步骤因域配置而异:

  • 场景 1:主角色与管道角色不同 — 如果您使用 IAM Amazon 资源名称 (ARN) 作为主用户,且主用户不同于管道角色,则需要将管道角色映射到 OpenSearchall_access后端角色。将管道角色添加为其他主用户。有关更多信息,请参阅其他主用户

  • 场景 2:内部用户数据库中的主用户 — 如果您的域使用内部用户数据库的主用户和 OpenSearch 控制面板的 HTTP 基本身份验证,则无法将主用户名和密码直接传递到管道配置。而是将管道角色映射到后 OpenSearchall_access端角色。将管道角色添加为其他主用户。有关更多信息,请参阅其他主用户

  • 场景 3:主角色与管道角色相同(不常见)— 如果您使用 IAM ARN 作为主用户,且主用户与作为管道角色的 ARN 相同,则无需采取任何进一步的操作。管道具有写入域所需的权限。这种场景并不常见,因为绝大多数环境使用管理员角色或其他角色作为主角色。

下图显示了如何将管道角色映射到后端角色:

Backend roles section showing an AmazonIAM role ARN for a pipeline role with a Remove option.