授予 Amazon OpenSearch Ingestion 管道访问域名的权限 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予 Amazon OpenSearch Ingestion 管道访问域名的权限

Amazon OpenSearch Ingestion 管道需要权限才能写入配置为其接收器的 OpenSearch 服务域。要提供访问权限,您需要为一个 Amazon Identity and Access Management (IAM) 角色配置一个限制性权限策略,该策略限制了对管道向其发送数据的域的访问权限。例如,您可能希望将摄取管道限制为仅含支持其用例所需的域和索引。

重要

您可以选择手动创建管道角色,也可以让 OpenSearch Ingestion 在创建管道期间为您创建该角色。如果您选择自动创建角色, OpenSearch Ingestion 会根据您选择的来源和接收器将所有必需的权限添加到管道角色访问策略中。它使用您输入的前缀OpenSearchIngestion-和后缀在 IAM 中创建管道角色。有关更多信息,请参阅 管道角色

如果您让 OpenSearch Ingestion 为您创建管道角色,则在创建管道之前或之后,您仍然需要将该角色包含在域访问策略中,并将其映射到后端角色(如果该域使用精细访问控制)。有关说明,请参阅步骤 2。

步骤 1:创建管道角色

管道角色必须附加权限策略,允许其向域接收器发送数据。它还必须具有允许 OpenSearch Ingestion担任该角色的信任关系。有关如何附加角色策略的说明,请参阅 IAM 用户指南中的添加 IAM 身份权限

以下示例策略演示了您可以在管道角色中为其提供写入单个域的最低权限

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "es:DescribeDomain", "Resource": "arn:aws:es:*:account-id:domain/*" }, { "Effect": "Allow", "Action": "es:ESHttp*", "Resource": "arn:aws:es:*:account-id:domain/domain-name/*" } ] }

如果计划重用角色写入多个域,则可以将域名替换为通配符 (*) 来扩大策略范围。

该角色必须具有以下信任关系,这允许 OpenSearch Ingestion 担任管道角色:

JSON
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"osis-pipelines.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

步骤 2:为域配置数据访问权限

为了使管道能够将数据写入域,该域必须具有允许管道角色访问该域的域级访问策略

以下示例域访问策略允许名为的管道角色pipeline-role向名为的域写入数据ingestion-domain

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/pipeline-role" }, "Action": ["es:DescribeDomain", "es:ESHttp*"], "Resource": "arn:aws:es:region:account-id:domain/domain-name/*" } ] }

映射管道角色(仅适用于使用精细访问控制的域)

如果您的域使用精细访问控制进行身份验证,则需要采取额外步骤,为管道提供域访问权限。步骤因域配置而异:

  • 场景 1:不同的主角色和管道角色 — 如果您使用 IAM Amazon 资源名称 (ARN) 作为主用户,并且该名称与管道角色不同,则需要将管道角色映射到 OpenSearchall_access后端角色。这会将管道角色添加为其他主用户。有关更多信息,请参阅其他主用户

  • 场景 2:内部用户数据库中的主用户-如果您的域使用内部用户数据库中的主用户和 OpenSearch 仪表板的 HTTP 基本身份验证,则无法将主用户名和密码直接传递到工作流配置中。而是将管道角色映射到后 OpenSearchall_access端角色。这会将管道角色添加为其他主用户。有关更多信息,请参阅其他主用户

  • 场景 3:相同的主角色和管道角色(不常见)— 如果您使用的 IAM ARN 作为主用户,并且它与您用作管道角色的 ARN 相同,则无需采取任何进一步的操作。管道具有写入域所需的权限。这种情况并不常见,因为大多数环境都使用管理员角色或其他角色作为主角色。

下图显示了如何将管道角色映射到后端角色:

Backend roles section showing an AmazonIAM role ARN for a pipeline role with a Remove option.