本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于 Amazon OpenSearch Serverless 的身份和访问管理
Amazon Identity and Access Management (IAM) Amazon Web Services 服务 可帮助管理员安全地控制对 Amazon 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权(有权*限)使用 OpenSearch 无服务器资源。您可以使用 IAM Amazon Web Services 服务 ,无需支付额外费用。
**Topics**
+ [无服务器基于身份的策略 OpenSearch](#security-iam-serverless-id-based-policies)
+ [OpenSearch 无服务器的策略操作](#security-iam-serverless-id-based-policies-actions)
+ [OpenSearch 无服务器策略资源](#security-iam-serverless-id-based-policies-resources)
+ [Amazon OpenSearch Serverless 的策略条件密钥](#security_iam_serverless-conditionkeys)
+ [带有无服务器功能的 ABA OpenSearch C](#security_iam_serverless-with-iam-tags)
+ [在 OpenSearch 无服务器中使用临时证书](#security_iam_serverless-tempcreds)
+ [无服务器的服务相关角色 OpenSearch](#security_iam_serverless-slr)
+ [其他策略类型](#security_iam_access-manage-other-policies)
+ [无服务器基于身份的策略示例 OpenSearch](#security_iam_serverless_id-based-policy-examples)
+ [对 Amazon OpenSearch 无服务器的 IAM 身份中心支持](serverless-iam-identity-center.md)
## 无服务器基于身份的策略 OpenSearch
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。
### 无服务器基于身份的策略示例 OpenSearch
要查看基于身份的 OpenSearch 无服务器策略的示例,请参阅。[无服务器基于身份的策略示例 OpenSearch](#security_iam_serverless_id-based-policy-examples)
## OpenSearch 无服务器的策略操作
**支持策略操作:**是
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API 操作同名。有一些例外情况,例如没有匹配 API 操作的*仅限权限* 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为*相关操作*。
在策略中包含操作以授予执行关联操作的权限。
OpenSearch Serverless 中的策略操作在操作前使用以下前缀:
```
aoss
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"aoss:action1",
"aoss:action2"
]
```
您可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "aoss:List*"
```
要查看基于身份的 OpenSearch 无服务器策略的示例,请参阅。[无服务器基于身份的策略示例 OpenSearch](#security_iam_id-based-policy-examples)
## OpenSearch 无服务器策略资源
**支持策略资源:**是
管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
## Amazon OpenSearch Serverless 的策略条件密钥
**支持特定于服务的策略条件键:**是
管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
除了基于属性的访问控制 (ABAC) 之外, OpenSearch Serverless 还支持以下条件键:
+ `aoss:collection`
+ `aoss:CollectionId`
+ `aoss:index`
即使在为访问策略和安全策略提供权限时,您也可以使用这些条件键。例如:
```
[
{
"Effect":"Allow",
"Action":[
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Resource":"*",
"Condition":{
"StringLike":{
"aoss:collection":"log"
}
}
}
]
```
在此示例中,该条件适用于此类策略:包含与集合名称或模式相匹配的*规则*。这些条件具有以下行为:
+ `StringEquals`:适用于此类策略:具有包含*确切*的资源字符串“log”(即 `collection/log`)的规则。
+ `StringLike`:适用于此类策略:具有包含资源字符串的规则,该资源字符串*包括*字符串“log”(即 `collection/log`,但也包括 `collection/logs-application` 或 `collection/applogs123`)。
**注意**
*Collection*(集合)条件键不适用于索引级别。例如,在上述策略中,该条件不适用于包含资源字符串 `index/logs-application/*` 的访问或安全策略。
要查看 OpenSearch 无服务器条件密钥列表,请参阅《*服务授权*参考》中的 [Amazon OpenSearch Serverless 条件密钥](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-policy-keys)。要了解您可以使用哪些操作和资源使用条件密钥,请参阅 [Amazon OpenSearch Serverless 定义的操作](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonopensearchserverless.html#amazonopensearchserverless-actions-as-permissions)。
## 带有无服务器功能的 ABA OpenSearch C
**支持 ABAC(策略中的标签):**是
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 Amazon 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.amazonaws.cn/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
有关标记 OpenSearch 无服务器资源的更多信息,请参阅。[为 Amazon OpenSearch 无服务器集合加标签](tag-collection.md)
## 在 OpenSearch 无服务器中使用临时证书
**支持临时凭证:**是
临时证书提供对 Amazon 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 Amazon 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。Amazon Web Services 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 无服务器的服务相关角色 OpenSearch
**支持服务关联角色:**是
服务相关角色是一种与服务相关联的 Amazon Web Services 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 Amazon Web Services 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建和管理 OpenSearch 无服务器服务相关角色的详细信息,请参阅。[使用服务相关角色创建 OpenSearch 无服务器集合](serverless-service-linked-roles.md)
## 其他策略类型
Amazon 支持其他不太常见的策略类型。这些策略类型可以设置更常用的策略类型向您授予的最大权限。
+ **服务控制策略 (SCPs)**- SCPs 是指定组织或组织单位 (OU) 的最大权限的 JSON 策略 Amazon Organizations。 Amazon Organizations 是一项用于对您的企业拥有的多个 Amazon 账户进行分组和集中管理的服务。如果您启用组织中的所有功能,则可以将服务控制策略 (SCPs) 应用于您的任何或所有帐户。SCP 限制成员账户中实体的权限,包括每个 Amazon 账户的根用户。有关 Organization SCPs s 和的更多信息,请参阅《*Amazon Organizations 用户指南*》中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)** — RCPs 是 JSON 策略,您可以使用它来设置账户中资源的最大可用权限,而无需更新附加到您拥有的每个资源的 IAM 策略。RCP 限制了成员账户中资源的权限,并可能影响身份(包括 Amazon 账户根用户)的有效权限,无论这些身份是否属于您的组织。有关 Organizations 的更多信息 RCPs,包括支持的 Amazon 服务列表 RCPs,请参阅*《Amazon Organizations 用户指南*》中的[资源控制策略 (RCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
## 无服务器基于身份的策略示例 OpenSearch
默认情况下,用户和角色无权创建或修改 OpenSearch 无服务器资源。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 Amazon OpenSearch Serverless 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权*参考》中的 [Amazon OpenSearch Serverless 的操作、资源和条件密钥](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonopensearchserverless.html)。 ARNs
**Topics**
+ [策略最佳实践](#security_iam_serverless-policy-best-practices)
+ [在控制台中使用 OpenSearch 无服务器](#security_iam_serverless_id-based-policy-examples-console)
+ [管理 OpenSearch 无服务器集合](#security_iam_id-based-policy-examples-collection-admin)
+ [查看 OpenSearch 无服务器集合](#security_iam_id-based-policy-examples-view-collections)
+ [使用 OpenSearch API 操作](#security_iam_id-based-policy-examples-data-plane)
+ [用于 OpenSearch API 操作的 ABAC](#security_iam_id-based-policy-examples-data-plane-abac)
### 策略最佳实践
基于身份的策略非常强大。它们决定是否有人可以在您的账户中创建、访问或删除 OpenSearch 无服务器资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 OpenSearch 无服务器资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 Amazon 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*Amazon 托管策略*。它们在你的版本中可用 Amazon Web Services 账户。我们建议您通过定义针对您的用例的 Amazon 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定 Amazon Web Services 服务的(例如)使用的,则也可以使用条件来授予对服务操作的访问权限 Amazon CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 Amazon Web Services 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html)。
### 在控制台中使用 OpenSearch 无服务器
要在 OpenSearch 服务控制台中访问 OpenSearch Serverless,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您 Amazon 账户中 OpenSearch 无服务器资源的详细信息。如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的实体(如 IAM 角色)正常运行控制台。
对于仅调用 Amazon CLI 或 Amazon API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
以下策略允许用户在 OpenSearch 服务控制台中访问 OpenSearch Serverless:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"aoss:ListCollections",
"aoss:BatchGetCollection",
"aoss:ListAccessPolicies",
"aoss:ListSecurityConfigs",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:ListVpcEndpoints",
"aoss:GetAccessPolicy",
"aoss:GetAccountSettings",
"aoss:GetSecurityConfig",
"aoss:GetSecurityPolicy"
]
}
]
}
```
------
### 管理 OpenSearch 无服务器集合
此政策是 “馆藏管理员” 策略的一个示例,该策略允许用户管理和管理 Amazon OpenSearch Serverless 馆藏。用户可以创建、查看和删除集合。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/*",
"Action": [
"aoss:CreateCollection",
"aoss:DeleteCollection",
"aoss:UpdateCollection"
],
"Effect": "Allow"
},
{
"Resource": "*",
"Action": [
"aoss:BatchGetCollection",
"aoss:ListCollections",
"aoss:CreateAccessPolicy",
"aoss:CreateSecurityPolicy"
],
"Effect": "Allow"
}
]
}
```
------
### 查看 OpenSearch 无服务器集合
此示例策略允许用户查看其账户中所有 Amazon OpenSearch Serverless 集合的详细信息。用户无法修改集合或任何相关联的安全策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Resource": "*",
"Action": [
"aoss:ListAccessPolicies",
"aoss:ListCollections",
"aoss:ListSecurityPolicies",
"aoss:ListTagsForResource",
"aoss:BatchGetCollection"
],
"Effect": "Allow"
}
]
}
```
------
### 使用 OpenSearch API 操作
数据平面 API 操作由你在 OpenSearch Serverless 中使用的函数组成,这些函数用于从服务中获取实时价值。控制面板 API 操作由用于设置环境的函数组成。
要通过浏览器访问 Amazon OpenSearch Serverless 数据平面 APIs 和 OpenSearch 控制面板,您需要为集合资源添加两个 IAM 权限。这些权限是 `aoss:APIAccessAll` 和 `aoss:DashboardsAccessAll`。
**注意**
从 2023 年 5 月 10 日起, OpenSearch Serverless 需要这两个新的 IAM 权限才能使用集合资源。该`aoss:APIAccessAll`权限允许访问数据平面,该`aoss:DashboardsAccessAll`权限允许通过浏览器访问 OpenSearch 仪表板。未能添加这两个新 IAM 权限会导致出现 403 错误。
此示例策略允许用户访问其账户中指定集合的数据平面 APIs ,以及访问其账户中所有集合的 OpenSearch 控制面板。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
},
{
"Effect": "Allow",
"Action": "aoss:DashboardsAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:dashboards/default"
}
]
}
```
------
两者兼而有之,`aoss:APIAccessAll`并`aoss:DashboardsAccessAll`授予对集合资源的完整 IAM 权限,而 Dashboards 权限还提供 OpenSearch 仪表板访问权限。每个权限都彼此独立,因此明确拒绝 `aoss:APIAccessAll` 不会妨碍对资源(包括开发工具)的 `aoss:DashboardsAccessAll`访问。否认也是如此`aoss:DashboardsAccessAll`。 OpenSearch Serverless 支持以下全局条件键:
+ `aws:CalledVia`
+ `aws:CalledViaAWSService`
+ `aws:CalledViaFirst`
+ `aws:CalledViaLast`
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipallsAWSService`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:PrincipalType`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:ResourceOrgPaths`
+ `aws:RequestedRegion`
+ `aws:ResourceTag`
+ `aws:SourceIp`
+ `aws:SourceVpce`
+ `aws:SourceVpc`
+ `aws:userid`
+ `aws:username`
+ `aws:VpcSourceIp`
以下是在数据面板调用的主体 IAM 策略的条件块中使用 `aws:SourceIp` 的示例:
```
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0"
}
}
```
以下是在数据面板调用的主体 IAM 策略的条件块中使用 `aws:SourceVpc` 的示例:
```
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-0fdd2445d8EXAMPLE"
}
}
```
此外,还支持以下 OpenSearch 无服务器特定的密钥:
+ `aoss:CollectionId`
+ `aoss:collection`
以下是在数据面板调用的主体 IAM 策略的条件块中使用 `aoss:collection` 的示例:
```
"Condition": {
"StringLike": {
"aoss:collection": "log-*"
}
}
```
### 用于 OpenSearch API 操作的 ABAC
基于身份的策略允许您使用标签来控制对 Amazon OpenSearch Serverless 数据平面的访问。 APIs APIs 如果集合带有`team:devops`标签,则以下策略允许附加的委托人访问数据平面:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "devops"
}
}
}
]
}
```
------
以下策略是拒绝附加委托人访问数据平面 APIs 和仪表板访问的示例(如果集合带有`environment:production`标签):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collection-id"
}
]
}
```
------
Amazon OpenSearch Serverless 不支持数据平面`RequestTag` APIs和`TagKeys`全局条件密钥。