本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Cent OpenSearch er 支持
IAM Identity Cent OpenSearch er 支持
您可以使用 IAM 身份中心委托人(用户和群组)通过亚马逊应用程序访问亚马逊 OpenSearch 无服务器数据。 OpenSearch 要启用 Amazon OpenSearch Serverless 的 IAM 身份中心支持,您需要启用 IAM 身份中心。要详细了解如何操作,请参阅什么是 IAM Identity Center?
创建 IAM 身份中心实例后,客户账户管理员需要为 Amazon OpenSearch Serverless 服务创建 IAM 身份中心应用程序。这可以通过调用CreateSecurityConfig:来完成。客户账户管理员可以指定将使用哪些属性来授权请求。使用的默认属性是UserId和 GroupId.
Amazon OpenSearch Serverless 的 IAM 身份中心集成使用以下 Amazon IAM 身份中心 (IAM) 权限:
-
aoss:CreateSecurityConfig— 创建 IAM Identity Cent -
aoss:ListSecurityConfig— 列出当前账户中的所有 IAM Identity Center 提供商。 -
aoss:GetSecurityConfig— 查看 IAM 身份中心提供商信息。 -
aoss:UpdateSecurityConfig— 修改给定 IAM Identity Center -
aoss:DeleteSecurityConfig— 删除 IAM Identity Center 提供商
以下基于身份的访问策略可用于管理所有 IAM Identity Center 配置:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aoss:CreateSecurityConfig", "aoss:DeleteSecurityConfig", "aoss:GetSecurityConfig", "aoss:UpdateSecurityConfig", "aoss:ListSecurityConfigs" ], "Effect": "Allow", "Resource": "*" } ] }
注意
Resource元素必须是通配符。
创建 IAM Identity Center 提供商(控制
您可以创建 IAM 身份中心提供商以启用 OpenSearch应用程序身份验证。要为 OpenSearch 控制面板启用 IAM Identity Center 身份验证,请执行以下步骤:
-
在左侧导航面板上,展开无服务器并选择身份验证。
-
选择 IAM 身份验证。
-
选择 “编辑”
-
选中使用 IAM Identity Center 进行身份验证旁边的复
-
从下拉菜单中选择用户和群组属性键。用户属性将用于根据
UserNameUserId、和对用户进行授权Email。组属性将用于根据GroupName和对用户进行身份验证GroupId。 -
选择 IAM 身份中心实例。
-
选择 “保存”
创建 IAM Identity C Amazon CLI enter
要使用 Amazon Command Line Interface (Amazon CLI) 创建 IAM 身份中心提供商,请使用以下命令:
aws opensearchserverless create-security-config \ --region us-east-2 \ --name "iamidentitycenter-config" \ --description "description" \ --type "iamidentitycenter" \ --iam-identity-center-options '{ "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999", "userAttribute": "UserName", "groupAttribute": "GroupId" }'
启用 IAM 身份中心后,客户只能修改用户和群组的属性。
aws opensearchserverless update-security-config \ --region us-east-1 \ --id <id_from_list_security_configs> \ --config-version <config_version_from_get_security_config> \ --iam-identity-center-options-updates '{ "userAttribute": "UserId", "groupAttribute": "GroupId" }'
要使用查看 IAM 身份中心提供商 Amazon Command Line Interface,请使用以下命令:
aws opensearchserverless list-security-configs --type iamidentitycenter
删除 IAM Identity Cent
IAM Identity Center 提供两个提供商实例,一个用于您的组织账户,另一个用于您的成员账户。如果您需要更改 IAM Identity Center 实例,则需要通过 DeleteSecurityConfig API 删除您的安全配置,并使用新的 IAM Identity Center 实例创建新的安全配置。以下命令可用于删除 IAM Identity Center 提供商:
aws opensearchserverless delete-security-config \ --region us-east-1 \ --id <id_from_list_security_configs>
授予 IAM Identity Center 权限以
启用 IAM Identity Center 提供商后,您可以更新收集数据访问策略以包含 IAM 身份中心委托人。需要按以下格式更新 IAM 身份中心委托人:
[ { "Rules":[ ... ], "Principal":[ "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>", "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>" ] } ]
注意
Amazon OpenSearch Serverless 仅支持一个用于所有客户集合的 IAM 身份中心实例,并且单个用户最多可以支持 100 个群组。如果您尝试使用的实例数量超过允许的数量,则会遇到与数据访问策略授权处理不一致的问题,并会收到一条403错误消息。
您可以授予针对集合、索引或两者的访问权限。如果您希望不同用户拥有不同权限,您需要创建多条规则。有关可用权限的列表,请参阅亚马逊 OpenSearch 服务中的 Identity and Access 管理。有关如何设置访问策略格式的信息,请参阅授予 SAML 身份针对集合数据的访问权限。
IAM Identity Center 提供两个提供商实例,一个用于您的组织账户,另一个用于您的成员账户。如果您需要更改 IAM Identity Center 实例,则需要通过 DeleteSecurityConfig API 删除您的安全配置,并使用新的 IAM Identity Center 实例创建新的安全配置。以下命令可用于删除 IAM Identity Center 提供商:
aws opensearchserverless delete-security-config \ --region us-east-1 \ --id <id_from_list_security_configs>