Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch
<a name="serverless-iam-identity-center"></a>

## IAM Identity Center-Unterstützung für Amazon Serverless OpenSearch
<a name="serverless-iam-identity-support"></a>

Sie können IAM Identity Center-Prinzipale (Benutzer und Gruppen) verwenden, um über Amazon Applications auf Amazon OpenSearch Serverless-Daten zuzugreifen. OpenSearch Um die IAM Identity Center-Unterstützung für Amazon OpenSearch Serverless zu aktivieren, müssen Sie die Verwendung von IAM Identity Center aktivieren. Weitere Informationen dazu finden Sie unter [Was ist IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Identity Center?

**Anmerkung**  
Um mithilfe von IAM Identity Center-Benutzern oder -Gruppen auf Amazon OpenSearch Serverless-Sammlungen zuzugreifen, müssen Sie die OpenSearch UI-Funktion (Anwendungen) verwenden. Direkter Zugriff auf OpenSearch Serverless Dashboards mit IAM Identity Center-Anmeldeinformationen wird nicht unterstützt. Weitere Informationen finden Sie unter [Erste Schritte mit der OpenSearch Benutzeroberfläche](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).

Nachdem die IAM Identity Center-Instance erstellt wurde, muss der Administrator des Kundenkontos eine IAM Identity Center-Anwendung für den Amazon OpenSearch Serverless-Service erstellen. [Dies kann durch Aufrufen von: erfolgen. CreateSecurityConfig](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html) Der Administrator des Kundenkontos kann angeben, welche Attribute für die Autorisierung der Anfrage verwendet werden. Die verwendeten Standardattribute sind und `UserId` `GroupId.`

Die IAM Identity Center-Integration für Amazon OpenSearch Serverless verwendet die folgenden AWS IAM Identity Center (IAM) -Berechtigungen:
+ `aoss:CreateSecurityConfig`— Erstellen Sie einen IAM Identity Center-Anbieter
+ `aoss:ListSecurityConfig`— Listet alle IAM Identity Center-Anbieter im aktuellen Konto auf.
+ `aoss:GetSecurityConfig`— IAM Identity Center-Anbieterinformationen anzeigen.
+ `aoss:UpdateSecurityConfig`— Ändern Sie eine bestimmte IAM Identity Center-Konfiguration
+ `aoss:DeleteSecurityConfig`— Löscht einen IAM Identity Center-Anbieter. 

Die folgende identitätsbasierte Zugriffsrichtlinie kann zur Verwaltung aller IAM Identity Center-Konfigurationen verwendet werden:

------
#### [ JSON ]

****  

```
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**Anmerkung**  
Das `Resource` Element muss ein Platzhalter sein.

## Einen IAM Identity Center-Anbieter (Konsole) erstellen
<a name="serverless-iam-console"></a>

Sie können einen IAM Identity Center-Anbieter erstellen, um die Authentifizierung mit OpenSearch der Anwendung zu ermöglichen. Gehen Sie wie folgt vor, um die IAM Identity Center-Authentifizierung für OpenSearch Dashboards zu aktivieren:

1. Melden Sie sich bei der [Amazon OpenSearch Service-Konsole](https://console.aws.amazon.com/aos/home.) an.

1. Erweitern Sie im linken Navigationsbereich den Bereich **Serverless** und wählen Sie **Authentifizierung** aus.

1. Wählen Sie **IAM Identity Center-Authentifizierung**.

1. **Wählen Sie Bearbeiten**

1. Markieren Sie das Kästchen neben Mit IAM Identity Center authentifizieren.

1. Wählen Sie den **Benutzer- und Gruppenattributschlüssel** aus dem Dropdownmenü aus. Benutzerattribute werden verwendet, um Benutzer auf der Grundlage von `UserName``UserId`, und zu autorisieren. `Email` Gruppenattribute werden verwendet, um Benutzer auf `GroupName` der Grundlage von und zu authentifizieren. `GroupId`

1. Wählen Sie die **IAM Identity Center-Instanz** aus.

1. **Wählen Sie Speichern**

## Der IAM Identity Center-Anbieter wird erstellt ()AWS CLI
<a name="serverless-iam-identity-center-cli"></a>

Verwenden Sie den folgenden Befehl, um einen IAM Identity Center-Anbieter mithilfe von AWS Command Line Interface (AWS CLI) zu erstellen:

```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'
```

Nachdem ein IAM Identity Center aktiviert wurde, können Kunden nur **Benutzer- und Gruppenattribute** ändern.

```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'
```

Verwenden Sie den folgenden Befehl, um den IAM Identity Center-Anbieter mithilfe von anzuzeigen: AWS Command Line Interface

```
aws opensearchserverless list-security-configs --type iamidentitycenter
```

## Löschen eines IAM Identity Center-Anbieters
<a name="serverless-iam-identity-center-deleting"></a>

 IAM Identity Center bietet zwei Instanzen von Anbietern, eine für Ihr Organisationskonto und eine für Ihr Mitgliedskonto. Wenn Sie Ihre IAM Identity Center-Instanz ändern müssen, müssen Sie Ihre Sicherheitskonfiguration über die `DeleteSecurityConfig` API löschen und mithilfe der neuen IAM Identity Center-Instanz eine neue Sicherheitskonfiguration erstellen. Der folgende Befehl kann verwendet werden, um einen IAM Identity Center-Anbieter zu löschen:

```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>
```

## Gewähren Sie dem IAM Identity Center Zugriff auf Sammlungsdaten
<a name="serverless-iam-identity-center-collection-data"></a>

Nachdem Ihr IAM Identity Center-Anbieter aktiviert wurde, können Sie die Zugriffsrichtlinie für Sammlungsdaten so aktualisieren, dass sie IAM Identity Center-Prinzipale einbezieht. Die IAM Identity Center-Prinzipale müssen im folgenden Format aktualisiert werden: 

```
[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
```

**Anmerkung**  
Amazon OpenSearch Serverless unterstützt nur eine IAM Identity Center-Instance für alle Kundensammlungen und kann bis zu 100 Gruppen für einen einzelnen Benutzer unterstützen. Wenn Sie versuchen, mehr als die zulässige Anzahl von Instances zu verwenden, kommt es zu Inkonsistenzen bei der Autorisierungsverarbeitung Ihrer Datenzugriffsrichtlinie und Sie erhalten eine `403` Fehlermeldung. 

Sie können Zugriff auf Sammlungen, Indizes oder beides gewähren. Wenn Sie möchten, dass verschiedene Benutzer unterschiedliche Berechtigungen haben, müssen Sie mehrere Regeln erstellen. Eine Liste der verfügbaren Berechtigungen finden Sie unter [Identity and Access Management in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Informationen zum Formatieren einer Zugriffsrichtlinie finden Sie unter [SAML-Identitäten Zugriff auf Sammlungsdaten gewähren](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies).