IAM Identity Center Trusted Identity Propagation Support para OpenSearch - OpenSearch Servicio Amazon
ConsideracionesModificación de la política de acceso al dominioConfiguración de la autenticación y autorización de Centro de identidades de IAM (consola)Configuración del control de acceso detalladoConfiguración de la autenticación y autorización del Centro de identidades de IAM (CLI)Deshabilitación de la autenticación del Centro de identidades de IAM en el dominio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAM Identity Center Trusted Identity Propagation Support para OpenSearch

Ahora puede utilizar los elementos principales del Centro de Identidad de AWS IAM (usuarios y grupos) configurados de forma centralizada mediante Trusted Identity Propagation para acceder a los dominios de Amazon OpenSearch Service a través de aplicaciones de OpenSearch servicio. Para habilitar el soporte del Centro de Identidad de IAM OpenSearch, necesitará habilitar el uso del Centro de Identidad de IAM. Para obtener más información sobre cómo hacerlo, consulte ¿Qué es el Centro de Identidad de IAM? . Consulte ¿Cómo asociar un OpenSearch dominio como fuente de datos en OpenSearch las aplicaciones? para obtener más información.

Puede configurar el Centro de identidades de IAM mediante la consola de OpenSearch servicio, el AWS Command Line Interface (AWS CLI) o el AWS SDKs.

nota

Dashboards (ubicado junto con el clúster) no admite las entidades principales del Centro de identidades de IAM. Solo se admiten a través de la interfaz de OpenSearch usuario centralizada (paneles de control).

Consideraciones

Antes de utilizar el Centro de identidades de IAM con Amazon OpenSearch Service, debe tener en cuenta lo siguiente:

  • El Centro de identidades de IAM debe estar habilitado en la cuenta.

  • El Centro de identidades de IAM debe estar disponible en su región.

  • La versión del OpenSearch dominio es 1.3 o posterior.

  • El Control de acceso detallado debe estar habilitado en el dominio.

  • El dominio debe estar en la misma región que la instancia del Centro de identidades de IAM.

  • El dominio y OpenSearch la aplicación pertenecen a la misma AWS cuenta.

Modificación de la política de acceso al dominio

Antes de configurar el Centro de identidades de IAM, debe actualizar la política de acceso al dominio o los permisos de la función de IAM configurada en OpenSearch las aplicaciones de Trusted Identity Propagation.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}

Configuración de la autenticación y autorización de Centro de identidades de IAM (consola)

Puede habilitar la autenticación y la autorización del Centro de identidades de IAM durante el proceso de creación del dominio o mediante la actualización de un dominio existente. Los pasos de configuración varían ligeramente según la opción que seleccione.

En los siguientes pasos se explica cómo configurar un dominio existente para la autenticación y autorización del Centro de Identidad de IAM en la consola de Amazon OpenSearch Service:

  1. En Configuración del dominio, vaya a Configuración de seguridad, seleccione Editar, vaya a la sección de autenticación del Centro de identidades de IAM y seleccione Habilitar el acceso a la API autenticado con el Centro de identidades de IAM.

  2. Seleccione la clave SubjectKey y Roles de la siguiente manera.

    • Clave de asunto: elija una de las siguientes opciones UserId (predeterminada) UserName y Correo electrónico para utilizar el atributo correspondiente como principal acceso al dominio.

    • Clave de funciones: elija una de las funciones GroupId (por defecto) y GroupName utilice los valores de atributo correspondientes como función de back-end fine-grained-access-controlpara todos los grupos asociados al iDC principal.

Una vez hechos los cambios, guarde el dominio.

Configuración del control de acceso detallado

Una vez que haya activado la opción Centro de identidad de IAM en su OpenSearch dominio, podrá configurar el acceso a los directores del Centro de Identidad de IAM creando una asignación de funciones con la función de back-end. El valor del rol de backend del director se basa en la pertenencia al grupo del director de iDC y en la configuración de o. RolesKey GroupId GroupName

nota

Amazon OpenSearch Service puede admitir hasta 100 grupos para un solo usuario. Si intenta utilizar más instancias de las permitidas, experimentará una incoherencia en el procesamiento de su fine-grained-access-control autorización y recibirá un mensaje de error 403.

Configuración de la autenticación y autorización del Centro de identidades de IAM (CLI)


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'

Deshabilitación de la autenticación del Centro de identidades de IAM en el dominio

Para inhabilitar el Centro de identidades de IAM en tu dominio: OpenSearch

  1. Seleccione el dominio, Acciones y Editar la configuración de seguridad.

  2. Desmarque Habilitar el acceso a la API autenticado con el Centro de identidades de IAM.

  3. Seleccione Save changes (Guardar cambios).

  4. Una vez que termine el procesamiento del dominio, elimine las asignaciones de roles agregadas para las entidades principales de IdC.

Para deshabilitar el Centro de identidades de IAM a través de la CLI, puede utilizar lo siguiente:


	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'