Soporte de IAM Identity Center para Amazon Serverless OpenSearch - OpenSearch Servicio Amazon
Soporte de IAM Identity Center para Amazon Serverless OpenSearch Crear un proveedor de Centro de identidades de IAM (consola)Crear un proveedor de Centro de identidades de IAM (AWS CLI)Eliminar un proveedor de Centro de identidades de IAM Conceder acceso de Centro de identidades de IAM a los datos de la colección

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Soporte de IAM Identity Center para Amazon Serverless OpenSearch

Soporte de IAM Identity Center para Amazon Serverless OpenSearch

Puede utilizar los elementos principales del IAM Identity Center (usuarios y grupos) para acceder a los datos de Amazon OpenSearch Serverless a través de Amazon Applications. OpenSearch Para habilitar la compatibilidad con IAM Identity Center para Amazon OpenSearch Serverless, necesitará habilitar el uso de IAM Identity Center. Para obtener más información sobre cómo hacerlo, consulte ¿Qué es Centro de identidades de IAM?

Una vez creada la instancia del IAM Identity Center, el administrador de la cuenta del cliente debe crear una aplicación del IAM Identity Center para el servicio Amazon OpenSearch Serverless. Esto se puede hacer llamando al:. CreateSecurityConfig El administrador de la cuenta del cliente puede especificar qué atributos se usarán para autorizar la solicitud. Los atributos predeterminados que se usan son UserId y GroupId..

La integración del Centro de identidad de IAM para Amazon OpenSearch Serverless utiliza los siguientes permisos del Centro de identidad de AWS IAM (IAM):

  • aoss:CreateSecurityConfig: crear un proveedor de Centro de identidades de IAM

  • aoss:ListSecurityConfig: enumerar todos los proveedores de Centro de identidades de IAM en la cuenta actual.

  • aoss:GetSecurityConfig: ver información del proveedor de Centro de identidades de IAM.

  • aoss:UpdateSecurityConfig: modificar una configuración determinada de Centro de identidades de IAM

  • aoss:DeleteSecurityConfig: eliminación de un proveedor de confianza de Centro de identidades de IAM.

La siguiente política de acceso basada en identidad se puede usar para administrar todas las configuraciones de Centro de identidades de IAM:

JSON
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
nota

El elemento Resource debe ser un comodín.

Crear un proveedor de Centro de identidades de IAM (consola)

Puede crear un proveedor de centros de identidad de IAM para habilitar la autenticación con la aplicación. OpenSearch Para habilitar la autenticación del IAM Identity Center para los OpenSearch paneles, lleve a cabo los siguientes pasos:

  1. Inicia sesión en la consola OpenSearch de Amazon Service.

  2. En el panel de navegación izquierdo, expanda sin servidor y elija Autenticación.

  3. Seleccione Autenticación de Centro de identidades de IAM.

  4. Seleccione Editar.

  5. Marque la casilla junto a Autenticarse con Centro de identidades de IAM.

  6. Seleccione la clave de atributo de usuario y grupo del menú desplegable. Los atributos de usuario se usarán para autorizar a los usuarios según UserName, UserId y Email. Los atributos de grupo se usarán para autenticar a los usuarios según GroupName y GroupId.

  7. Seleccione la instancia de Centro de identidades de IAM.

  8. Seleccione Guardar.

Crear un proveedor de Centro de identidades de IAM (AWS CLI)

Para crear un proveedor de un centro de identidad de IAM mediante AWS Command Line Interface (AWS CLI), utilice el siguiente comando:

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

Después de habilitar un Centro de identidades de IAM, los clientes solo pueden modificar los atributos de usuario y grupo.

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

Para ver el proveedor del centro de identidad de IAM mediante elAWS Command Line Interface, utilice el siguiente comando:

aws opensearchserverless list-security-configs --type iamidentitycenter

Eliminar un proveedor de Centro de identidades de IAM

El IAM Identity Center ofrece dos instancias de proveedores, una para su cuenta de organización y otra para su cuenta de miembro. Si necesita cambiar su instancia del Centro de identidades de IAM, debe eliminar su configuración de seguridad a través de la API de DeleteSecurityConfig y crear una nueva configuración de seguridad usando la nueva instancia del Centro de identidades de IAM. El siguiente comando se puede usar para eliminar un proveedor de Centro de identidades de IAM:

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Conceder acceso de Centro de identidades de IAM a los datos de la colección

Después de habilitar su proveedor del Centro de identidades de IAM, puede actualizar la política de acceso a los datos de la colección para incluir entidades principales del Centro de identidades de IAM. Las entidades principales de Centro de identidades de IAM deben actualizarse en el siguiente formato: 

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
nota

Amazon OpenSearch Serverless solo admite una instancia del centro de identidad de IAM para todas las colecciones de clientes y puede admitir hasta 100 grupos para un solo usuario. Si intenta usar más de la cantidad de instancias permitidas, experimentará inconsistencias con el procesamiento de autorización de la política de acceso a datos y recibirá un mensaje de error 403.

Puede concederles acceso a colecciones, índices o ambos. Si desea que diferentes usuarios tengan distintos permisos, deberá crear múltiples reglas. Para ver una lista de los permisos disponibles, consulta Identity and Access Management in Amazon OpenSearch Service. Para obtener información sobre cómo formatear una política de acceso, consulte Conceder acceso a identidades SAML a los datos de la colección.

IAM Identity Center ofrece dos instancias de proveedores, una para su cuenta de organización y otra para su cuenta miembro. Si necesita cambiar su instancia del Centro de identidades de IAM, debe eliminar su configuración de seguridad a través de la API de DeleteSecurityConfig y crear una nueva configuración de seguridad usando la nueva instancia del Centro de identidades de IAM. El siguiente comando se puede usar para eliminar un proveedor de Centro de identidades de IAM:

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>