Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenzugriffskontrolle für Amazon OpenSearch Serverless
Mit der Datenzugriffskontrolle in Amazon OpenSearch Serverless können Sie Benutzern den Zugriff auf Sammlungen und Indizes ermöglichen, unabhängig von ihrem Zugriffsmechanismus oder ihrer Netzwerkquelle. Sie können IAM-Rollen und [SAML-Identitäten](serverless-saml.md) Zugriff gewähren.
Sie verwalten Zugriffsberechtigungen über *Datenzugriffsrichtlinien*, die für Sammlungen und Indexressourcen gelten. Datenzugriffsrichtlinien unterstützen Sie bei der Verwaltung von Sammlungen in großem Umfang, indem sie automatisch Zugriffsberechtigungen für Sammlungen und Indizes zuweisen, die einem bestimmten Muster übereinstimmen. Für eine einzelne Ressource können mehrere Datenzugriffsrichtlinien gelten. Beachten Sie, dass Sie über eine Datenzugriffsrichtlinie für Ihre Sammlung verfügen müssen, um auf Ihre OpenSearch Dashboard-URL zugreifen zu können.
**Topics**
+ [Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien](#serverless-data-access-vs-iam)
+ [Für die Konfiguration von Datenzugriffsrichtlinien sind IAM-Berechtigungen erforderlich](#serverless-data-access-permissions)
+ [Richtliniensyntax](#serverless-data-access-syntax)
+ [Unterstützte Richtlinienberechtigungen](#serverless-data-supported-permissions)
+ [Beispieldatensätze auf Dashboards OpenSearch](#serverless-data-sample-index)
+ [Erstellen von Datenzugriffsrichtlinien (Konsole)](#serverless-data-access-console)
+ [Erstellen von Datenzugriffsrichtlinien (AWS CLI)](#serverless-data-access-cli)
+ [Ansicht von Datenzugriffsrichtlinien](#serverless-data-access-list)
+ [Aktualisieren von Datenzugriffsrichtlinien](#serverless-data-access-update)
+ [Löschen von Datenzugriffsrichtlinien](#serverless-data-access-delete)
+ [Kontoübergreifender Datenzugriff](#serverless-data-access-cross)
## Datenzugriffsrichtlinien im Vergleich zu IAM-Richtlinien
Datenzugriffsrichtlinien sind logisch von AWS Identity and Access Management (IAM-) Richtlinien getrennt. IAM-Berechtigungen steuern den Zugriff auf die [Serverless API-Operationen](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/Welcome.html) wie z. B. `CreateCollection` und `ListAccessPolicies`. Datenzugriffsrichtlinien steuern den Zugriff auf die von OpenSearch Serverless unterstützten [OpenSearch Operationen](#serverless-data-supported-permissions) wie oder. `PUT ` `GET _cat/indices`
Die IAM-Berechtigungen, die den Zugriff auf API-Operationen der Datenzugriffsrichtlinie steuern, wie z. B. `aoss:CreateAccessPolicy` and `aoss:GetAccessPolicy` (im nächsten Abschnitt beschrieben), wirken sich nicht auf die in einer Datenzugriffsrichtlinie angegebene Berechtigung aus.
Angenommen, eine IAM-Richtlinie verweigert einem Benutzer beispielsweise das Erstellen von Datenzugriffsrichtlinien für `collection-a`, erlaubt ihm jedoch, Datenzugriffsrichtlinien für alle Sammlungen (`*`) zu erstellen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aoss:collection": "collection-a"
}
}
},
{
"Effect": "Allow",
"Action": [
"aoss:CreateAccessPolicy"
],
"Resource": "*"
}
]
}
```
------
Wenn der Benutzer eine Datenzugriffsrichtlinie erstellt, die bestimmte Berechtigungen für *alle* Sammlungen (`collection/*` oder `index/*/*`) gewährt, gilt die Richtlinie für alle Sammlungen, einschließlich Sammlung A.
**Wichtig**
Die Erteilung von Berechtigungen im Rahmen einer Datenzugriffsrichtlinie reicht nicht aus, um auf Daten in Ihrer OpenSearch serverlosen Sammlung zuzugreifen. Einem zugehörigen Principal muss *außerdem* Zugriff auf die IAM-Berechtigungen `aoss:APIAccessAll` und gewährt werden. `aoss:DashboardsAccessAll` Beide Berechtigungen gewähren vollen Zugriff auf Sammlungsressourcen, während die Dashboard-Berechtigung auch Zugriff OpenSearch auf Dashboards gewährt. Wenn ein Principal nicht über diese beiden IAM-Berechtigungen verfügt, erhält er 403-Fehler, wenn er versucht, Anfragen an die Sammlung zu senden. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Für die Konfiguration von Datenzugriffsrichtlinien sind IAM-Berechtigungen erforderlich
Die Datenzugriffskontrolle für OpenSearch Serverless verwendet die folgenden IAM-Berechtigungen. Sie können IAM-Bedingungen festlegen, um Benutzer auf bestimmte Zugriffsrichtliniennamen zu beschränken.
+ `aoss:CreateAccessPolicy` – Erstellt eine Zugriffsrichtlinie.
+ `aoss:ListAccessPolicies` – Listet alle Zugriffsrichtlinien auf.
+ `aoss:GetAccessPolicy` – Zeigt Details zu einer bestimmten Zugriffsrichtlinie an.
+ `aoss:UpdateAccessPolicy` – Ändert eine Zugriffsrichtlinie.
+ `aoss:DeleteAccessPolicy` – Löscht eine Zugriffsrichtlinie.
Die folgende identitätsbasierte Zugriffsrichtlinie ermöglicht es einem Benutzer, alle Zugriffsrichtlinien anzuzeigen und Richtlinien zu aktualisieren, die das Ressourcenmuster `collection/logs` enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aoss:ListAccessPolicies",
"aoss:GetAccessPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"aoss:UpdateAccessPolicy"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aoss:collection": [
"logs"
]
}
}
}
]
}
```
------
**Anmerkung**
Darüber hinaus benötigt OpenSearch Serverless die `aoss:DashboardsAccessAll` Berechtigungen `aoss:APIAccessAll` und für die Erfassung von Ressourcen. Weitere Informationen finden Sie unter [OpenSearch API-Operationen verwenden](security-iam-serverless.md#security_iam_id-based-policy-examples-data-plane).
## Richtliniensyntax
Eine Datenzugriffsrichtlinie enthält eine Reihe von Regeln, die jeweils die folgenden Elemente enthalten:
| Element | Description |
| --- | --- |
| ResourceType | Der Ressourcentyp (Sammlung oder Index), für den die Berechtigungen gelten. Alias- und Vorlagenberechtigungen befinden sich auf Sammlungsebene, während Berechtigungen zum Erstellen, Ändern und Suchen von Daten auf Indexebene liegen. Weitere Informationen finden Sie unter [Unterstützte Richtlinienberechtigungen](#serverless-data-supported-permissions). |
| Resource | Eine Liste von and/or Mustern für Ressourcennamen. Muster sind Präfixe gefolgt von einem Platzhalter (\$1), wodurch die zugehörigen Berechtigungen auf mehrere Ressourcen angewendet werden können.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/opensearch-service/latest/developerguide/serverless-data-access.html) |
| Permission | Eine Liste der Berechtigungen, die für die angegebenen Ressourcen gewährt werden sollen. Eine vollständige Liste der Berechtigungen und der zulässigen API-Operationen finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations). |
| Principal | Eine Liste mit einem oder mehreren Prinzipalen, denen Zugriff gewährt werden soll. Bei den Prinzipalen kann es sich um IAM-Rollen ARNs - oder SAML-Identitäten handeln. Diese Prinzipien müssen dem aktuellen AWS-Konto entsprechen. Datenzugriffsrichtlinien unterstützen den kontoübergreifenden Zugriff nicht direkt, Sie können jedoch eine Rolle in Ihre Richtlinie aufnehmen, die ein Benutzer aus einem anderen Land in dem Konto übernehmen AWS-Konto kann, dem die Sammlung gehört. Weitere Informationen finden Sie unter [Kontoübergreifender Datenzugriff](#serverless-data-access-cross). |
Die folgende Beispielrichtlinie gewährt Alias- und Vorlagenberechtigungen für die Sammlung mit dem Namen `autopartsinventory` sowie alle Sammlungen, die mit dem Präfix `sales*` beginnen. Es gewährt auch Lese- und Schreibberechtigungen für alle Indizes innerhalb der `autopartsinventory`-Sammlung und alle Indizes in der `salesorders`-Sammlung, die mit dem Präfix `orders*` beginnen.
```
[
{
"Description": "Rule 1",
"Rules":[
{
"ResourceType":"collection",
"Resource":[
"collection/autopartsinventory",
"collection/sales*"
],
"Permission":[
"aoss:CreateCollectionItems",
"aoss:UpdateCollectionItems",
"aoss:DescribeCollectionItems"
]
},
{
"ResourceType":"index",
"Resource":[
"index/autopartsinventory/*",
"index/salesorders/orders*"
],
"Permission":[
"aoss:*"
]
}
],
"Principal":[
"arn:aws:iam::123456789012:user/Dale",
"arn:aws:iam::123456789012:role/RegulatoryCompliance",
"saml/123456789012/myprovider/user/Annie",
"saml/123456789012/anotherprovider/group/Accounting"
]
}
]
```
Sie können den Zugriff innerhalb einer Richtlinie nicht explizit verweigern. Daher sind alle Richtlinienberechtigungen additiv. Wenn beispielsweise eine Richtlinie einem Benutzer `aoss:ReadDocument` und eine andere Richtlinie `aoss:WriteDocument` gewährt, verfügt der Benutzer über *beide* Berechtigungen. Wenn eine dritte Richtlinie denselben Benutzer `aoss:*` gewährt, kann der Benutzer *alle* Aktionen für den zugeordneten Index ausführen. Restriktivere Berechtigungen überschreiben weniger restriktive nicht.
## Unterstützte Richtlinienberechtigungen
Die folgenden Berechtigungen werden in Datenzugriffsrichtlinien unterstützt. Informationen zu den OpenSearch API-Vorgängen, die die einzelnen Berechtigungen zulassen, finden Sie unter. [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations)
**Sammlungssberechtigungen**
+ `aoss:CreateCollectionItems`
+ `aoss:DeleteCollectionItems`
+ `aoss:UpdateCollectionItems`
+ `aoss:DescribeCollectionItems`
+ `aoss:*`
**Indexberechtigungen**
+ `aoss:ReadDocument`
+ `aoss:WriteDocument`
+ `aoss:CreateIndex`
+ `aoss:DeleteIndex`
+ `aoss:UpdateIndex`
+ `aoss:DescribeIndex`
+ `aoss:*`
## Beispieldatensätze auf Dashboards OpenSearch
OpenSearch Dashboards bietet [Beispieldatensätze](https://opensearch.org/docs/latest/dashboards/quickstart-dashboards/#adding-sample-data) mit Visualisierungen, Dashboards und anderen Tools, die Ihnen helfen, Dashboards zu erkunden, bevor Sie Ihre eigenen Daten hinzufügen. Um Indizes aus diesen Beispieldaten zu erstellen, benötigen Sie eine Datenzugriffsrichtlinie, die Berechtigungen für den Datensatz bereitstellt, mit dem Sie arbeiten möchten. Die folgende Richtlinie verwendet einen Platzhalter (`*`), um Berechtigungen für alle drei Beispieldatensätze zu gewähren.
```
[
{
"Rules": [
{
"Resource": [
"index//opensearch_dashboards_sample_data_*"
],
"Permission": [
"aoss:CreateIndex",
"aoss:DescribeIndex",
"aoss:ReadDocument"
],
"ResourceType": "index"
}
],
"Principal": [
"arn:aws:iam:::user/"
]
}
]
```
## Erstellen von Datenzugriffsrichtlinien (Konsole)
Sie können eine Datenzugriffsrichtlinie mit dem visuellen Editor oder im JSON-Format erstellen. Allen neuen Sammlungen, die mit einem der in der Richtlinie definierten Muster übereinstimmen, werden beim Erstellen der Sammlung die entsprechenden Berechtigungen zugewiesen.
**Um eine Richtlinie für den OpenSearch serverlosen Datenzugriff zu erstellen**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu [https://console.aws.amazon.com/aos/Hause](https://console.aws.amazon.com/aos/home ).
1. Erweitern Sie im linken Navigationsbereich **Serverless** und wählen Sie unter **Sicherheit** die Option **Datenzugriffsrichtlinien** aus.
1. Wählen Sie **Create access policy** (Zugriffsrichtlinie erstellen) aus.
1. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an.
1. Geben Sie einen Namen für die erste Regel in Ihrer Richtlinie an. Beispiel: „Zugriff auf die Protokollsammlung“.
1. Wählen Sie **Add principals** (Prinzipale hinzufügen) und wählen Sie eine oder mehrere IAM-Rollen oder [SAML users and groups](serverless-saml.md) (SAML-Benutzer und -Gruppen) aus, denen Sie Datenzugriff gewähren möchten.
**Anmerkung**
Um Prinzipale aus den Dropdown-Menüs auswählen zu können, müssen Sie über die `iam:ListUsers`- und `iam:ListRoles`-Berechtigungen (für IAM-Prinzipale) und die `aoss:ListSecurityConfigs`-Berechtigung (für SAML-Identitäten) verfügen.
1. Wählen Sie **Grant** (Gewähren) und wählen Sie die Alias-, Vorlagen- und Indexberechtigungen aus, um die zugehörigen Prinzipale zu erteilen. Eine vollständige Liste der Berechtigungen und des von ihnen gewährten Zugriffs finden Sie unter [Unterstützte OpenSearch API-Operationen und Berechtigungen](serverless-genref.md#serverless-operations).
1. (Optional) Konfigurieren Sie zusätzliche Regeln für die Richtlinie.
1. Wählen Sie **Erstellen** aus. Zwischen der Erstellung der Richtlinie und dem Erzwingen von Berechtigungen kann eine Verzögerung von etwa einer Minute liegen. Wenn es länger als 5 Minuten dauert, wenden Sie sich an [Support](https://console.aws.amazon.com/support/home).
**Wichtig**
Wenn Ihre Richtlinie nur Indexberechtigungen (und keine Sammlungsberechtigungen) umfasst, wird Ihnen möglicherweise trotzdem eine Meldung mit dem Hinweis `Collection cannot be accessed yet. Configure data access policies so that users can access the data within this collection` für passende Sammlungen angezeigt. Sie können diese Warnung ignorieren. Zulässige Prinzipale können weiterhin ihre zugewiesenen indexbezogenen Operationen für die Sammlung ausführen.
## Erstellen von Datenzugriffsrichtlinien (AWS CLI)
Verwenden Sie den Befehl, um eine Datenzugriffsrichtlinie mithilfe der OpenSearch Serverless API zu erstellen. `CreateAccessPolicy` Der Befehl akzeptiert sowohl Inline-Richtlinien als auch .json-Dateien. Inline-Richtlinien müssen als [JSON-Zeichenfolge mit Escape-Zeichen](https://www.freeformatter.com/json-escape.html) codiert werden.
Die folgende Anfrage erstellt eine Datenzugriffsrichtlinie:
```
aws opensearchserverless create-access-policy \
--name marketing \
--type data \
--policy "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]"
```
Verwenden Sie das Format `--policy file://my-policy.json`, um die Richtlinie in einer .json-Datei bereitzustellen.
Die in der Richtlinie enthaltenen Prinzipale können jetzt die [OpenSearch Operationen](#serverless-data-supported-permissions) verwenden, für die ihnen Zugriff gewährt wurde.
## Ansicht von Datenzugriffsrichtlinien
Bevor Sie eine Sammlung erstellen, möchten Sie möglicherweise eine Vorschau der vorhandenen Datenzugriffsrichtlinien in Ihrem Konto anzeigen, um zu sehen, welche ein Ressourcenmuster hat, das mit dem Namen Ihrer Sammlung übereinstimmt. In der folgenden [ListAccessPolicies](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_ListAccessPolicies.html)Anfrage werden alle Datenzugriffsrichtlinien in Ihrem Konto aufgeführt:
```
aws opensearchserverless list-access-policies --type data
```
Die Anfrage gibt Informationen über alle konfigurierten Datenzugriffsrichtlinien zurück. Die Musterregeln, die in einer bestimmten Richtlinie definiert sind, finden Sie im Inhalt des `accessPolicySummaries` Elements in der Antwort. Notieren Sie sich das `name` Ende `type` dieser Richtlinie und verwenden Sie diese Eigenschaften in einer [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)Anfrage, um eine Antwort mit den folgenden Richtliniendetails zu erhalten:
```
{
"accessPolicyDetails": [
{
"type": "data",
"name": "my-policy",
"policyVersion": "MTY2NDA1NDE4MDg1OF8x",
"description": "My policy",
"policy": "[{\"Rules\":[{\"ResourceType\":\"collection\",\"Resource\":[\"collection/autopartsinventory\",\"collection/sales*\"],\"Permission\":[\"aoss:UpdateCollectionItems\"]},{\"ResourceType\":\"index\",\"Resource\":[\"index/autopartsinventory/*\",\"index/salesorders/orders*\"],\"Permission\":[\"aoss:ReadDocument\",\"aoss:DescribeIndex\"]}],\"Principal\":[\"arn:aws:iam::123456789012:user/Shaheen\"]}]",
"createdDate": 1664054180858,
"lastModifiedDate": 1664054180858
}
]
}
```
Sie können Ressourcenfilter einbeziehen, um die Ergebnisse auf Richtlinien zu beschränken, die bestimmte Sammlungen oder Indizes enthalten:
```
aws opensearchserverless list-access-policies --type data --resource "index/autopartsinventory/*"
```
Verwenden Sie den [GetAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_GetAccessPolicy.html)Befehl, um Details zu einer bestimmten Richtlinie anzuzeigen.
## Aktualisieren von Datenzugriffsrichtlinien
Wenn Sie eine Datenzugriffsrichtlinie aktualisieren, wirkt sich dies auf alle zugehörigen Sammlungen aus. Um eine Datenzugriffsrichtlinie in der OpenSearch Serverless-Konsole zu aktualisieren, wählen Sie **Datenzugriffskontrolle**, wählen Sie die zu ändernde Richtlinie aus und klicken Sie auf **Bearbeiten**. Nehmen Sie Ihre Änderungen vor und wählen Sie **Save** (Speichern).
Um eine Datenzugriffsrichtlinie mithilfe der OpenSearch Serverless API zu aktualisieren, senden Sie eine `UpdateAccessPolicy` Anfrage. Sie müssen eine Richtlinienversion einbeziehen, die Sie mit den `ListAccessPolicies`- oder `GetAccessPolicy`-Befehlen abrufen können. Durch die Angabe der neuesten Richtlinienversion wird sichergestellt, dass Sie nicht versehentlich eine von einem anderen Benutzer vorgenommene Änderung überschreiben.
Die folgende [UpdateAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_UpdateAccessPolicy.html)Anfrage aktualisiert eine Datenzugriffsrichtlinie mit einem neuen JSON-Richtliniendokument:
```
aws opensearchserverless update-access-policy \
--name sales-inventory \
--type data \
--policy-version MTY2NDA1NDE4MDg1OF8x \
--policy file://my-new-policy.json
```
Zwischen dem Aktualisieren der Richtlinie und dem Erzwingen der neuen Berechtigungen kann es einige Minuten Verzögerung geben.
## Löschen von Datenzugriffsrichtlinien
Wenn Sie eine Datenzugriffsrichtlinie löschen, verlieren alle zugehörigen Sammlungen den in der Richtlinie definierten Zugriff. Stellen Sie sicher, dass Ihre IAM- und SAML-Benutzer über den entsprechenden Zugriff auf die Sammlung verfügen, bevor Sie eine Richtlinie löschen. Um eine Richtlinie in der OpenSearch Serverless-Konsole zu löschen, wählen Sie die Richtlinie aus und klicken Sie auf **Löschen**.
Sie können auch den [DeleteAccessPolicy](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_DeleteAccessPolicy.html)folgenden Befehl verwenden:
```
aws opensearchserverless delete-access-policy --name my-policy --type data
```
## Kontoübergreifender Datenzugriff
Sie können zwar keine Datenzugriffsrichtlinie mit kontoübergreifender Identität oder kontoübergreifender Erfassung erstellen, aber Sie können mit der Option „Rolle übernehmen“ dennoch einen kontoübergreifenden Zugriff einrichten. Wenn Sie beispielsweise `account-a` Eigentümer einer Sammlung sind, für die Zugriff `account-b` erforderlich ist, `account-b` kann der Benutzer von aus eine Rolle darin übernehmen. `account-a` Die Rolle muss über die IAM-Berechtigungen verfügen `aoss:APIAccessAll` und `aoss:DashboardsAccessAll` in der Datenzugriffsrichtlinie enthalten sein. `account-a`