IAMSoporte de Identity Center para Amazon OpenSearch Serverless - OpenSearch Servicio Amazon
IAMSoporte de Identity Center para Amazon OpenSearch ServerlessCrear un proveedor IAM de Identity Center (consola)Crear un proveedor de centros de IAM identidad (AWS CLI)Eliminar un proveedor IAM de Identity Center Otorgar a IAM Identity Center acceso a los datos de recopilación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMSoporte de Identity Center para Amazon OpenSearch Serverless

IAMSoporte de Identity Center para Amazon OpenSearch Serverless

Puede utilizar los elementos principales del Centro de IAM Identidad (usuarios y grupos) para acceder a los datos de Amazon OpenSearch Serverless a través de Amazon OpenSearch Applications. Para habilitar el soporte de IAM Identity Center para Amazon OpenSearch Serverless, necesitará habilitar el uso de IAM Identity Center. Para obtener más información sobre cómo hacerlo, consulte ¿Qué es IAM Identity Center?

Una vez creada la instancia de IAM Identity Center, el administrador de la cuenta del cliente debe crear una aplicación de IAM Identity Center para el servicio Amazon OpenSearch Serverless. Esto se puede hacer llamando al CreateSecurityConfig:. El administrador de la cuenta del cliente puede especificar qué atributos se utilizarán para autorizar la solicitud. Los atributos predeterminados que se utilizan son y UserId GroupId.

La integración de IAM Identity Center para Amazon OpenSearch Serverless utiliza los siguientes permisos de AWS IAM Identity Center (IAM):

  • aoss:CreateSecurityConfig— Crear un proveedor de centros de identidad IAM

  • aoss:ListSecurityConfig— Listar todos los proveedores de centros de IAM identidad de la cuenta corriente.

  • aoss:GetSecurityConfig— Ver la información de los proveedores de IAM Identity Center.

  • aoss:UpdateSecurityConfig— Modificar una configuración determinada del Centro de IAM Identidad

  • aoss:DeleteSecurityConfig— Eliminar un proveedor de centros de IAM identidad.

La siguiente política de acceso basada en la identidad se puede usar para administrar todas las configuraciones del IAM Identity Center:

{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
nota

El Resource elemento debe ser un comodín.

Crear un proveedor IAM de Identity Center (consola)

Puede crear un proveedor de IAM Identity Center para habilitar la autenticación con OpenSearch la aplicación. Para habilitar la autenticación de IAM Identity Center para los OpenSearch paneles, lleve a cabo los siguientes pasos:

  1. Inicia sesión en la consola OpenSearch de Amazon Service.

  2. En el panel de navegación izquierdo, expande Serverless y selecciona Autenticación.

  3. Elija la autenticación IAM de Identity Center.

  4. Seleccione Editar

  5. Marque la casilla situada junto a Autenticarse con IAM Identity Center.

  6. Seleccione la clave de atributo de usuario y grupo en el menú desplegable. Los atributos de usuario se utilizarán para autorizar a los usuarios en función de UserNameUserId, yEmail. Los atributos de grupo se utilizarán para autenticar a los usuarios en función de GroupName yGroupId.

  7. Seleccione la instancia de IAMIdentity Center.

  8. Seleccione Guardar

Crear un proveedor de centros de IAM identidad (AWS CLI)

Para crear un proveedor de IAM Identity Center mediante AWS Command Line Interface (AWS CLI), utilice el siguiente comando:

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

Una vez que se habilita un centro de IAM identidad, los clientes solo pueden modificar los atributos de usuario y grupo.

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

Para ver el proveedor del Centro de IAM Identidad mediante el AWS Command Line Interface, utilice el siguiente comando:

aws opensearchserverless list-security-configs --type iamidentitycenter

Eliminar un proveedor IAM de Identity Center

IAMIdentity Center ofrece dos instancias de proveedores, una para la cuenta de su organización y otra para la cuenta de miembro. Si necesita cambiar su instancia de IAM Identity Center, debe eliminar la configuración de seguridad mediante la nueva instancia de Identity Center DeleteSecurityConfig API y crear una nueva configuración de seguridad mediante la nueva instancia de IAM Identity Center. Se puede usar el siguiente comando para eliminar un proveedor de IAM Identity Center:

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

Otorgar a IAM Identity Center acceso a los datos de recopilación

Una vez que su proveedor de IAM Identity Center esté habilitado, puede actualizar la política de acceso a los datos de recopilación para incluir a los IAM responsables del Identity Center. IAM Los directores de Identity Center deben actualizarse en el siguiente formato: 

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
nota

Amazon OpenSearch Serverless solo admite una instancia de IAM Identity Center para todas las colecciones de clientes y puede admitir hasta 100 grupos para un solo usuario. Si intenta utilizar más instancias de las permitidas, experimentará una incoherencia en el procesamiento de las autorizaciones de su política de acceso a los datos y recibirá un 403 mensaje de error.

Puede concederles acceso a colecciones, índices o ambos. Si quieres que distintos usuarios tengan permisos diferentes, tendrás que crear varias reglas. Para ver una lista de los permisos disponibles, consulta Identity and Access Management in Amazon OpenSearch Service. Para obtener información sobre cómo formatear una política de acceso, consulta Cómo conceder a SAML las identidades el acceso a los datos de la colección.

IAMIdentity Center ofrece dos instancias de proveedores, una para la cuenta de su organización y otra para la cuenta de miembro. Si necesita cambiar su instancia de IAM Identity Center, debe eliminar la configuración de seguridad mediante la nueva instancia de Identity Center DeleteSecurityConfig API y crear una nueva configuración de seguridad mediante la nueva instancia de IAM Identity Center. Se puede usar el siguiente comando para eliminar un proveedor de IAM Identity Center:

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>