Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management in Amazon OpenSearch Service
Amazon OpenSearch Service offre diversi modi per controllare l'accesso ai tuoi domini. In questa sezione sono descritti i diversi tipi di policy, il modo in cui interagiscono tra loro ed è riportato come creare le policy personalizzate.
**Importante**
Il supporto VPC introduce alcune considerazioni aggiuntive sul controllo degli accessi ai OpenSearch servizi. Per ulteriori informazioni, consulta [Informazioni sulle policy d'accesso nei domini VPC](vpc.md#vpc-security).
## Tipi di policy
OpenSearch Il servizio supporta tre tipi di politiche di accesso:
+ [Policy basate sulle risorse](#ac-types-resource)
+ [Policy basate sull’identità](#ac-types-identity)
+ [Policy basate su IP](#ac-types-ip)
### Policy basate sulle risorse
Quando si crea un dominio, viene aggiunta una policy basata su risorse, talvolta denominata policy di accesso al dominio. Queste policy specificano le operazioni che un principale può eseguire sulle *risorse secondarie* del dominio (con l'eccezione della [ricerca tra cluster](cross-cluster-search.md#cross-cluster-search-walkthrough)). Le sottorisorse includono OpenSearch indici e. APIs L'elemento della policy JSON [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) in IAM specifica gli account, gli utenti o i ruoli a cui è consentito l'accesso. L'elemento della policy [Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) JSON specifica a quali sottorisorse possono accedere questi principali.
Ad esempio, la seguente policy basata sulle risorse concede un accesso completo `test-user` (`es:*`) alle risorse secondarie in `test-domain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:*"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
Due considerazioni importanti si applicano a questa policy:
+ Questi privilegi si applicano solo a questo dominio. A meno che non vengano create policy simili su altri domini, `test-user` può accedere solo a `test-domain`.
+ I caratteri `/*` finali nell'elemento `Resource` sono significativi e indicano che le policy basate sulle risorse si applicano solo alle risorse secondarie del dominio e non al dominio stesso. Nelle policy basate sulle risorse, l'operazione `es:*` equivale a `es:ESHttp*`.
Ad esempio, `test-user` può effettuare richieste su un indice (`GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index`), ma non è in grado di aggiornare la configurazione del dominio (`POST https://es.us-west-1.amazonaws.com/2021-01-01/opensearch/domain/test-domain/config`). Nota la differenza tra i due endpoint. [L'accesso all'API di configurazione richiede una politica basata sull'identità.](#ac-types-identity)
È possibile specificare un nome di indice parziale aggiungendo un carattere jolly. Questo esempio identifica gli indici che iniziano con `commerce`:
```
arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce*
```
In questo caso, l'uso del carattere jolly significa che `test-user` può fare richieste agli indici nel dominio `test-domain` che hanno nomi che iniziano con `commerce`.
Per limitare ulteriormente `test-user`, è possibile applicare la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/_search"
}
]
}
```
------
Ora `test-user` è in grado di eseguire un'unica operazione: effettua una ricerca sull'indice `commerce-data`. Tutti gli altri indici all'interno del dominio sono inaccessibili e senza le autorizzazioni necessarie per utilizzare le operazioni `es:ESHttpPut` o `es:ESHttpPost`, `test-user` non è in grado di aggiungere o modificare i documenti.
Quindi, è possibile decidere di configurare un ruolo per gli utenti avanzati. Questa politica consente `power-user-role` l'accesso ai metodi HTTP GET e PUT per tutti gli URIs elementi dell'indice:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/power-user-role"
]
},
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/*"
}
]
}
```
------
Se il dominio si trova in un VPC o utilizza un controllo granulare degli accessi, è possibile usare una policy di accesso al dominio aperto. In caso contrario, la policy di accesso al dominio deve contenere alcune limitazioni, sia per principal che per indirizzo IP.
Per ulteriori informazioni su tutte le azioni disponibili, consultare [Riferimenti agli elementi della policy](#ac-reference). Per un controllo molto più dettagliato sui dati, utilizzare una policy di accesso al dominio aperto con il [controllo granulare degli accessi](fgac.md).
### Policy basate sull’identità
A differenza delle policy basate sulle risorse, che fanno parte di ogni dominio di OpenSearch servizio, le policy basate sull'identità vengono associate a utenti o ruoli utilizzando il servizio (IAM). AWS Identity and Access Management Proprio come le policy [basate sulle risorse](#ac-types-resource), le policy basate su identità specificano chi può accedere a un servizio, quali azioni può eseguire e, ove applicabile, le risorse su cui può eseguire tali operazioni.
Mentre le policy basate su identità tendono a essere più generiche. Spesso regolamentano solo le operazioni delle API di configurazione che possono essere eseguite da un utente. Dopo aver implementato queste politiche, è possibile utilizzare le politiche basate sulle risorse (o il controllo [granulare degli accessi) in Service per offrire agli utenti l'accesso agli indici](fgac.md) e. OpenSearch OpenSearch APIs
**Nota**
Gli utenti con la `AmazonOpenSearchServiceReadOnlyAccess` policy AWS gestita non possono visualizzare lo stato di integrità del cluster sulla console. Per consentire loro di visualizzare lo stato di integrità del cluster (e altri OpenSearch dati), aggiungi l'`es:ESHttpGet`azione a una politica di accesso e allegala ai loro account o ruoli.
Poiché le policy basate su identità si collegano a utenti o ruoli (principali), il formato JSON non specifica un principale. La policy seguente consente di concedere l'accesso alle azioni che iniziano con `Describe` e `List`. Questa combinazione di azioni fornisce accesso in sola lettura alle configurazioni di dominio, ma non ai dati archiviati nel dominio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:Describe*",
"es:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Un amministratore potrebbe avere pieno accesso al OpenSearch servizio e a tutti i dati archiviati su tutti i domini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Le policy basate sull'identità consentono di utilizzare i tag per controllare l'accesso all'API di configurazione. La policy riportata di seguito, ad esempio, consente ai principal collegati di visualizzare e aggiornare la configurazione di un dominio se il dominio dispone del tag `team:devops`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:UpdateDomainConfig",
"es:DescribeDomain",
"es:DescribeDomainConfig"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/team": [
"devops"
]
}
}
}]
}
```
------
Puoi anche utilizzare i tag per controllare l'accesso all' OpenSearch API. Le politiche basate su tag per l' OpenSearch API si applicano solo ai metodi HTTP. Ad esempio, la seguente politica consente ai principali collegati di inviare richieste GET e PUT all' OpenSearch API se il dominio ha il `environment:production` tag:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}]
}
```
------
Per un controllo più granulare dell' OpenSearch API, prendi in considerazione l'utilizzo di un controllo [granulare degli accessi](fgac.md).
**Nota**
Dopo averne aggiunto uno o più OpenSearch APIs a qualsiasi politica basata su tag, devi eseguire un'unica [operazione sui tag](managedomains-awsresourcetagging.md) (ad esempio aggiungere, rimuovere o modificare un tag) affinché le modifiche abbiano effetto su un dominio. È necessario utilizzare il software di servizio R20211203 o versione successiva per includere le operazioni OpenSearch API nelle politiche basate su tag.
OpenSearch Il servizio supporta le chiavi `RequestTag` di condizione `TagKeys` globali per l'API di configurazione, non l'API. OpenSearch Queste condizioni si applicano solo alle chiamate API che includono tag all'interno della richiesta, ad esempio `CreateDomain`, `AddTags` e `RemoveTags`. La policy seguente consente ai principal collegati di creare domini, ma solo se includono il tag `team:it` nella richiesta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"es:CreateDomain",
"es:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/team": [
"it"
]
}
}
}
}
```
------
*Per ulteriori informazioni sull'utilizzo dei tag per il controllo degli accessi e sulle differenze tra le politiche basate sulle risorse e quelle basate sull'identità, consulta la sezione [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.*
### Policy basate su IP
Le policy basate su IP limitano l'accesso a un dominio a uno o più indirizzi IP o blocchi CIDR. Tecnicamente, le policy basate su IP non sono un tipo distinto di policy. Sono invece solo politiche basate sulle risorse che specificano un principale anonimo e includono una condizione speciale. *Per informazioni, consulta [IAM JSON Policy elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella IAM User Guide.*
L'attrattiva principale delle policy basate su IP è che consentono richieste non firmate a un dominio di OpenSearch servizio, il che consente di utilizzare client come [curl](https://curl.haxx.se/) e [OpenSearch Dashboards](dashboards.md) o accedere al dominio tramite un server proxy. Per ulteriori informazioni, consultare [Utilizzo di un proxy per accedere al servizio da dashboard OpenSearch](dashboards.md#dashboards-proxy).
**Nota**
Se è stato abilitato l'accesso VPC al dominio, non è possibile configurare una policy basata su IP. Puoi invece utilizzare `security groups` per controllare quali indirizzi IP possono accedere al dominio. Per ulteriori informazioni, consulta i seguenti argomenti:
[Informazioni sulle policy d'accesso nei domini VPC](vpc.md#vpc-security)
[Controlla il traffico verso AWS le tue risorse utilizzando i gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) nella *Amazon VPC* User Guide
La seguente policy concede a tutte le richieste HTTP che provengono dall'intervallo di IP specificato l'accesso a `test-domain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
Se il dominio dispone di un endpoint pubblico e non utilizza il [controllo granulare degli accessi](fgac.md), è consigliabile combinare le entità IAM e gli indirizzi IP. Questa policy concede l'accesso HTTP `test-user` solo se la richiesta proviene dall'intervallo IP specificato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}]
}
```
------
# Effettuazione e firma di richieste OpenSearch di assistenza
Anche se configuri una politica di accesso completamente aperta basata su risorse, *tutte le* richieste all'API di configurazione del OpenSearch servizio devono essere firmate. Se le tue policy specificano ruoli o utenti IAM, OpenSearch APIs anche le richieste devono essere firmate utilizzando AWS Signature Version 4. Il metodo della firma differisce in base alle API:
+ Per effettuare chiamate all'API OpenSearch di configurazione del servizio, ti consigliamo di utilizzare una delle [AWS SDKs](https://docs.aws.amazon.com/sdkref/latest/guide/overview.html). Semplifica SDKs notevolmente il processo e può farti risparmiare una notevole quantità di tempo rispetto alla creazione e alla firma delle tue richieste. Gli endpoint dell'API di configurazione utilizzano il seguente formato:
```
es.region.amazonaws.com/2021-01-01/
```
Ad esempio, la seguente richiesta consente di apportare una modifica di configurazione al dominio `movies`, ma l'utente deve firmarla manualmente (scelta non consigliata):
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/movies/config
{
"ClusterConfig": {
"InstanceType": "c5.xlarge.search"
}
}
```
Se utilizzi uno di questi SDKs, come [Boto 3](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html#OpenSearchService.Client.update_domain_config), l'SDK gestisce automaticamente la firma della richiesta:
```
import boto3
client = boto3.client(es)
response = client.update_domain_config(
DomainName='movies',
ClusterConfig={
'InstanceType': 'c5.xlarge.search'
}
)
```
Per un esempio di codice Java, consulta [Utilizzo di AWS SDKs per interagire con Amazon OpenSearch Service](configuration-samples.md).
+ Per effettuare chiamate verso OpenSearch APIs, è necessario firmare le proprie richieste. Quindi OpenSearch APIs usa il seguente formato:
```
domain-id.region.es.amazonaws.com
```
Ad esempio, la seguente richiesta esegue una ricerca nell'indice `movies` per *thor*:
```
GET https://my-domain.us-east-1.es.amazonaws.com/movies/_search?q=thor
```
**Nota**
Il servizio ignora i parametri passati URLs per le richieste HTTP POST firmate con Signature Version 4.
## Quando le policy entrano in collisione
Sorgono problemi quando le policy dissentono o non effettuano alcuna menzione esplicita di un utente. Il [funzionamento di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html) nella *IAM User Guide* fornisce un riepilogo conciso della logica di valutazione delle policy:
+ Come impostazione predefinita, tutte le richieste vengono negate.
+ Un permesso esplicito sostituisce questa impostazione di default.
+ Un rifiuto esplicito sovrascrive tutti i consensi.
Ad esempio, se una policy basata sulle risorse ti concede l'accesso a una sottorisorsa di dominio (un OpenSearch indice o un'API), ma una policy basata sull'identità ti nega l'accesso, ti viene negato l'accesso. Se una policy basata sull'identità consente l'accesso e una policy basata sulle risorse non specifica se si dispone o meno dell'accesso, è consentito l'accesso. Consultare la seguente tabella di policy che si sovrappongono per un riepilogo dei risultati per le risorse secondarie del dominio.
****
| | Consentito nella policy basata sulle risorse | Rifiutato nella policy basata sulle risorse | Non consentito né rifiutato nella policy basata sulle risorse |
| --- |--- |--- |--- |
| **Allowed in identity-based policy** | Consenso | Rifiuta | Consenso |
| --- |--- |--- |--- |
| **Denied in identity-based policy** | Rifiuta | Rifiuta | Rifiuta |
| --- |--- |--- |--- |
| **Neither allowed nor denied in identity-based policy** | Consenso | Rifiuta | Rifiuta |
| --- |--- |--- |--- |
## Riferimenti agli elementi della policy
OpenSearch Il servizio supporta la maggior parte degli elementi delle policy nello [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) Policy Elements Reference, ad eccezione di. `NotPrincipal` La tabella riportata di seguito mostra gli elementi più comuni.
****
| Elemento della policy JSON | Riepilogo |
| --- | --- |
| Version | La versione corrente del linguaggio della policy è `2012-10-17`. Tutte le policy d'accesso devono specificare questo valore. |
| Effect | L'elemento specifica se l'istruzione consente o nega l'accesso alle azioni specificate. I valori validi sono `Allow` e `Deny`. |
| Principal | Questo elemento specifica il ruolo Account AWS o l'utente IAM a cui è consentito o negato l'accesso a una risorsa e può assumere diverse forme: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/ac.html) La specifica del carattere jolly `*` consente l'accesso anonimo al dominio, che non è consigliabile a meno che non si aggiunga una [condizione basata su IP](#ac-types-ip), non si usi il [supporto VPC](vpc.md) o non si abiliti [il controllo granulare degli accessi](fgac.md). Inoltre, esamina attentamente le seguenti politiche per confermare che non garantiscano un ampio accesso: Policy basate sull'identità collegate ai principali AWS associati (ad esempio, ruoli IAM) Politiche basate sulle risorse allegate alle AWS risorse associate (ad esempio, chiavi KMS) AWS Key Management Service |
| Action | OpenSearch Il servizio utilizza `ESHttp*` azioni per i metodi HTTP. OpenSearch Il resto delle operazioni si applica all'API di configurazione.Alcune azioni `es:` supportano le autorizzazioni a livello di risorsa. Ad esempio, è possibile assegnare a un utente autorizzazioni per eliminare un determinato dominio senza garantirgli le autorizzazioni per eliminare *qualsiasi* dominio. Altre azioni si applicano solo al servizio. Ad esempio, `es:ListDomainNames` non ha senso nel contesto di un singolo dominio e quindi richiede un carattere jolly.Per un elenco di tutte le azioni disponibili e se si applicano alle sottorisorse del dominio (`test-domain/*`), alla configurazione del dominio (`test-domain`) o solo al servizio (`*`), consulta [Azioni, risorse e chiavi di condizione per Amazon OpenSearch Service nel Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html) *Authorization* ReferenceLe policy basate sulle risorse differiscono dalle autorizzazioni a livello di risorsa. Le [policy basate sulle risorse](#ac-types-resource) sono policy JSON complete che si collegano ai domini. Le autorizzazioni a livello di risorsa consentono di limitare le azioni a particolari domini o risorse secondarie. In pratica, si possono considerare le autorizzazioni a livello di risorsa una parte opzionale di una policy basata sulle risorse o sull'identità.Mentre le autorizzazioni a livello di risorsa per `es:CreateDomain` potrebbero sembrare poco intuitive (dopo tutto, perché offrire a un utente le autorizzazioni per creare un dominio già esistente?) l'uso di un carattere jolly consente di implementare uno schema di denominazione semplice per i domini, ad esempio `"Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*"`.Naturalmente, è ugualmente possibile includere azioni insieme a elementi di risorse meno restrittivi, come i seguenti: JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeDomain"
],
"Resource": "*"
}
]
}
``` Per ulteriori informazioni sull'accoppiamento di azioni e risorse, fare riferimento all'elemento `Resource` in questa tabella. |
| Condition | OpenSearch Il servizio supporta la maggior parte delle condizioni descritte nelle [chiavi di contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) nella *IAM User Guide*. Le eccezioni più importanti includono la `aws:PrincipalTag` chiave, che OpenSearch Service non supporta. Durante la configurazione di una [policy basata su IP](#ac-types-ip), è necessario specificare gli indirizzi IP o i blocchi CIDR come condizione, come ad esempio: "Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/32"
]
}
} Come indicato in[Policy basate sull’identità](#ac-types-identity), i tasti `aws:ResourceTag``aws:RequestTag`, e `aws:TagKeys` condition si applicano all'API di configurazione e al. OpenSearch APIs |
| Resource | OpenSearch Il servizio utilizza `Resource` gli elementi in tre modi fondamentali: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/ac.html) Per ulteriori informazioni su quali azioni supportano le autorizzazioni a livello di risorsa, fare riferimento all'elemento `Action` in questa tabella. |
## Opzioni avanzate e considerazioni sulle API
OpenSearch Il servizio ha diverse opzioni avanzate, una delle quali ha implicazioni sul controllo degli accessi:. `rest.action.multi.allow_explicit_index` Con l'impostazione predefinita true, consente agli utenti di ignorare le autorizzazioni a livello di risorsa secondaria in determinate circostanze.
Ad esempio, considerare la seguente policy basata sulle risorse:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": [
"arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*",
"arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
Questa politica garantisce l'accesso `test-user` completo `test-index` e alla OpenSearch massa delle API. Consente inoltre `GET` le richieste a `restricted-index`.
La seguente richiesta di indicizzazione, come è prevedibile, ha esito negativo a causa di un errore delle autorizzazioni:
```
PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1
{
"title": "Your Name",
"director": "Makoto Shinkai",
"year": "2016"
}
```
A differenza dell'API dell'indice, l'API bulk consente la creazione, l'aggiornamento e l'eliminazione di molti documenti in una sola chiamata. Tuttavia spesso si specificano queste operazioni nel corpo della richiesta, anziché nell'URL della richiesta. Poiché OpenSearch Service utilizza URLs per controllare l'accesso alle sottorisorse del dominio, `test-user` può, in effetti, utilizzare l'API in blocco per apportare modifiche a. `restricted-index` Anche se l'utente non dispone di autorizzazioni `POST` per l'indice, la seguente richiesta **ha esito positivo**:
```
POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk
{ "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } }
{ "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }
```
In questo caso, la policy d'accesso non riesce a soddisfare i suoi intenti. Per impedire agli utenti di aggirare questi tipi di restrizioni, è possibile modificare `rest.action.multi.allow_explicit_index` in false. Se questo valore è falso, tutte le chiamate a bulk, mget e msearch APIs che specificano i nomi degli indici nel corpo della richiesta smettono di funzionare. In altre parole, le chiamate a `_bulk` non funzionano, ma le chiamate a `test-index/_bulk` sì. Questo secondo endpoint contiene un nome dell'indice, perciò non è necessario specificarne uno nel corpo nella richiesta.
[OpenSearch Le dashboard](dashboards.md) si basano molto su mget e msearch, quindi è improbabile che funzionino correttamente dopo questa modifica. Per una correzione parziale, puoi lasciare impostato `rest.action.multi.allow_explicit_index` come true e negare a determinati utenti l'accesso a uno o più di questi. APIs
Per informazioni su come modificare questa impostazione, consultare [Impostazioni avanzate del cluster](createupdatedomains.md#createdomain-configure-advanced-options).
Analogamente, la seguente policy basata sulle risorse contiene due problemi di lieve entità:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
},
{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
+ Nonostante il rifiuto esplicito, `test-user` può comunque effettuare chiamate come `GET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_search` e `GET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search` per accedere ai documenti in `restricted-index`.
+ Poiché l'elemento `Resource` fa riferimento a `restricted-index/*`, `test-user` non dispone delle autorizzazioni per accedere direttamente ai documenti dell'indice. L'utente, tuttavia, dispone delle autorizzazioni necessarie per *eliminare l'intero indice*. Per prevenire l'accesso e l'eliminazione, la policy deve specificare `restricted-index*`.
Anziché combinare permessi ampi e negazioni strette, la soluzione più sicura è seguire il principio del [privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) e concedere solo le autorizzazioni necessarie per eseguire un'operazione. Per ulteriori informazioni sul controllo dell'accesso a singoli indici o OpenSearch operazioni, vedere. [Controllo granulare degli accessi in Amazon Service OpenSearch](fgac.md)
**Importante**
Specificando il carattere jolly \$1 si abilita l'accesso anonimo al dominio. Non è consigliabile utilizzare il carattere jolly. Inoltre, esamina attentamente le seguenti politiche per verificare che non garantiscano un accesso ampio:
Politiche basate sull'identità collegate ai AWS principali associati (ad esempio, ruoli IAM)
Politiche basate sulle risorse collegate alle AWS risorse associate (ad esempio, chiavi KMS) AWS Key Management Service
## Configurazione delle policy di accesso
+ Per istruzioni sulla creazione o la modifica di politiche basate su risorse e IP in Service, vedere. OpenSearch [Configurazione delle policy di accesso](createupdatedomains.md#createdomain-configure-access-policies)
+ *Per istruzioni su come creare o modificare le policy basate sull'identità in IAM, consulta [Definizione delle autorizzazioni IAM personalizzate con le policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella Guida per l'utente IAM.*
## Altre policy di esempio
Sebbene questo capitolo includa molti esempi di policy, il controllo degli AWS accessi è un argomento complesso che può essere compreso meglio attraverso esempi. Per ulteriori informazioni, consultare [Esempi di policy IAM basate su identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html) nella *Guida per l'utente di IAM*.
# Riferimento alle autorizzazioni dell'API Amazon OpenSearch Service
Quando configuri il [controllo degli accessi](ac.md), scrivi politiche di autorizzazione che puoi allegare a un'identità IAM (politiche basate sull'identità). Per ulteriori informazioni, consultare gli argomenti seguenti nella *Referenza sull'autorizzazione del servizio*:
+ [Azioni, risorse e chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html) per Service. OpenSearch
+ [Azioni, risorse e chiavi di condizione per OpenSearch Ingestion](https://docs.aws.amazon.com/service-authorization/latest/reference/list_opensearchingestionservice.html).
Questo riferimento contiene informazioni su quali operazioni API possono essere utilizzate in una policy IAM. Include anche la AWS risorsa per la quale è possibile concedere le autorizzazioni e le chiavi di condizione che è possibile includere per un controllo granulare degli accessi.
Le operazioni, il valore della risorsa e le condizioni vengono specificati rispettivamente nei campi `Action`, `Resource` e `Condition` della policy. Per specificare un'azione per OpenSearch Service, utilizzate il `es:` prefisso seguito dal nome dell'operazione API (ad esempio,). `es:CreateDomain` Per specificare un'azione per OpenSearch Ingestion, utilizzate il `osis:` prefisso seguito dall'operazione API (ad esempio,). `osis:CreatePipeline`
# AWS politiche gestite per Amazon OpenSearch Service
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AmazonOpenSearchDirectQueryGlueCreateAccess
Concede ad Amazon OpenSearch Service Direct Query Service l'accesso a `CreateDatabase``CreatePartition`,`CreateTable`, e `BatchCreatePartition` AWS Glue API.
Puoi trovare la [AmazonOpenSearchDirectQueryGlueCreateAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchDirectQueryGlueCreateAccess)policy nella console IAM.
## AmazonOpenSearchServiceFullAccess
Garantisce l'accesso completo alle operazioni e alle risorse dell'API di configurazione del OpenSearch servizio per un Account AWS.
Puoi trovare la [AmazonOpenSearchServiceFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceFullAccess)policy nella console IAM.
## AmazonOpenSearchServiceReadOnlyAccess
Concede l'accesso in sola lettura a tutte le risorse del OpenSearch servizio per un. Account AWS
Puoi trovare la [AmazonOpenSearchServiceReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceReadOnlyAccess)policy nella console IAM.
## AmazonOpenSearchServiceRolePolicy
Non è possibile collegare `AmazonOpenSearchServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a OpenSearch Service di accedere alle risorse dell'account. Per ulteriori informazioni, consulta [Permissions](slr-aos.md#slr-permissions).
Puoi trovare la [AmazonOpenSearchServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy)policy nella console IAM.
## AmazonOpenSearchServiceCognitoAccess
Fornisci le autorizzazioni minime di Amazon Cognito necessarie per abilitare l'[autenticazione Cognito](cognito-auth.md).
Puoi trovare la [AmazonOpenSearchServiceCognitoAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceCognitoAccess)policy nella console IAM.
## AmazonOpenSearchIngestionServiceRolePolicy
Non è possibile collegare `AmazonOpenSearchIngestionServiceRolePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a OpenSearch Ingestion di abilitare l'accesso VPC per le pipeline di ingestione, creare tag e pubblicare metriche relative all'importazione sul tuo account. CloudWatch Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Service OpenSearch](slr.md).
[AmazonOpenSearchIngestionServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy)Puoi trovare la policy nella console IAM.
## OpenSearchIngestionSelfManagedVpcePolicy
Non è possibile collegare `OpenSearchIngestionSelfManagedVpcePolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente a OpenSearch Ingestion di abilitare l'accesso VPC autogestito per le pipeline di ingestione, creare tag e pubblicare metriche relative all'importazione sul tuo account. CloudWatch Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Service OpenSearch](slr.md).
[OpenSearchIngestionSelfManagedVpcePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/OpenSearchIngestionSelfManagedVpcePolicy)Puoi trovare la policy nella console IAM.
## AmazonOpenSearchIngestionFullAccess
Garantisce l'accesso completo alle operazioni e alle risorse dell'API OpenSearch Ingestion per un. Account AWS
Puoi trovare la [AmazonOpenSearchIngestionFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess)policy nella console IAM.
## AmazonOpenSearchIngestionReadOnlyAccess
Concede l'accesso in sola lettura a tutte le risorse di OpenSearch Ingestion per un. Account AWS
Puoi trovare la [AmazonOpenSearchIngestionReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess)policy nella console IAM.
## AmazonOpenSearchServerlessServiceRolePolicy
Fornisce le Amazon CloudWatch autorizzazioni minime necessarie per inviare dati metrici OpenSearch Serverless a. CloudWatch
Puoi trovare la [AmazonOpenSearchServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy)policy nella console IAM.
## OpenSearch Aggiornamenti del servizio alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per OpenSearch Service da quando questo servizio ha iniziato a tenere traccia delle modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| È stato aggiornato il `AmazonOpenSearchIngestionServiceRolePolicy` | L'aggiornamento concede a OpenSearch Ingestion l'autorizzazione a modificare gli endpoint VPC creati da per condividere le pipeline OpenSearch tra loro. VPCs Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy). | 28 agosto 2025 |
| Aggiornato il `AmazonOpenSearchServiceRolePolicy` | È stata aggiunta la seguente dichiarazione alla politica. Quando Amazon OpenSearch Service assume il ruolo `AWSServiceRoleForAmazonOpenSearchService` collegato ai servizi, questa nuova dichiarazione nella politica consente di OpenSearch aggiornare l'ambito di accesso di qualsiasi AWS IAM Identity Center applicazione gestita solo da. OpenSearch {
"Effect": "Allow",
"Action": "sso:PutApplicationAccessScope",
"Resource": "arn:aws:sso::*:application/*/*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
} | 31 marzo 2025 |
| Aggiornato `AmazonOpenSearchServerlessServiceRolePolicy` | È stato aggiunto il Sid `AllowAOSSCloudwatchMetrics` alla politica. `AmazonOpenSearchServerlessServiceRolePolicy` Un Sid è un ID di dichiarazione che funge da identificatore opzionale per l'informativa sulla politica. | 12 luglio 2024 |
| Aggiunto `OpenSearchIngestionSelfManagedVpcePolicy` | Una nuova policy che consente a OpenSearch Ingestion di abilitare l'accesso VPC autogestito per le pipeline di ingestione, creare tag e pubblicare metriche relative all'importazione sul tuo account. CloudWatch Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy). | 12 giugno 2024 |
| Aggiunto `AmazonOpenSearchDirectQueryGlueCreateAccess` | Concede ad Amazon OpenSearch Service Direct Query Service l'accesso a `CreateDatabase``CreatePartition`,`CreateTable`, e `BatchCreatePartition` AWS Glue API. | 6 maggio 2024 |
| Aggiornati `AmazonOpenSearchServiceRolePolicy` e `AmazonElasticsearchServiceRolePolicy` | Sono state aggiunte le autorizzazioni necessarie al [ruolo collegato al servizio per assegnare e annullare l'assegnazione](slr-aos.md#slr-permissions) degli indirizzi. IPv6 Anche la policy obsoleta di Elasticsearch è stata aggiornata per garantire la compatibilità con le versioni precedenti. | 18 ottobre 2023 |
| Aggiunto `AmazonOpenSearchIngestionServiceRolePolicy` | Una nuova policy che consente a OpenSearch Ingestion di abilitare l'accesso VPC per le pipeline di ingestione, creare tag e pubblicare metriche relative all'importazione sul tuo account. CloudWatch Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionServiceRolePolicy). | 26 aprile 2023 |
| Aggiunto `AmazonOpenSearchIngestionFullAccess` | Una nuova policy che garantisce l'accesso completo alle operazioni e alle risorse dell'API OpenSearch Ingestion per un. Account AWS Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionFullAccess). | 26 aprile 2023 |
| Aggiunto `AmazonOpenSearchIngestionReadOnlyAccess` | Una nuova politica che garantisce l'accesso in sola lettura a tutte le risorse di OpenSearch Ingestion per un. Account AWS Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchIngestionReadOnlyAccess). | 26 aprile 2023 |
| Aggiunto `AmazonOpenSearchServerlessServiceRolePolicy` | Una nuova policy che fornisce le autorizzazioni minime necessarie per inviare dati metrici OpenSearch Serverless a. Amazon CloudWatch Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServerlessServiceRolePolicy). | 29 novembre 2022 |
| Aggiornati `AmazonOpenSearchServiceRolePolicy` e `AmazonElasticsearchServiceRolePolicy` | [Sono state aggiunte le autorizzazioni necessarie per [il ruolo collegato al servizio per creare](slr-aos.md#slr-permissions) endpoint VPC gestiti dal servizioOpenSearch .](slr-aos.md#slr-permissions) Alcune azioni possono essere eseguite solo quando la richiesta contiene il tag `OpenSearchManaged=true`. Anche la policy obsoleta di Elasticsearch è stata aggiornata per garantire la compatibilità con le versioni precedenti. | 7 novembre 2022 |
| Aggiornati `AmazonOpenSearchServiceRolePolicy` e `AmazonElasticsearchServiceRolePolicy` | È stato aggiunto il supporto per l'`PutMetricData`azione, necessaria per pubblicare i parametri OpenSearch del cluster su Amazon CloudWatch. Anche la policy obsoleta di Elasticsearch è stata aggiornata per garantire la compatibilità con le versioni precedenti. Per la policy JSON, consultare [Console IAM](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonOpenSearchServiceRolePolicy). | 12 settembre 2022 |
| Aggiornati `AmazonOpenSearchServiceRolePolicy` e `AmazonElasticsearchServiceRolePolicy` | Aggiunto il supporto per il tipo di risorsa `acm`. [La policy fornisce l'autorizzazione minima AWS Certificate Manager (ACM) di sola lettura necessaria al [ruolo collegato al servizio](slr-aos.md#slr-permissions) per verificare e convalidare le risorse ACM al fine di creare e aggiornare domini personalizzati abilitati agli endpoint.](customendpoint.md) Anche la policy obsoleta di Elasticsearch è stata aggiornata per garantire la compatibilità con le versioni precedenti. | 28 luglio 2022 |
| Aggiornati `AmazonOpenSearchServiceCognitoAccess` e `AmazonESCognitoAccess` | È stato aggiunto il supporto per l'`UpdateUserPoolClient`azione, necessaria per impostare la configurazione del pool di utenti di Cognito durante l'aggiornamento da Elasticsearch a. OpenSearch Autorizzazioni corrette per l'operazione `SetIdentityPoolRoles` in modo da consentire l'accesso a tutte le risorse. Anche la policy obsoleta di Elasticsearch è stata aggiornata per garantire la compatibilità con le versioni precedenti. | 20 dicembre 2021 |
| Aggiornato `AmazonOpenSearchServiceRolePolicy` | Aggiunto il supporto per il tipo di risorsa `security-group`. La policy fornisce le autorizzazioni minime di Amazon EC2 ed Elastic Load Balancing necessarie per [il ruolo collegato ai servizi](slr-aos.md#slr-permissions) per abilitare l'[accesso VPC](cognito-auth.md). | 9 settembre 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/ac-managed.html) | Questa nuova policy ha lo scopo di sostituire la vecchia policy. Entrambe le policy forniscono l'accesso completo all'API di configurazione del OpenSearch servizio e a tutti i metodi HTTP per. OpenSearch APIs Il [controllo granulare degli accessi](fgac.md) e le [policy basate sulle risorse](ac.md#ac-types-resource) possono comunque limitare l'accesso. | 7 settembre 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/ac-managed.html) | Questa nuova policy ha lo scopo di sostituire la vecchia policy. Entrambe le policy forniscono l'accesso in sola lettura all'API di configurazione del OpenSearch servizio (`es:Describe*``es:List*`, e`es:Get*`) e *nessun* accesso ai metodi HTTP per. OpenSearch APIs | 7 settembre 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/ac-managed.html) | Questa nuova policy ha lo scopo di sostituire la vecchia policy. Entrambe le policy forniscono le autorizzazioni minime di Amazon Cognito necessarie per abilitare l'[autenticazione Cognito](cognito-auth.md). | 7 settembre 2021 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/opensearch-service/latest/developerguide/ac-managed.html) | Questa nuova policy ha lo scopo di sostituire la vecchia policy. Entrambe le policy forniscono le autorizzazioni minime di Amazon EC2 ed Elastic Load Balancing necessarie per [il ruolo collegato ai servizi](slr-aos.md#slr-permissions) per abilitare l'[accesso VPC](cognito-auth.md). | 7 settembre 2021 |
| Monitoraggio delle modifiche iniziato | Amazon OpenSearch Service ora tiene traccia delle modifiche alle politiche AWS gestite. | 7 settembre 2021 |