Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management per Amazon OpenSearch Serverless
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS IAMgli amministratori controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse Serverless. OpenSearch IAMè un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
Argomenti
- Politiche basate sull'identità per Serverless OpenSearch
- Azioni politiche per Serverless OpenSearch
- Risorse politiche per Serverless OpenSearch
- Chiavi delle condizioni delle policy per Amazon OpenSearch Serverless
- ABACcon OpenSearch Serverless
- Utilizzo di credenziali temporanee con Serverless OpenSearch
- Ruoli collegati ai servizi per Serverless OpenSearch
- Esempi di policy basate sull'identità per Serverless OpenSearch
- IAMSupporto Identity Center per Amazon OpenSearch Serverless
Politiche basate sull'identità per Serverless OpenSearch
Supporta le policy basate su identità: sì
Le politiche basate sull'identità sono documenti relativi alle politiche di JSON autorizzazione che è possibile allegare a un'identità, ad esempio un IAM utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una politica basata sull'identità, consulta Definire le IAM autorizzazioni personalizzate con le politiche gestite dal cliente nella Guida per l'utente. IAM
Con le policy IAM IAM basate su identità, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per maggiori informazioni su tutti gli elementi che puoi utilizzare in una JSON policy, consulta il riferimento agli elementi della IAM JSON policy nella Guida per l'utente. IAM
Esempi di policy basate sull'identità per Serverless OpenSearch
Per visualizzare esempi di policy basate sull'identità OpenSearch serverless, vedere. Esempi di policy basate sull'identità per Serverless OpenSearch
Azioni politiche per Serverless OpenSearch
Supporta le operazioni di policy: si
L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Le azioni politiche in OpenSearch Serverless utilizzano il seguente prefisso prima dell'azione:
aoss
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
"Action": [ "aoss:action1", "aoss:action2" ]
Puoi specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:
"Action": "aoss:List*"
Per visualizzare esempi di politiche basate sull'identità OpenSearch Serverless, vedere. Esempi di policy basate sull'identità per Serverless OpenSearch
Risorse politiche per Serverless OpenSearch
Supporta le risorse di policy: sì
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
Chiavi delle condizioni delle policy per Amazon OpenSearch Serverless
Supporta le chiavi di condizione delle policy specifiche del servizio: sì
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logicaOR. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi concedere a un utente IAM l'autorizzazione per accedere a una risorsa solo se è stata taggata con il nome utente IAM. Per ulteriori informazioni, consulta Elementi IAM della politica: variabili e tag nella Guida per l'IAMutente.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.
Oltre al controllo di accesso basato sugli attributi (ABAC), OpenSearch Serverless supporta le seguenti chiavi di condizione:
-
aoss:collection -
aoss:CollectionId -
aoss:index
È possibile utilizzare le chiavi di condizione anche quando si forniscono le autorizzazioni per le policy di accesso e le policy di sicurezza. Per esempio:
[ { "Effect":"Allow", "Action":[ "aoss:CreateAccessPolicy", "aoss:CreateSecurityPolicy" ], "Resource":"*", "Condition":{ "StringLike":{ "aoss:collection":"log" } } } ]
In questo esempio, la condizione si applica alle policy che contengono regole che corrispondono al nome o al modello di una raccolta. Le condizioni hanno il seguente comportamento:
-
StringEquals- Si applica alle policy con regole che contengono la stringa di risorsa esatta "log" (ad esempio,collection/log). -
StringLike- Si applica alle policy con regole che contengono una stringa di risorsa che include "log" (ad esempio,collection/logma anchecollection/logs-applicationocollection/applogs123).
Nota
Le chiavi di condizione raccolta non si applicano a livello di indice. Ad esempio, nella policy precedente, la condizione non si applicherebbe ad una policy di accesso o di sicurezza contenente la stringa di risorsa index/logs-application/*.
Per visualizzare un elenco di chiavi di condizione OpenSearch Serverless, consulta Condition keys for Amazon OpenSearch Serverless nel Service Authorization Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta Azioni definite da Amazon OpenSearch Serverless.
ABACcon OpenSearch Serverless
Supporti ABAC (tag nelle politiche): Sì
Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. È possibile allegare tag a IAM entità (utenti o ruoli) e a molte AWS risorse. L'etichettatura di entità e risorse è il primo passo diABAC. Quindi si progettano ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa a cui sta tentando di accedere.
ABACè utile in ambienti in rapida crescita e aiuta in situazioni in cui la gestione delle politiche diventa complicata.
Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/o key-nameaws:TagKeys.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è Yes (Sì). Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà Parziale.
Per ulteriori informazioni in meritoABAC, vedere Definizione delle autorizzazioni con ABAC autorizzazione nella Guida per l'IAMutente. Per visualizzare un tutorial con i passaggi per la configurazioneABAC, consulta Use Attribute-based access control (ABAC) nella Guida per l'utente. IAM
Per ulteriori informazioni sull'etichettatura delle risorse OpenSearch Serverless, consulta. Etichettatura delle raccolte Amazon OpenSearch Serverless
Utilizzo di credenziali temporanee con Serverless OpenSearch
Supporta le credenziali temporanee: sì
Alcune Servizi AWS non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, incluse quelle che Servizi AWS funzionano con credenziali temporanee, consulta la sezione Servizi AWS relativa alla funzionalità IAM nella Guida per l'IAMutente.
Si utilizzano credenziali temporanee se si accede AWS Management Console utilizzando qualsiasi metodo tranne il nome utente e la password. Ad esempio, quando accedete AWS utilizzando il link Single Sign-on (SSO) della vostra azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sul cambio di ruolo, consulta Passare da un utente a un IAM ruolo (console) nella Guida per l'IAMutente.
È possibile creare manualmente credenziali temporanee utilizzando AWS CLI o AWS API. È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, vedere Credenziali di sicurezza temporanee in. IAM
Ruoli collegati ai servizi per Serverless OpenSearch
Supporta ruoli collegati ai servizi: Sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.
Per informazioni dettagliate sulla creazione e la gestione di ruoli OpenSearch Serverless collegati ai servizi, consulta. Utilizzo di ruoli collegati ai servizi per creare raccolte Serverless OpenSearch
Esempi di policy basate sull'identità per Serverless OpenSearch
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Serverless. OpenSearch Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS API. Per concedere agli utenti il permesso di eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM policy. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.
Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempio, consulta Create JSON IAM policy (console) nella Guida per l'IAMutente.
Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon OpenSearch Serverless, incluso il formato di ARNs per ogni tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon OpenSearch Serverless nel Service Authorization Reference.
Argomenti
Best practice per le policy
Le policy basate su identità sono molto efficaci. Determinano se qualcuno può creare, accedere o eliminare risorse OpenSearch Serverless nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse OpenSearch Serverless nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.
-
Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM
-
Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.
-
Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAM Access Analyzer fornisce più di 100 controlli delle policy e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle politiche con IAM Access Analyzer nella Guida per l'utente. IAM
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Secure API access with MFA nella Guida IAM per l'utente.
Per ulteriori informazioni sulle best practice inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida IAM per l'utente.
Utilizzo di OpenSearch Serverless nella console
Per accedere a OpenSearch Serverless all'interno della console OpenSearch di servizio, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse OpenSearch Serverless presenti nel tuo account. AWS Se crei una politica basata sull'identità che è più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per le entità (come i ruoli) con quella politica. IAM
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso il o il. AWS CLI AWS API Consenti invece l'accesso solo alle azioni che corrispondono all'APIoperazione che stai cercando di eseguire.
La seguente politica consente a un utente di accedere a OpenSearch Serverless dalla console OpenSearch di servizio:
{ "Version": "2012-10-17", "Statement": [ { "Resource": "*", "Effect": "Allow", "Action": [ "aoss:ListCollections", "aoss:BatchGetCollection", "aoss:ListAccessPolicies", "aoss:ListSecurityConfigs", "aoss:ListSecurityPolicies", "aoss:ListTagsForResource", "aoss:ListVpcEndpoints", "aoss:GetAccessPolicy", "aoss:GetAccountSettings", "aoss:GetSecurityConfig", "aoss:GetSecurityPolicy" ] } ] }
Amministrazione delle raccolte Serverless OpenSearch
Questa policy è un esempio di policy di «amministrazione della raccolta» che consente a un utente di gestire e amministrare le raccolte Amazon OpenSearch Serverless. L'utente può creare, visualizzare ed eliminare le raccolte.
{ "Version": "2012-10-17", "Statement": [ { "Resource": "arn:aws:aoss:region:123456789012:collection/*", "Action": [ "aoss:CreateCollection", "aoss:DeleteCollection", "aoss:UpdateCollection" ], "Effect": "Allow" }, { "Resource": "*", "Action": [ "aoss:BatchGetCollection", "aoss:ListCollections", "aoss:CreateAccessPolicy", "aoss:CreateSecurityPolicy" ], "Effect": "Allow" } ] }
Visualizzazione delle raccolte Serverless OpenSearch
Questa policy di esempio consente a un utente di visualizzare i dettagli di tutte le raccolte Amazon OpenSearch Serverless nel proprio account. L'utente non può modificare le raccolte o le policy di sicurezza associate.
{ "Version": "2012-10-17", "Statement": [ { "Resource": "*", "Action": [ "aoss:ListAccessPolicies", "aoss:ListCollections", "aoss:ListSecurityPolicies", "aoss:ListTagsForResource", "aoss:BatchGetCollection" ], "Effect": "Allow" } ] }
Utilizzo delle operazioni OpenSearch API
APILe operazioni sul piano dati sono costituite dalle funzioni utilizzate in OpenSearch Serverless per ricavare valore in tempo reale dal servizio. APILe operazioni del piano di controllo sono costituite dalle funzioni utilizzate per configurare l'ambiente.
Per accedere al piano dati APIs e alle OpenSearch dashboard di Amazon OpenSearch Serverless dal browser, devi aggiungere due IAM autorizzazioni per le risorse di raccolta. Queste autorizzazioni sono e. aoss:APIAccessAll aoss:DashboardsAccessAll
Nota
A partire dal 10 maggio 2023, OpenSearch Serverless richiede queste due nuove IAM autorizzazioni per le risorse di raccolta. L'aoss:APIAccessAllautorizzazione consente l'accesso al piano dati e l'aoss:DashboardsAccessAllautorizzazione consente l'accesso alle OpenSearch dashboard dal browser. La mancata aggiunta delle due nuove IAM autorizzazioni genera un errore 403.
Questa politica di esempio consente a un utente di accedere al piano dati APIs per una raccolta specifica nel proprio account e di accedere alle OpenSearch dashboard per tutte le raccolte del proprio account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "arn:aws:aoss:region:account-id:collection/collection-id" }, { "Effect": "Allow", "Action": "aoss:DashboardsAccessAll", "Resource": "arn:aws:aoss:region:account-id:dashboards/default" } ] }
Entrambi aoss:APIAccessAll aoss:DashboardsAccessAll concedi l'IAMautorizzazione completa alle risorse di raccolta, mentre l'autorizzazione Dashboards fornisce anche l'accesso alle OpenSearch dashboard. Ogni autorizzazione funziona in modo indipendente, quindi una negazione esplicita aoss:APIAccessAll non blocca aoss:DashboardsAccessAll l'accesso alle risorse, inclusi Dev Tools. Lo stesso vale per una negazione dell'accesso. aoss:DashboardsAccessAll Inoltre, OpenSearch Serverless supporta condizioni nella IAM policy comeaws:SourceIp, eaoss:collection,. aoss:CollectionId
Di seguito è riportato un esempio di utilizzo aws:SourceIp del blocco delle condizioni nella IAM politica del principale per le chiamate sul piano dati:
"Condition": { "IpAddress": { "aws:SourceIp": "52.95.4.14" } }
