翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Trusted Identity Propagation を介して一元的に設定された AWS IAM Identity Center プリンシパル (ユーザーとグループ) を使用して、OpenSearch Service アプリケーション を介して OpenSearch ドメインにアクセスできるようになりました。Amazon OpenSearch Service の IAM アイデンティティセンターのサポートを有効にするには、IAM アイデンティティセンターの使用を有効にする必要があります。これを行う方法の詳細については、「IAM アイデンティティセンターとは」を参照してください。詳細については、OpenSearch アプリケーションのデータソースとして OpenSearch ドメインを関連付ける方法」を参照してください。
OpenSearch Service コンソール、 AWS Command Line Interface (AWS CLI)、または AWS SDKs を使用して、IAM Identity Center を設定できます。
注記
IAM Identity Center プリンシパルは、Dashboards (クラスターと共存) ではサポートされていません。これらは、一元化された OpenSearch ユーザーインターフェイス (ダッシュボード) でのみサポートされています。
考慮事項
Amazon OpenSearch Service で IAM Identity Center を使用する前に、次の点を考慮する必要があります。
-
IAM Identity Center はアカウントで有効になっています。
-
OpenSearch ドメインのバージョンは 1.3 以降です。
-
きめ細かなアクセスコントロールは、ドメインで有効になっています。
-
ドメインは IAM Identity Center インスタンスと同じリージョンに存在する必要があります。
-
ドメインと OpenSearch アプリケーションは同じ AWS アカウントに属している必要があります。
ドメインアクセスポリシーの変更
IAM Identity Center を設定する前に、ドメインアクセスポリシーまたは OpenSearch アプリケーションで設定された IAM ロールのアクセス許可を、信頼できる ID の伝播用に更新する必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role configured in OpenSearch application"
},
"Action": "es:ESHttp*",
"Resource": "domain-arn/*"
},
{
... // Any other permissions
}
]
}
IAM Identity Center の認証と認可の設定 (コンソール)
IAM Identity Center の認証と認可は、ドメインの作成プロセス中、または既存のドメインを更新することで有効にできます。セットアップ手順は、選択するオプションに応じて若干異なります。
次の手順では、Amazon OpenSearch Service コンソールで IAM アイデンティティセンターの認証と認可用に既存のドメインを設定する方法について説明します。
-
ドメイン設定 で、セキュリティ設定 に移動し、編集 を選択して IAM アイデンティティセンター認証 セクションに移動し、IAM アイデンティティセンターで認証された API アクセスを有効にする を選択します。
-
次のように SubjectKey と Roles キーを選択します。
-
サブジェクトキー - ドメインにアクセスするプリンシパルとして対応する属性を使用する UserId (デフォルト)、UserName、E メールのいずれかを選択します。
-
ロールキー - GroupId (デフォルト) と GroupName のいずれかを選択して、IdC プリンシパルに関連付けられているすべてのグループの対応する属性値をfine-grained-access-controlのバックエンドロールとして使用します。
-
変更を行ったら、ドメインを保存します。
きめ細かなアクセスコントロールの設定
OpenSearch ドメインで IAM Identity Center オプションを有効にすると、バックエンドロールへのロールマッピングを作成して、IAM Identity Center プリンシパルへのアクセスを設定できます。プリンシパルのバックエンドロール値は、IdC プリンシパルのグループメンバーシップとGroupId または GroupName の RolesKey 設定に基づいています。
注記
Amazon OpenSearch Service は、1 人のユーザーに対して最大 100 のグループをサポートできます。許可されたインスタンスの数を超えて使用しようとすると、fine-grained-access-control認可処理に不整合が発生し、403error メッセージを受信します。
IAM Identity Center の認証と認可の設定 (CLI)
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn", "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
ドメインでの IAM Identity Center 認証の無効化
OpenSearch ドメインで IAM Identity Center を無効にするには:
-
ドメインを選択し、[アクション] から [セキュリティ設定の編集] を選択します。
-
IAM アイデンティティセンターで認証された API アクセスを有効にするのチェックを解除します。
-
[Save changes] (変更の保存) をクリックします。
-
ドメインの処理が完了したら、IdC プリンシパルに追加されたロールマッピングを削除します。
CLI を使用して IAM Identity Center を無効にするには、以下を使用できます。
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": false}'
