Amazon OpenSearch Serverless の IAM アイデンティティセンターのサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Serverless の IAM アイデンティティセンターのサポート

IAM アイデンティティセンターのプリンシパル (ユーザーとグループ) を使用して、Amazon OpenSearch アプリケーションから Amazon OpenSearch Serverless データにアクセスできます。Amazon OpenSearch Serverless の IAM Identity Center サポートを有効にするには、IAM Identity Center の使用を有効にする必要があります。これを行う方法の詳細については、「IAM Identity Center とは」を参照してください。

IAM Identity Center インスタンスが作成されたら、お客様のアカウント管理者は Amazon OpenSearch Serverless サービス用の IAM Identity Center アプリケーションを作成する必要があります。これは、CreateSecurityConfig を呼び出すことで実行できます。お客様のアカウント管理者は、リクエストの承認に使用する属性を指定できます。使用されるデフォルトの属性は UserIdおよび です。 GroupId.

Amazon OpenSearch Serverless の IAM アイデンティティセンター統合では、次の AWS IAM アイデンティティセンター (IAM) 権限を使用します。

次の ID ベースのアクセスポリシーを使用して、すべての IAM Identity Center 設定を管理できます。

{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

IAM Identity Center プロバイダーの作成 (コンソール）

IAM Identity Center プロバイダーを作成して、OpenSearch Application による認証を有効にできます。OpenSearch Dashboards の IAM Identity Center 認証を有効にするには、次の手順を実行します。

IAM Identity Center プロバイダーの作成 (AWS CLI）

AWS Command Line Interface （AWS CLI) を使用して IAM Identity Center プロバイダーを作成するには、次のコマンドを使用します。

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

IAM Identity Center を有効にすると、ユーザーはユーザー属性とグループ属性のみ変更できます。

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

を使用して IAM Identity Center プロバイダーを表示するには AWS Command Line Interface、次のコマンドを使用します。

aws opensearchserverless list-security-configs --type iamidentitycenter

IAM Identity Center プロバイダーの削除

IAM Identity Center には、組織アカウント用とメンバーアカウント用の 2 つのプロバイダーインスタンスが用意されています。IAM Identity Center インスタンスを変更する必要がある場合は、 DeleteSecurityConfig API を使用してセキュリティ設定を削除し、新しい IAM Identity Center インスタンスを使用して新しいセキュリティ設定を作成する必要があります。次のコマンドを使用して、IAM Identity Center プロバイダーを削除できます。

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

IAM Identity Center にコレクションデータへのアクセスを許可する

IAM Identity Center プロバイダーが有効になったら、コレクションデータアクセスポリシーを更新して IAM Identity Center プリンシパルを含めることができます。IAM Identity Center プリンシパルは、次の形式で更新する必要があります。

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]

アクセス権は、コレクション、インデックス、またはその両方に付与できます。異なるユーザーに異なるアクセス許可を持たせたい場合は、複数のルールを作成する必要があります。使用可能なアクセス許可のリストについては、「Amazon OpenSearch Service での Identity and Access Management」を参照してください。アクセスポリシーをフォーマットする方法については、「SAML ID にコレクションデータへのアクセス権を付与する」を参照してください。

IAM Identity Center には、組織アカウント用とメンバーアカウント用の 2 つのプロバイダーインスタンスが用意されています。IAM Identity Center インスタンスを変更する必要がある場合は、 DeleteSecurityConfig API を使用してセキュリティ設定を削除し、新しい IAM Identity Center インスタンスを使用して新しいセキュリティ設定を作成する必要があります。次のコマンドを使用して、IAM Identity Center プロバイダーを削除できます。

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>