IAM Amazon OpenSearch Serverless에 대한 Identity Center 지원 - Amazon OpenSearch 서비스
IAM Amazon OpenSearch Serverless에 대한 Identity Center 지원IAM Identity Center 공급자 생성(콘솔)IAM Identity Center 공급자 생성(AWS CLI)IAM Identity Center 공급자 삭제 IAM Identity Center에 컬렉션 데이터에 대한 액세스 권한 부여

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Amazon OpenSearch Serverless에 대한 Identity Center 지원

IAM Amazon OpenSearch Serverless에 대한 Identity Center 지원

IAM Identity Center 보안 주체(사용자 및 그룹)를 사용하여 Amazon OpenSearch 애플리케이션을 통해 Amazon OpenSearch Serverless 데이터에 액세스할 수 있습니다. Amazon OpenSearch Serverless에 대한 IAM Identity Center 지원을 활성화하려면 IAM Identity Center 사용을 활성화해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 IAM Identity Center란 무엇입니까?를 참조하세요.

IAM Identity Center 인스턴스가 생성된 후 고객 계정 관리자는 Amazon OpenSearch Serverless 서비스에 대한 IAM Identity Center 애플리케이션을 생성해야 합니다. 이 작업은 CreateSecurityConfig를 호출하여 수행할 수 있습니다. 고객 계정 관리자는 요청을 승인하는 데 사용할 속성을 지정할 수 있습니다. 사용되는 기본 속성은 UserId 및 입니다. GroupId.

Amazon OpenSearch Serverless용 IAM Identity Center 통합은 다음과 같은 AWS IAM Identity Center(IAM) 권한을 사용합니다.

  • aoss:CreateSecurityConfig - IAM Identity Center 공급자 생성

  • aoss:ListSecurityConfig - 현재 계정의 모든 IAM Identity Center 공급자를 나열합니다.

  • aoss:GetSecurityConfig - IAM Identity Center 공급자 정보를 봅니다.

  • aoss:UpdateSecurityConfig - 지정된 IAM Identity Center 구성 수정

  • aoss:DeleteSecurityConfig - IAM Identity Centerprovider를 삭제합니다.

다음 자격 증명 기반 액세스 정책을 사용하여 모든 IAM Identity Center 구성을 관리할 수 있습니다.

{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
참고

Resource 요소는 와일드카드여야 합니다.

IAM Identity Center 공급자 생성(콘솔)

IAM Identity Center 공급자를 생성하여 Application으로 OpenSearch 인증을 활성화할 수 있습니다. OpenSearch 대시보드에 대한 IAM Identity Center 인증을 활성화하려면 다음 단계를 수행합니다.

  1. Amazon OpenSearch Service 콘솔에 로그인합니다.

  2. 왼쪽 탐색 패널에서 서버리스를 확장하고 인증을 선택합니다.

  3. IAM Identity Center 인증을 선택합니다.

  4. 편집 선택

  5. IAM Identity Center로 인증 옆의 확인란을 선택합니다.

  6. 드롭다운 메뉴에서 사용자 및 그룹 속성 키를 선택합니다. 사용자 속성은 UserName, UserId및를 기반으로 사용자에게 권한을 부여하는 데 사용됩니다Email. 그룹 속성은 GroupName 및를 기반으로 사용자를 인증하는 데 사용됩니다GroupId.

  7. IAM Identity Center 인스턴스를 선택합니다.

  8. 저장 선택

IAM Identity Center 공급자 생성(AWS CLI)

AWS Command Line Interface (AWS CLI)를 사용하여 IAM Identity Center 공급자를 생성하려면 다음 명령을 사용합니다.

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

IAM Identity Center가 활성화된 후 고객은 사용자 및 그룹 속성만 수정할 수 있습니다.

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

를 사용하여 IAM Identity Center 공급자를 보려면 다음 명령을 AWS Command Line Interface사용합니다.

aws opensearchserverless list-security-configs --type iamidentitycenter

IAM Identity Center 공급자 삭제

IAM Identity Center는 두 개의 공급자 인스턴스를 제공합니다. 하나는 조직 계정용이고 다른 하나는 멤버 계정용입니다. IAM Identity Center 인스턴스를 변경해야 하는 경우를 통해 보안 구성을 삭제DeleteSecurityConfigAPI하고 새 IAM Identity Center 인스턴스를 사용하여 새 보안 구성을 생성해야 합니다. 다음 명령을 사용하여 IAM Identity Center 공급자를 삭제할 수 있습니다.

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

IAM Identity Center에 컬렉션 데이터에 대한 액세스 권한 부여

IAM Identity Center 공급자가 활성화된 후 IAM Identity Center 보안 주체를 포함하도록 수집 데이터 액세스 정책을 업데이트할 수 있습니다. IAM Identity Center 보안 주체는 다음 형식으로 업데이트해야 합니다.

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
참고

Amazon OpenSearch Serverless는 모든 고객 컬렉션에 대해 하나의 IAM Identity Center 인스턴스만 지원하며 단일 사용자에 대해 최대 100개의 그룹을 지원할 수 있습니다. 허용된 인스턴스 수를 초과하여 사용하려고 하면 데이터 액세스 정책 권한 부여 처리와 일치하지 않고 403오류 메시지가 표시됩니다.

컬렉션, 인덱스 또는 둘 다에 대한 액세스 권한을 부여할 수 있습니다. 서로 다른 사용자에게 서로 다른 권한을 부여하려면 여러 규칙을 생성해야 합니다. 사용 가능한 권한 목록은 Amazon OpenSearch Service의 자격 증명 및 액세스 관리를 참조하세요. 액세스 정책의 형식을 지정하는 방법에 대한 자세한 내용은 컬렉션 데이터에 SAML 대한 자격 증명 액세스 권한 부여를 참조하세요.

IAM Identity Center는 두 개의 공급자 인스턴스를 제공합니다. 하나는 조직 계정용이고 다른 하나는 멤버 계정용입니다. IAM Identity Center 인스턴스를 변경해야 하는 경우를 통해 보안 구성을 삭제DeleteSecurityConfigAPI하고 새 IAM Identity Center 인스턴스를 사용하여 새 보안 구성을 생성해야 합니다. 다음 명령을 사용하여 IAM Identity Center 공급자를 삭제할 수 있습니다.

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>