本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon OpenSearch Service 中的身分和存取管理
Amazon OpenSearch Service 提供多種方法來控制對網域的存取。本主題涵蓋各種政策類型、它們如何彼此互動,以及如何建立自己的自訂政策。
重要
VPC 支援會將一些其他考量引入 OpenSearch 服務存取控制。如需詳細資訊,請參閱關於VPC網域上的存取政策。
政策的類型
OpenSearch 服務支援三種類型的存取政策:
資源型政策
建立網域時,您可以新增以資源為基礎的政策 (通常稱為網域存取政策)。這些政策指定主體可以對域的子資源執行哪些操作 (跨叢集搜尋除外)。子資源包括 OpenSearch 索引和 APIs。Principal 元素指定允許存取的帳戶、使用者或角色。Resource 元素指定這些委託人可以存取哪些子資源。
例如,以下以資源為基礎的政策向 test-domain 上的子資源授予 test-user 完整存取權 (es:*):
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:*" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }
此政策適用兩個重要考量:
-
這些權限只適用於此網域。除非您在其他網域上建立類似的政策,否則
test-user只能存取test-domain。 -
Resource元素中的結尾/*很重要,並指出以資源為基礎的政策僅適用於網域的子資源,不適用於網域本身。在以資源為基礎的政策中,es:*動作相當於es:ESHttp*。例如,
test-user可以提出索引請求 (GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index),但不能更新網域的組態 (POST https://es.us-west-1.amazonaws.com/2021-01-01/opensearch/domain/test-domain/config)。請注意兩個端點之間的差異。存取組態API需要身分型政策 。
您可以新增萬用字元來指定部分索引名稱。此範例可識別任何以 commerce 開頭的索引︰
arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce*
在此情況下,該萬用字元代表 test-user 可以向 test-domain 中名稱以 commerce 開頭的索引發出請求。
若要進一步限制 test-user,您可以套用以下政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/_search" } ] }
現在 test-user 可以執行一項操作:根據 commerce-data 搜尋。其他所有網域內的索引均無法存取,而且無使用 es:ESHttpPut 或 es:ESHttpPost 動作的許可,因此 test-user 無法新增或修改文件。
接著,您可能會決定設定進階使用者角色。此政策可讓您power-user-role存取索引URIs中所有 的 HTTPGET和 PUT 方法:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:role/power-user-role" ] }, "Action": [ "es:ESHttpGet", "es:ESHttpPut" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/*" } ] }
如果您的網域位於 VPC或使用精細存取控制,您可以使用開放網域存取政策。否則,您的網域存取政策必須包含一些限制 (依委託人或 IP 地址)。
如需有關所有可行動作的詳細資訊,請參閱政策元素參考。若要更精細地控制您的資料,請搭配使用開放網域存取政策與精細存取控制。
身分型政策
與屬於每個 OpenSearch 服務網域一部分的資源型政策不同,您可以使用 AWS Identity and Access Management (IAM) 服務將身分型政策連接至使用者或角色。就像以資源為基礎的政策一樣,以身分為基礎的政策會指定誰可以存取服務、可以執行哪些動作,以及可以在哪些資源執行那些動作 (如果適用)。
雖然他們不需要這麼做,但以身分為基礎的政策往往更加通用。它們通常僅管理使用者可執行的組態API動作。制定這些政策後,您可以在 OpenSearch Service 中使用資源型政策 (或精細存取控制 ),為使用者提供 OpenSearch 索引和 的存取權APIs。
注意
具有 AWS 受管AmazonOpenSearchServiceReadOnlyAccess政策的使用者在主控台上看不到叢集運作狀態。若要允許他們查看叢集運作狀態 (和其他 OpenSearch 資料),請將 es:ESHttpGet動作新增至存取政策,並將其連接至其帳戶或角色。
由於身分型政策會連接至使用者或角色 (主體),因此 JSON不會指定主體。下列政策授與動作存取權,該動作的開頭是 Describe 和 List。這組動作提供的唯讀存取權限用於網域組態,而非儲存在網域本身的資料:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:Describe*", "es:List*" ], "Effect": "Allow", "Resource": "*" } ] }
管理員可能具有 OpenSearch Service 和所有網域上存放所有資料的完整存取權:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "es:*" ], "Effect": "Allow", "Resource": "*" } ] }
身分型政策可讓您使用標籤來控制對組態 的存取API。例如,如果網域具有 team:devops 標籤,下列政策可讓所連接的委託人檢視並更新網域的組態:
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "es:UpdateDomainConfig", "es:DescribeDomain", "es:DescribeDomainConfig" ], "Effect": "Allow", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/team": [ "devops" ] } } }] }
您也可以使用標籤來控制對 的存取 OpenSearch API。的 OpenSearch API標籤型政策僅適用於 HTTP 方法。例如,如果網域具有 environment:production標籤 OpenSearch API,則下列政策可讓連接的委託人將 GET和 PUT 請求傳送至 :
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "es:ESHttpGet", "es:ESHttpPut" ], "Effect": "Allow", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/environment": [ "production" ] } } }] }
如需更精細的 控制 OpenSearch API,請考慮使用精細存取控制 。
注意
將一或多個 OpenSearch APIs標籤型政策新增至任何標籤型政策之後,您必須執行單一標籤操作 (例如新增、移除或修改標籤),才能讓變更在網域上生效。您必須使用服務軟體 R20211203 或更新版本,才能在標籤型政策中包含 OpenSearch API操作。
OpenSearch 服務支援組態 的 RequestTag和 TagKeys全域條件金鑰API,不支援 OpenSearch API。這些條件僅適用於請求中包含標籤的API呼叫,例如 CreateDomain、 AddTags和 RemoveTags。下列政策可讓所連接的委託人建立網域,但前提是他們在請求中包含 team:it 標籤:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "es:CreateDomain", "es:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/team": [ "it" ] } } } }
如需使用標籤進行存取控制的詳細資訊,以及資源型和身分型政策之間的差異,請參閱 IAM 使用者指南 。
以 IP 為基礎的政策
IP 型政策限制對網域的存取,只能存取一或多個 IP 地址或CIDR區塊。從技術層面來看,以 IP 為基礎的政策不是明確的政策類型。反而,其乃以資源為基礎的政策,負責指定匿名委託人並包含特殊的 Condition 元素。
IP 型政策的主要吸引力是允許對 OpenSearch 服務網域的未簽署請求,這可讓您使用 curl
注意
如果您啟用網域的VPC存取,則無法設定 IP 型政策。您反而可以使用安全群組來控制哪些 IP 地址可以存取網域。如需詳細資訊,請參閱關於VPC網域上的存取政策。
下列政策會將來自指定 IP 範圍的所有HTTP請求授予 test-domain:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "es:ESHttp*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" } ] }
如果您的網域具有公有端點,且未使用精細存取控制 ,建議您合併IAM主體和 IP 地址。此政策僅在請求來自指定的 IP 範圍時授予test-userHTTP存取權:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } }, "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }] }
當政策衝突時
當與政策相違或未明確提及使用者時,事情就變得複雜了。了解 使用者指南中的IAM運作方式,提供政策評估邏輯的簡要摘要: IAM
-
根據預設,所有的請求一律拒絕。
-
明確允許覆寫這個預設值。
-
明確拒絕覆寫任何允許。
例如,如果資源型政策授予您存取網域子資源 ( OpenSearch 索引或 API) 的權限,但身分型政策拒絕您存取,則會拒絕您存取。如果以身分為基礎的政策授與存取權,但以資源為基礎的政策未指定您是否有存取權,此時您便可以存取。請參閱下表的相交政策,以了解網域子資源的完整結果摘要。
| 以資源為基礎的政策允許 | 以資源為基礎的政策拒絕 | 以資源為基礎的政策不允許也不拒絕 | |
|---|---|---|---|
| Allowed in identity-based policy |
允許 |
拒絕 | 允許 |
| Denied in identity-based policy | 拒絕 | 拒絕 | 拒絕 |
| Neither allowed nor denied in identity-based policy | 允許 | 拒絕 | 拒絕 |
政策元素參考
OpenSearch 服務支援政策元素IAM參考 中的大多數政策元素,但 除外NotPrincipal。下表顯示最常見的元素。
| JSON 政策元素 | Summary |
|---|---|
Version |
目前版本的政策語言是 |
Effect |
此元素指定公告內容是否允許或拒絕對指定動作的存取。有效值為 |
Principal |
此元素會指定允許或拒絕存取資源的 AWS 帳戶 或 IAM 角色或使用者,並且可以採用多種形式:
|
Action
|
OpenSearch 服務會針對 OpenSearch HTTP方法使用 某些特定 如需所有可用動作的清單,以及這些動作是否套用至網域子資源 ( 由於 當然,您有權利納入一些動作來搭配較無限制性的資源元素,如下所示:
若要進一步了解有關配對動作和資源的詳細資訊,請參閱此表格中的 |
Condition |
OpenSearch 服務支援 IAM 使用者指南 中描述的大多數AWS 條件。值得注意的例外狀況包括 OpenSearch 金鑰,Service 不支援該 設定 IP 型政策 時,您可以將 IP 地址或CIDR區塊指定為條件,例如: 如 中所述身分型政策, |
Resource |
OpenSearch 服務以三種基本方式使用
如需有關哪些動作支援資源層級許可的詳細資訊,請參閱此表格中的 |
進階選項和API考量事項
OpenSearch 服務有幾個進階選項,其中一個選項具有存取控制影響:rest.action.multi.allow_explicit_index。它的預設設定為 true,可讓使用者在特定情況下繞過子資源許可。
例如,請考量以下以資源為基礎的政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttp*" ], "Resource": [ "arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*", "arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk" ] }, { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/test-user" ] }, "Action": [ "es:ESHttpGet" ], "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }
此政策會授予 test-index和 OpenSearch 大量 test-user的完整存取權API。它也允許 GET 請求 restricted-index。
以下索引請求因為許可錯誤而失敗:
PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1 { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }
與索引 不同API,大量 API 可讓您在單一呼叫中建立、更新和刪除許多文件。不過,您經常在請求內文中指定這些操作,而不是在請求 中URL。由於 OpenSearch Service 使用 URLs 來控制網域子資源的存取,因此 實際上test-user可以使用大量 API 對 進行變更restricted-index。即使使用者缺少索引的 POST 許可,以下請求仍會成功:
POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk { "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } } { "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }
在這種情況下,存取政策無法滿足其目的。為了防止使用者繞過這些類型的限制,您可以變更 rest.action.multi.allow_explicit_index 為 false。如果此值為 false,則對在請求主體中APIs指定索引名稱的大量、mget 和 msearch 的所有呼叫都會停止運作。換言之,呼叫 _bulk 不再運作,但呼叫 test-index/_bulk 則正常運作。第二個端點包含索引名稱,因此您不需要在請求本文中指定一個。
OpenSearch 儀表板高度依賴於 mget 和 msearch,因此在此變更之後不太可能正常運作。對於部分修復,您可以保持rest.action.multi.allow_explicit_index為 true,並拒絕某些使用者存取其中一個或多個 APIs。
如需變更此設定的詳細資訊,請參閱進階叢集設定。
同樣地,以下以資源為基礎的政策包含兩個細微問題:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*" }, { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test-user" }, "Action": "es:ESHttp*", "Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*" } ] }
-
儘管明確拒絕,
test-user仍然可以呼叫如GET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_search和GET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search以存取restricted-index中的文件。 -
由於
Resource元素參考restricted-index/*,test-user未獲許可來直接存取索引的文件。不過,使用者有權刪除整個索引。為防止存取和刪除,政策必須指定restricted-index*。
不是廣泛允許和專注於拒絕,最安全的方法是遵循最小特權原則,只授與任務所需的許可。如需控制個別索引或 OpenSearch操作存取的詳細資訊,請參閱 Amazon OpenSearch 服務中的精細訪問控制。
重要
指定 * 萬用字元可匿名存取您的網域。不建議您使用萬用字元。此外,請仔細檢查下列政策,以確認其未授予廣泛存取權:
-
連接至相關聯 AWS 主體的身分型政策 (例如IAM角色)
-
連接至相關 AWS 資源的資源型政策 (例如金鑰 AWS Key Management Service KMS)
設定存取政策
其他範例政策
雖然本章包含許多範例政策,但 AWS 存取控制是一個複雜的主題,最好透過範例了解。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM身分型政策範例。
