本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon OpenSearch Service 中的 Identity and Access Management
Amazon OpenSearch Service 提供數種控制網域存取的方法。本主題涵蓋各種政策類型、它們如何彼此互動,以及如何建立自己的自訂政策。
**重要**
VPC 支援引入了對 OpenSearch Service 存取控制的一些其他考量。如需詳細資訊,請參閱[關於 VPC 網域上的存取政策](vpc.md#vpc-security)。
## 政策的類型
OpenSearch Service 支援三種類型的存取政策:
+ [資源型政策](#ac-types-resource)
+ [身分型政策](#ac-types-identity)
+ [以 IP 為基礎的政策](#ac-types-ip)
### 資源型政策
建立網域時,您可以新增以資源為基礎的政策 (通常稱為網域存取政策)。這些政策指定主體可以對域的*子資源*執行哪些操作 ([跨叢集搜尋除外](cross-cluster-search.md#cross-cluster-search-walkthrough))。子資源包括 OpenSearch 索引和 API。IAM 中的[主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) JSON 政策元素指定允許存取的帳戶、使用者或角色。[資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) JSON 政策元素會指定這些委託人可存取的子資源。
例如,以下以資源為基礎的政策向 `test-domain` 上的子資源授予 `test-user` 完整存取權 (`es:*`):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:*"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
此政策適用兩個重要考量:
+ 這些權限只適用於此網域。除非您在其他網域上建立類似的政策,否則 `test-user` 只能存取 `test-domain`。
+ `Resource` 元素中的結尾 `/*` 很重要,並指出以資源為基礎的政策僅適用於網域的子資源,不適用於網域本身。在以資源為基礎的政策中,`es:*` 動作相當於 `es:ESHttp*`。
例如,`test-user` 可以提出索引請求 (`GET https://search-test-domain.us-west-1.es.amazonaws.com/test-index`),但不能更新網域的組態 (`POST https://es.us-west-1.amazonaws.com/2021-01-01/opensearch/domain/test-domain/config`)。請注意兩個端點之間的差異。存取組態 API 需要[身分型政策](#ac-types-identity)。
您可以新增萬用字元來指定部分索引名稱。此範例可識別任何以 `commerce` 開頭的索引︰
```
arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce*
```
在此情況下,該萬用字元代表 `test-user` 可以向 `test-domain` 中名稱以 `commerce` 開頭的索引發出請求。
若要進一步限制 `test-user`,您可以套用以下政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/_search"
}
]
}
```
------
現在 `test-user` 可以執行一項操作:根據 `commerce-data` 搜尋。其他所有網域內的索引均無法存取,而且無使用 `es:ESHttpPut` 或 `es:ESHttpPost` 動作的許可,因此 `test-user` 無法新增或修改文件。
接著,您可能會決定設定進階使用者角色。這個政策可授予 `power-user-role` 權限,以利其操作索引中全部 URI 適用的 HTTP GET 和 PUT 方法:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/power-user-role"
]
},
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/commerce-data/*"
}
]
}
```
------
如果您的網域位於 VPC 或使用精細存取控制,您可以使用開放網域存取政策。否則,您的網域存取政策必須包含一些限制 (依委託人或 IP 地址)。
如需有關所有可行動作的詳細資訊,請參閱[政策元素參考](#ac-reference)。若要更精細地控制您的資料,請搭配使用開放網域存取政策與[精細存取控制](fgac.md)。
### 身分型政策
與屬於每個 OpenSearch Service 網域一部分的資源型政策不同,您可以使用 AWS Identity and Access Management (IAM) 服務將身分型政策連接到使用者或角色。就像[以資源為基礎的政策](#ac-types-resource)一樣,以身分為基礎的政策會指定誰可以存取服務、可以執行哪些動作,以及可以在哪些資源執行那些動作 (如果適用)。
雖然他們不需要這麼做,但以身分為基礎的政策往往更加通用。它們通常只管理使用者可執行的組態 API 動作。準備好這些政策之後,您可以在 OpenSearch Service 中使用以資源為基礎的政策 (或[精細存取控制](fgac.md)),向使用者提供對 OpenSearch 索引和 API 的存取權。
**注意**
具有 AWS 受管`AmazonOpenSearchServiceReadOnlyAccess`政策的使用者在主控台上看不到叢集運作狀態。若要允許其查看叢集運作狀態 (以及其他 OpenSearch 資料),請新增 `es:ESHttpGet` 動作至存取政策並連接至其帳戶或角色。
由於以身分為基礎的政策附加到使用者或角色 (委託人),JSON 不指定委託人。下列政策授與動作存取權,該動作的開頭是 `Describe` 和 `List`。這組動作提供的唯讀存取權限用於網域組態,而非儲存在網域本身的資料:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:Describe*",
"es:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
管理員可能擁有 OpenSearch Service 及所有網域中所存放之全部資料的完整存取權:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"es:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
身分型政策讓您能使用標籤來控制對組態 API 的存取。例如,如果網域具有 `team:devops` 標籤,下列政策可讓所連接的委託人檢視並更新網域的組態:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:UpdateDomainConfig",
"es:DescribeDomain",
"es:DescribeDomainConfig"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/team": [
"devops"
]
}
}
}]
}
```
------
您也可以使用標籤來控制對 OpenSearch API 的存取。OpenSearch API 的標籤型策略僅適用於 HTTP 方法。例如,如果網域有 `environment:production` 標籤,以下策略可讓連接的主體傳送 GET 和 PUT 請求給 OpenSearch API:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"es:ESHttpGet",
"es:ESHttpPut"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:ResourceTag/environment": [
"production"
]
}
}
}]
}
```
------
若要更精密控制 OpenSearch API,請考慮使用[精細存取控制](fgac.md)。
**注意**
將一或多個 OpenSearch API 新增至任何標籤型政策後,您必須執行單一[標籤操作](managedomains-awsresourcetagging.md) (例如新增、刪除或修改標籤),以便變更在網域上生效。您必須使用服務軟體 R20211203 或更新版本,才能在標籤型政策中加入 OpenSearch API 操作。
OpenSearch Service 支援組態 API (而非 OpenSearch API) 的 `RequestTag` 和 `TagKeys` 全域條件索引鍵。這些條件僅適用於在請求中包含標籤的 API 呼叫,例如 `CreateDomain`、`AddTags` 以及 `RemoveTags`。下列政策可讓所連接的委託人建立網域,但前提是他們在請求中包含 `team:it` 標籤:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"es:CreateDomain",
"es:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/team": [
"it"
]
}
}
}
}
```
------
如需使用標籤進行存取控制的詳細資訊,以及資源型和身分型政策之間的差異,請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
### 以 IP 為基礎的政策
以 IP 為基礎的政策,限制存取到一或多個 IP 地址或 CIDR 區塊的網域。從技術層面來看,以 IP 為基礎的政策不是明確的政策類型。反之,它們只是以資源為基礎的政策,指定匿名委託人並包含特殊條件。如需詳細資訊,請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 **
以 IP 為基礎的政策的主要優點是它們允許 OpenSearch Service 網域的未簽署請求,這可讓您使用 [curl](https://curl.haxx.se/) 和 [OpenSearch Dashboards](dashboards.md) 這類用戶端,或透過代理伺服器存取網域。如需詳細資訊,請參閱 [使用代理伺服器從 Dashboards 中存取 OpenSearch Service](dashboards.md#dashboards-proxy)。
**注意**
如果為網域啟用 VPC 存取,您無法設定以 IP 為基礎的政策。反之,您可以使用 `security groups` 控制哪些 IP 地址可以存取網域。如需詳細資訊,請參閱下列主題:
[關於 VPC 網域上的存取政策](vpc.md#vpc-security)
《*Amazon VPC 使用者指南*》中的[使用安全群組控制 AWS 資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
以下政策會將對 `test-domain` 的存取權限授予所有來自指定 IP 範圍的 HTTP 請求:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}
]
}
```
------
如果您的網域具備公有端點且不使用[精細存取控制](fgac.md),我們建議將 IAM 委託人與 IP 地址合併。這項政策只有在請求是來自指定 IP 範圍時,才會授予 `test-user` HTTP 存取:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24"
]
}
},
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
}]
}
```
------
## 當政策衝突時
當與政策相違或未明確提及使用者時,事情就變得複雜了。[IAM 使用者指南中的 IAM 運作方式](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)提供政策評估邏輯的簡潔摘要: **
+ 根據預設,所有的請求一律拒絕。
+ 明確允許覆寫這個預設值。
+ 明確拒絕覆寫任何允許。
例如,假設以資源為基礎的政策允許您存取網域子資源 (OpenSearch 索引或 API),但以身分為基礎的政策拒絕您存取,您便無法存取。如果以身分為基礎的政策授與存取權,但以資源為基礎的政策未指定您是否有存取權,此時您便可以存取。請參閱下表的相交政策,以了解網域子資源的完整結果摘要。
****
| | 以資源為基礎的政策允許 | 以資源為基礎的政策拒絕 | 以資源為基礎的政策不允許也不拒絕 |
| --- |--- |--- |--- |
| **Allowed in identity-based policy** | 允許 | Deny | Allow |
| --- |--- |--- |--- |
| **Denied in identity-based policy** | Deny | Deny | Deny |
| --- |--- |--- |--- |
| **Neither allowed nor denied in identity-based policy** | Allow | Deny | Deny |
| --- |--- |--- |--- |
## 政策元素參考
OpenSearch Service 支援 [IAM 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html)中的大多數政策元素,唯獨 `NotPrincipal` 除外。下表顯示最常見的元素。
****
| JSON 政策元素 | 摘要 |
| --- | --- |
| Version | 目前版本的政策語言是 `2012-10-17`。所有存取政策應該指定這個值。 |
| Effect | 此元素指定公告內容是否允許或拒絕對指定動作的存取。有效值為 `Allow` 或 `Deny`。 |
| Principal | 此元素指定允許或拒絕存取資源的 AWS 帳戶 或 IAM 角色或使用者,並且可以採用多種形式: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/ac.html) 指定 `*` 萬用字元可匿名存取網域,但我們不建議這麼做,除非新增 [IP 型條件](#ac-types-ip)、使用 [VPC 支援](vpc.md),或啟用[精細存取控制](fgac.md)。此外,請仔細檢查下列政策,以確認它們未授予廣泛存取權: 連接至相關聯 AWS 主體 (例如 IAM 角色) 的身分型政策 連接至相關聯 AWS 資源的資源型政策 (例如, AWS Key Management Service KMS 金鑰) |
| Action | OpenSearch Service 針對 OpenSearch HTTP 方法使用 `ESHttp*` 動作:其餘的動作套用至組態 API。某些特定 `es:` 動作支援資源層級的許可。例如,您可以許可使用者刪除一個特定網域,而不是許可使用者刪除*任何*網域。其他動作只適用於服務本身。例如,`es:ListDomainNames` 在單一網域的內容細節中不具任何意義,因此需要萬用字元。如需所有可用動作的清單,以及了解它們是套用至網域子資源 (`test-domain/*`)、網域組態 (`test-domain`) 還是僅套用至服務 (`*`),請參閱《服務授權參考》**中的 [Amazon OpenSearch Service 的動作、資源及條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)以資源為基礎的政策不同於資源層級的許可。[以資源為基礎的政策](#ac-types-resource)是附加到網域的完整 JSON 政策。資源層級許可則可讓您將動作限制到特定網域或子資源。在實務層面,您可以將資源層級許可當成選用之資源或身分為基礎的政策的一部分。由於 `es:CreateDomain` 的資源層級許可不是直覺式的 - 畢竟為何要許可使用者建立一個已經存在的網域?- 使用萬用字元可為您的網域強制執行簡單的命名機制,例如 `"Resource": "arn:aws:es:us-west-1:987654321098:domain/my-team-name-*"`。當然,您有權利納入一些動作來搭配較無限制性的資源元素,如下所示: JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeDomain"
],
"Resource": "*"
}
]
}
``` 若要進一步了解有關配對動作和資源的詳細資訊,請參閱此表格中的 `Resource` 元素。 |
| Condition | OpenSearch Service 支援 *IAM 使用者指南*中 [AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)中所述的大部分條件。值得注意的例外狀況包括 OpenSearch Service 不支援的`aws:PrincipalTag`金鑰。 當設定[以 IP 為基礎的政策](#ac-types-ip)時,您可指定 IP 地址或 CIDR 區塊當做條件,如下所示: "Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/32"
]
}
} 正如 [身分型政策](#ac-types-identity) 中所述,`aws:ResourceTag`、`aws:RequestTag` 以及 `aws:TagKeys` 條件索引鍵適用於組態 API,以及 OpenSearch API。 |
| Resource | OpenSearch Service 以三種基本方式使用 `Resource` 元素: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/ac.html) 如需有關哪些動作支援資源層級許可的詳細資訊,請參閱此表格中的 `Action` 元素。 |
## 進階選項和 API 考量
OpenSearch Service 有數種進階選項,其中一個可存取控制含意:`rest.action.multi.allow_explicit_index`。它的預設設定為 true,可讓使用者在特定情況下繞過子資源許可。
例如,請考量以下以資源為基礎的政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttp*"
],
"Resource": [
"arn:aws:es:us-west-1:987654321098:domain/test-domain/test-index/*",
"arn:aws:es:us-west-1:987654321098:domain/test-domain/_bulk"
]
},
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/test-user"
]
},
"Action": [
"es:ESHttpGet"
],
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
此政策向 `test-user` 授予對 `test-index` 和 OpenSearch 大量 API 的完整存取。它也允許 `GET` 請求 `restricted-index`。
以下索引請求因為許可錯誤而失敗:
```
PUT https://search-test-domain.us-west-1.es.amazonaws.com/restricted-index/movie/1
{
"title": "Your Name",
"director": "Makoto Shinkai",
"year": "2016"
}
```
與索引 API 不同的是,大量 API 可讓您在單一呼叫中建立、更新和刪除許多文件。您通常會在請求本文中指定這些操作,而不是在請求 URL。由於 OpenSearch Service 使用 URL 來控制對網域子資源的存取,因此事實上 `test-user` 可以使用大量 API 來變更 `restricted-index`。即使使用者缺少索引的 `POST` 許可,以下請求仍會**成功**:
```
POST https://search-test-domain.us-west-1.es.amazonaws.com/_bulk
{ "index" : { "_index": "restricted-index", "_type" : "movie", "_id" : "1" } }
{ "title": "Your Name", "director": "Makoto Shinkai", "year": "2016" }
```
在這種情況下,存取政策無法滿足其目的。為了防止使用者繞過這些類型的限制,您可以變更 `rest.action.multi.allow_explicit_index` 為 false。如果此值為 false,所有對大量、 mget、msearch API (其在請求本文中指定索引名稱) 的呼叫,便會停止運作。換言之,呼叫 `_bulk` 不再運作,但呼叫 `test-index/_bulk` 則正常運作。第二個端點包含索引名稱,因此您不需要在請求本文中指定一個。
[OpenSearch Dashboards](dashboards.md) 嚴重依賴 mget 和 msearch,因此在此變更後不可能正常運作。若要進行部分補救,您可以保留 `rest.action.multi.allow_explicit_index` 為 true,並且拒絕特定使用者存取一或多個 API。
如需變更此設定的詳細資訊,請參閱[進階叢集設定](createupdatedomains.md#createdomain-configure-advanced-options)。
同樣地,以下以資源為基礎的政策包含兩個細微問題:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/*"
},
{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/test-user"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-west-1:987654321098:domain/test-domain/restricted-index/*"
}
]
}
```
------
+ 儘管明確拒絕,`test-user` 仍然可以呼叫如 `GET https://search-test-domain.us-west-1.es.amazonaws.com/_all/_search` 和 `GET https://search-test-domain.us-west-1.es.amazonaws.com/*/_search` 以存取 `restricted-index` 中的文件。
+ 由於 `Resource` 元素參考 `restricted-index/*`,`test-user` 未獲許可來直接存取索引的文件。不過,使用者有權*刪除整個索引*。為防止存取和刪除,政策必須指定 `restricted-index*`。
不是廣泛允許和專注於拒絕,最安全的方法是遵循[最小特權原則](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege),只授與任務所需的許可。如需控制對個別索引或 OpenSearch 操作的存取詳細資訊,請參閱 [Amazon OpenSearch Service 中的精細存取控制](fgac.md)。
**重要**
指定 \$1 萬用字元可匿名存取您的網域。不建議您使用萬用字元 此外,請仔細檢查下列政策,以確認它們未授予廣泛存取權:
連接到相關聯 AWS 主體的身分型政策 (例如 IAM 角色)
連接至相關聯 AWS 資源的資源型政策 (例如, AWS Key Management Service KMS 金鑰)
## 設定存取政策
+ 如需有關在 OpenSearch Service 中建立或修改以資源為基礎和以 IP 為基礎的政策之說明,請參閱[設定存取政策](createupdatedomains.md#createdomain-configure-access-policies)。
+ 如需在 IAM 中建立或修改身分型政策的說明,請參閱《[IAM 使用者指南》中的使用客戶受管政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **
## 其他範例政策
雖然本章包含許多範例政策, AWS 但存取控制是一個複雜的主題,最好透過範例了解。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM 以身分為基礎的政策範例](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html)。