Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# IAM Identity Center Trusted Identity Propagation Support per OpenSearch
<a name="idc-aos"></a>

 [Ora puoi utilizzare i principali (utenti e gruppi) del tuo AWS IAM Identity Center configurati centralmente tramite [Trusted Identity Propagation per accedere](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) ai domini Amazon OpenSearch Service tramite OpenSearch le applicazioni di servizio.](application.md) Per abilitare il supporto di IAM Identity Center per OpenSearch, dovrai abilitare l'uso di IAM Identity Center. Per saperne di più su come eseguire questa operazione, consulta [Cos'è IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Identity Center? . Vedi [Come associare il OpenSearch dominio come origine dati nelle OpenSearch applicazioni](application.md)? per i dettagli. 

Puoi configurare IAM Identity Center utilizzando la console di OpenSearch servizio, il AWS Command Line Interface (AWS CLI) o il AWS SDKs.

**Nota**  
I principali di IAM Identity Center non sono supportati tramite [dashboard (collocati insieme](dashboards.md) al cluster). Sono supportati solo tramite [un'interfaccia OpenSearch utente centralizzata](application.md) (dashboard). 

## Considerazioni
<a name="idc-considerations"></a>

Prima di utilizzare IAM Identity Center con Amazon OpenSearch Service, devi considerare quanto segue:
+ IAM Identity Center è abilitato nell'account.
+ IAM Identity Center è disponibile nella tua [regione](opensearch-ui-endpoints-quotas.md).
+ La versione del OpenSearch dominio è 1.3 o successiva.
+ [Il controllo granulare degli accessi](fgac.md) è abilitato sul dominio.
+ Il dominio si trova nella stessa regione dell'istanza IAM Identity Center.
+ Il dominio e [OpenSearch l'applicazione](application.md) appartengono allo stesso AWS account.

## Modifica della policy di accesso al dominio
<a name="idc-domain-access"></a>

Prima di configurare IAM Identity Center, è necessario aggiornare la policy di accesso al dominio o le autorizzazioni del ruolo IAM configurato nelle OpenSearch applicazioni per Trusted Identity Propagation.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:{{us-east-1}}:{{111122223333}}:domain/example-domain/*"
        }
    ]
}
```

------

## Configurazione dell'autenticazione e dell'autorizzazione di IAM Identity Center (console)
<a name="idc-configure-console"></a>

Puoi abilitare l'autenticazione e l'autorizzazione di IAM Identity Center durante il processo di creazione del dominio o aggiornando un dominio esistente. I passaggi di configurazione variano leggermente a seconda dell'opzione scelta. 

I passaggi seguenti spiegano come configurare un dominio esistente per l'autenticazione e l'autorizzazione di IAM Identity Center nella console OpenSearch di Amazon Service:

1. In **Configurazione del dominio**, vai a **Configurazione di sicurezza**, scegli Modifica e vai alla sezione Autenticazione IAM Identity Center e seleziona **Abilita l'accesso all'API autenticato con IAM Identity Center**. 

1.  Seleziona il tasto SubjectKey and Roles come segue.
   + **Chiave dell'oggetto**: scegli uno tra UserId (predefinito) UserName ed Email per utilizzare l'attributo corrispondente come principale di accesso al dominio. 
   + **Chiave dei ruoli**: scegli uno tra GroupId (impostazione predefinita) e GroupName utilizza i valori degli attributi corrispondenti come ruolo di backend [fine-grained-access-control](fgac.md)per tutti i gruppi associati al principale di IAM Identity Center. 

Dopo aver apportato le modifiche, salva il dominio.

## Configurazione del controllo granulare degli accessi
<a name="idc-configure-fgac"></a>

**Dopo aver abilitato l'opzione IAM Identity Center sul tuo OpenSearch dominio, puoi configurare l'accesso ai principali di IAM Identity Center [creando la mappatura dei ruoli al ruolo di backend](fgac.md#fgac-mapping).** Il valore del ruolo di backend per il principale si basa sull'appartenenza al gruppo del responsabile di IAM Identity Center e sulla RolesKey configurazione di o. GroupId GroupName 

**Nota**  
Amazon OpenSearch Service può supportare fino a **100 gruppi** per un singolo utente. Se tenti di utilizzare un numero di istanze superiore a quello consentito, potresti riscontrare un'incoerenza nell'elaborazione delle fine-grained-access-control autorizzazioni e riceverai un messaggio di errore 403. 

## Configurazione dell'autenticazione e dell'autorizzazione (CLI) di IAM Identity Center
<a name="idc-configure-cli"></a>

```
	 aws opensearch update-domain-config \
	     --domain-name {{my-domain}} \
	     --identity-center-options '{"EnabledAPIAccess": {{true}}, "IdentityCenterInstanceARN": "{{instance arn}}",  "SubjectKey": "{{UserId/UserName/UserEmail}}" , "RolesKey": "{{GroupId/GroupName}}"}'
```

## Disabilitazione dell'autenticazione IAM Identity Center sul dominio
<a name="idc-configure-disable"></a>

Per disabilitare IAM Identity Center sul tuo OpenSearch dominio:

1. Scegli il dominio, **Operazioni** quindi **Modifica configurazione di sicurezza**.

1. Deseleziona **Abilita l'accesso all'API autenticato con IAM Identity Center**.

1. Scegli **Save changes** (Salva modifiche).

1. Al termine dell'elaborazione del dominio, rimuovi le [mappature dei ruoli](fgac.md) aggiunte per i principali di IAM Identity Center 

Per disabilitare IAM Identity Center tramite CLI, puoi usare quanto segue

```
	 aws opensearch update-domain-config \
	     --domain-name {{my-domain}} \
	     --identity-center-options '{"EnabledAPIAccess": {{false}}}'
```