IAM Identity Center による Amazon OpenSearch Serverless のサポート - Amazon OpenSearch Service
IAM Identity Center による Amazon OpenSearch Serverless のサポートIAM Identity Center プロバイダーの作成 (コンソール)IAM アイデンティティセンターのプロバイダーの作成 (AWS CLI)IAM アイデンティティセンターのプロバイダーの削除IAM アイデンティティセンターに対するコレクションデータへのアクセス権の付与

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center による Amazon OpenSearch Serverless のサポート

IAM Identity Center による Amazon OpenSearch Serverless のサポート

IAM Identity Center のプリンシパル (ユーザーとグループ) を使用して、Amazon OpenSearch アプリケーションから Amazon OpenSearch Serverless データにアクセスできます。Amazon OpenSearch Serverless の IAM Identity Center に対するサポートを有効にするには、IAM Identity Center の使用を有効にする必要があります。これを行う方法の詳細については、「What is IAM Identity Center?」を参照してください。

注記

IAM Identity Center ユーザーまたはグループを使用して Amazon OpenSearch Serverless コレクションにアクセスするには、OpenSearch UI (アプリケーション) 機能を使用する必要があります。IAM Identity Center 認証情報を使用した OpenSearch Serverless Dashboards への直接アクセスはサポートされていません。詳細については、OpenSearch ユーザーインターフェイスの開始方法」を参照してください。

IAM Identity Center のインスタンスが作成されたら、カスタマーアカウント管理者は Amazon OpenSearch Serverless サービス用の IAM Identity Center アプリケーションを作成する必要があります。これは CreateSecurityConfig を呼び出すことで実行できます。カスタマーアカウント管理者は、リクエストの認可に使用する属性を指定できます。デフォルトで使用される属性は UserIdGroupId. です。

Amazon OpenSearch Serverless の IAM Identity Center 統合では、次の AWS IAM Identity Center (IAM) アクセス許可を使用します。

  • aoss:CreateSecurityConfig – IAM Identity Center プロバイダーを作成します

  • aoss:ListSecurityConfig – 現在のアカウントにおけるすべての IAM Identity Center プロバイダーを一覧表示します。

  • aoss:GetSecurityConfig – IAM Identity Center のプロバイダー情報を表示します。

  • aoss:UpdateSecurityConfig – 特定の IAM Identity Center の設定を変更します。

  • aoss:DeleteSecurityConfig – IAM Identity Center プロバイダーを削除します。

次のアイデンティティベースのアクセスポリシーを使用して、すべての IAM Identity Center 設定を管理できます。

JSON
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
注記

Resource 要素はワイルドカードにする必要があります。

IAM Identity Center プロバイダーの作成 (コンソール)

IAM Identity Center プロバイダーを作成して、OpenSearch Application による認証を有効にできます。OpenSearch Dashboards の IAM アイデンティティセンター認証を有効にするには、以下の手順を実行します。

  1. [Amazon OpenSearch Service] コンソールにサインインします。

  2. 左側のナビゲーションパネルで [サーバーレス] を展開し、[認証] を選択します。

  3. [IAM アイデンティティセンター認証] を選択します。

  4. [編集] を選択します。

  5. [IAM アイデンティティセンターによる認証] の横にあるチェックボックスをオンにします。

  6. ドロップダウンメニューから [ユーザーとグループ] 属性キーを選択します。ユーザー属性は、UserNameUserIdEmail に基づいてユーザーを認可するために使用されます。グループ属性は、GroupNameGroupId に基づいてユーザーを認証するために使用されます。

  7. [IAM アイデンティティセンター] インスタンスを選択します。

  8. [保存] を選択します。

IAM アイデンティティセンターのプロバイダーの作成 (AWS CLI)

AWS Command Line Interface (AWS CLI) を使用して IAM Identity Center プロバイダーを作成するには、次のコマンドを使用します。

aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'

IAM アイデンティティセンターが有効化された後、お客様はユーザーとグループの属性のみ変更できます。

aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'

を使用して IAM Identity Center プロバイダーを表示するには AWS Command Line Interface、次のコマンドを使用します。

aws opensearchserverless list-security-configs --type iamidentitycenter

IAM アイデンティティセンターのプロバイダーの削除

IAM アイデンティティセンターには、プロバイダーのインスタンスが 2 つ用意されています。1 つは組織アカウント用、もう 1 つはメンバーアカウント用です。IAM アイデンティティセンターのインスタンスを変更する必要がある場合は、DeleteSecurityConfig API を使用してセキュリティ設定を削除し、新しい IAM アイデンティティセンターのインスタンスを使用して新しいセキュリティ設定を作成する必要があります。以下のコマンドを使用して、IAM アイデンティティセンターのプロバイダーを削除できます。

aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>

IAM アイデンティティセンターに対するコレクションデータへのアクセス権の付与

IAM アイデンティティセンターのプロバイダーが有効になった後は、コレクションのデータアクセスポリシーを更新して IAM アイデンティティセンターのプリンシパルを含めることができます。IAM アイデンティティセンターのプリンシパルは、以下の形式で更新する必要があります。

[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
注記

Amazon OpenSearch Serverless は、すべてのお客様のコレクションに対して IAM アイデンティティセンターの 1 つのインスタンスのみをサポートし、1 人のユーザーに対して最大 100 個のグループをサポートできます。許可されたインスタンスの数を超えて使用しようとすると、データアクセスポリシーの認可処理に不整合が発生し、403 エラーメッセージが表示されます。

アクセス権は、コレクション、インデックス、またはその両方に付与できます。ユーザーごとに異なる権限を持たせたい場合は、複数のルールを作成する必要があります。使用可能なアクセス許可のリストについては、「Amazon OpenSearch Service での Identity and Access Management」を参照してください。アクセスポリシーをフォーマットする方法については、「SAML ID に対するコレクションデータへのアクセス権の付与」を参照してください。