기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# OpenSearch를 위한 IAM Identity Center의 신뢰할 수 있는 ID 전파 지원
이제 [ 신뢰할 수 있는 자격 증명 전파](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)를 통해 중앙에서 구성된 AWS IAM Identity Center 보안 주체(사용자 및 그룹)를 사용하여 OpenSearch Service [ 애플리케이션을 통해 Amazon OpenSearch Service ](application.md)도메인에 액세스할 수 있습니다. OpenSearch에 대한 IAM Identity Center 지원을 활성화하려면 IAM Identity Center 사용을 활성화해야 합니다. 이 방법을 자세히 알아보려면 [IAM Identity Center란 무엇인가요?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요. 자세한 내용은 [OpenSearch 도메인을 OpenSearch 애플리케이션의 데이터 소스로 연결하는 방법](application.md)을 참조하세요.
OpenSearch Service 콘솔, AWS Command Line Interface (AWS CLI) 또는 SDK를 사용하여 IAM Identity Center를 AWS 구성할 수 있습니다. SDKs
**참고**
IAM Identity Center 위탁자는 [Dashboards (클러스터와 코로케이션됨)](dashboards.md)를 통해 지원되지 않습니다. [중앙 집중식 OpenSearch 사용자 인터페이스(Dashboards)](application.md)를 통해서만 지원됩니다.
## 고려 사항
Amazon OpenSearch Service에서 IAM Identity Center를 사용하기 전에 다음을 고려해야 합니다.
+ IAM Identity Center가 계정에 활성화되어 있습니다.
+ 해당 [리전](opensearch-ui-endpoints-quotas.md)에서 IAM Identity Center를 사용할 수 있습니다.
+ OpenSearch 도메인 버전이 1.3 이상입니다.
+ 도메인에 [세분화된 액세스 제어](fgac.md)가 활성화되어 있습니다.
+ 도메인이 IAM Identity Center 인스턴스와 동일한 리전에 있습니다.
+ 도메인과 [OpenSearch 애플리케이션](application.md)은 동일한 AWS 계정에 속합니다.
## 도메인 액세스 정책 수정
IAM Identity Center를 구성하기 전에 신뢰할 수 있는 자격 증명 전파를 위해 OpenSearch 애플리케이션에 구성된 IAM 역할의 권한 또는 도메인 액세스 정책을 업데이트해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
}
]
}
```
------
## IAM Identity Center 인증 및 권한 부여 구성(콘솔)
도메인 생성 프로세스 중에 또는 기존 도메인을 업데이트하여 IAM Identity Center 인증 및 권한 부여를 활성화할 수 있습니다. 설정 단계는 선택 사항에 따라 약간 다릅니다.
다음 단계에서는 Amazon OpenSearch Service 콘솔에서 IAM Identity Center 인증 및 권한 부여를 위해 기존 도메인을 구성하는 방법을 설명합니다.
1. **도메인 구성**에서 **보안 구성**으로 이동하여 편집을 선택하고 IAM Identity Center 인증 섹션으로 이동한 다음 **IAM Identity Center로 인증된 API 액세스 활성화**를 선택합니다.
1. 다음과 같이 SubjectKey와 역할 키를 선택합니다.
+ **제목 키** - 해당 속성을 도메인에 액세스하는 위탁자로 사용하려면 UserId(기본값), UserName 및 Email 중 하나를 선택합니다.
+ **역할 키** - IAM Identity Center 보안 주체와 연결된 모든 그룹에 대한 [fine-grained-access-control](fgac.md) 위해 해당 속성 값을 백엔드 역할로 사용하려면 GroupId(기본값) 및 GroupName 중 하나를 선택합니다.
변경한 후에 도메인을 저장합니다.
## 세분화된 액세스 제어 구성
OpenSearch 도메인에서 IAM Identity Center 옵션을 활성화한 후에는 [**백엔드 역할**에 대한 역할 매핑을 생성](fgac.md#fgac-mapping)하여 IAM Identity Center 위탁자에 대한 액세스를 구성할 수 있습니다. 보안 주체의 백엔드 역할 값은 IAM Identity Center 보안 주체의 그룹 멤버십과 GroupId 또는 GroupName의 RolesKey 구성을 기반으로 합니다.
**참고**
Amazon OpenSearch Service는 단일 사용자에 대해 최대 **100개의 그룹**을 지원할 수 있습니다. 허용된 인스턴스 수를 초과하여 사용하려고 하면 fine-grained-access-control 권한 부여 처리와의 불일치가 발생하여 403 오류 메시지가 표시됩니다.
## IAM Identity Center 인증 및 권한 부여 구성(CLI)
```
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn", "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
```
## 도메인에서 IAM Identity Center 인증 비활성화
OpenSearch 도메인에서 IAM Identity Center를 비활성화하려면
1. 도메인을 선택하고 [**작업(Actions)**], [**보안 구성 편집(Edit security configuration)**]을 선택합니다.
1. **IAM Identity Center로 인증된 API 액세스 활성화**를 선택 취소합니다.
1. **변경 사항 저장**을 선택합니다.
1. 도메인 처리가 완료되면 IAM Identity Center 보안 주체에 대해 추가된 [역할 매핑](fgac.md) 제거
CLI를 통해 IAM Identity Center를 비활성화하려면 다음을 사용합니다.
```
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": false}'
```