As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Suporte do IAM Identity Center para Amazon OpenSearch Serverless
<a name="serverless-iam-identity-center"></a>

## Suporte do IAM Identity Center para Amazon OpenSearch Serverless
<a name="serverless-iam-identity-support"></a>

Você pode usar os diretores do IAM Identity Center (usuários e grupos) para acessar dados do Amazon OpenSearch Serverless por meio dos Amazon Applications. OpenSearch Para habilitar o suporte do IAM Identity Center para Amazon OpenSearch Serverless, você precisará habilitar o uso do IAM Identity Center. Para saber mais sobre como fazer isso, consulte [O que é o IAM Identity?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)

**nota**  
Para acessar as coleções do Amazon OpenSearch Serverless usando usuários ou grupos do IAM Identity Center, você deve usar o recurso OpenSearch UI (Applications). O acesso direto aos painéis OpenSearch sem servidor usando as credenciais do IAM Identity Center não é suportado. Para obter mais informações, consulte [Introdução à interface do OpenSearch usuário](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/application.html).

Depois que a instância do IAM Identity Center é criada, o administrador da conta do cliente precisa criar um aplicativo do IAM Identity Center para o OpenSearch serviço Amazon Serverless. Isso pode ser feito chamando o [CreateSecurityConfig:](https://docs.aws.amazon.com/opensearch-service/latest/ServerlessAPIReference/API_CreateSecurityConfig.html). O administrador da conta de cliente pode especificar quais atributos serão usados para autorizar a solicitação. Os atributos padrão usados são `UserId` e `GroupId.`

A integração do IAM Identity Center para o Amazon OpenSearch Serverless usa as seguintes permissões AWS do IAM Identity Center (IAM):
+ `aoss:CreateSecurityConfig`: criar um provedor do IAM Identity Center
+ `aoss:ListSecurityConfig`: listar todos os provedores do IAM Identity Center na conta atual.
+ `aoss:GetSecurityConfig`: visualizar informações do provedor do IAM Identity Center.
+ `aoss:UpdateSecurityConfig`: modificar uma determinada configuração do IAM Identity Center
+ `aoss:DeleteSecurityConfig`: excluir um provedor do IAM Identity Center 

A seguinte política de acesso baseada em identidade pode ser usada para gerenciar todas as configurações do IAM Identity Center:

------
#### [ JSON ]

****  

```
{
"Version": "2012-10-17",
    "Statement": [
        {
"Action": [
                "aoss:CreateSecurityConfig",
                "aoss:DeleteSecurityConfig",
                "aoss:GetSecurityConfig",
                "aoss:UpdateSecurityConfig",
                "aoss:ListSecurityConfigs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**nota**  
O elemento `Resource` deve ser um caractere curinga.

## Criar um provedor do IAM Identity Center (console)
<a name="serverless-iam-console"></a>

Você pode criar um provedor do IAM Identity Center para habilitar a autenticação com o OpenSearch aplicativo. Para habilitar a autenticação do IAM Identity Center para OpenSearch painéis, execute as seguintes etapas:

1. Faça login no [console do Amazon OpenSearch Service](https://console.aws.amazon.com/aos/home.).

1. No painel de navegação à esquerda, expanda **Tecnologia sem servidor** e escolha **Autenticação**.

1. Escolha **Autenticação do IAM Identity Center**.

1. Selecione **Editar**

1. Marque a caixa ao lado de Autenticar com o IAM Identity Center.

1. Selecione a chave de atributo **usuário e grupo** no menu suspenso. Os atributos de usuário serão usados para autorizar usuários com base em `UserName`, `UserId` e `Email`. Os atributos de usuário serão usados para autorizar usuário com base em `GroupName` e `GroupId`.

1. Selecione a instância do **IAM Identity Center**.

1. Selecione **Salvar**.

## Criar provedor do IAM Identity Center (AWS CLI)
<a name="serverless-iam-identity-center-cli"></a>

Para criar um provedor do IAM Identity Center usando o AWS Command Line Interface (AWS CLI), use o seguinte comando:

```
aws opensearchserverless create-security-config \
--region us-east-2 \
--name "iamidentitycenter-config" \
--description "description" \
--type "iamidentitycenter" \
--iam-identity-center-options '{
    "instanceArn": "arn:aws:sso:::instance/ssoins-99199c99e99ee999",
    "userAttribute": "UserName",                  
    "groupAttribute": "GroupId"
}'
```

Depois que um IAM Identity Center é habilitado, os clientes somente podem modificar os atributos de **usuário e grupo**.

```
aws opensearchserverless update-security-config \
--region us-east-1 \
--id <id_from_list_security_configs> \
--config-version <config_version_from_get_security_config> \
--iam-identity-center-options-updates '{
    "userAttribute": "UserId",
    "groupAttribute": "GroupId"
}'
```

Para visualizar o provedor do IAM Identity Center usando o AWS Command Line Interface, use o seguinte comando:

```
aws opensearchserverless list-security-configs --type iamidentitycenter
```

## Excluir provedor do IAM Identity Center
<a name="serverless-iam-identity-center-deleting"></a>

 O IAM Identity Center oferece duas instâncias de provedores, uma para a conta da organização e outra para a sua conta de membro. Se precisar alterar a instância do IAM Identity Center, você terá que excluir a configuração de segurança por meio da API `DeleteSecurityConfig` e criar uma nova configuração de segurança usando a nova instância do IAM Identity Center. O seguinte comando pode ser usado para excluir um provedor do IAM Identity Center:

```
aws opensearchserverless delete-security-config \
--region us-east-1 \
--id <id_from_list_security_configs>
```

## Conceder ao IAM Identity Center acesso a dados de coleção
<a name="serverless-iam-identity-center-collection-data"></a>

Depois que o provedor do IAM Identity Center está habilitado, você pode atualizar a política de acesso a dados da coleção para incluir as entidades principais do IAM Identity Center. As entidades principais do IAM Identity Center precisam ser atualizadas no seguinte formato: 

```
[
   {
"Rules":[
       ...  
      ],
      "Principal":[
         "iamidentitycenter/<iamidentitycenter-instance-id>/user/<UserName>",
         "iamidentitycenter/<iamidentitycenter-instance-id>/group/<GroupId>"
      ]
   }
]
```

**nota**  
O Amazon OpenSearch Serverless oferece suporte a apenas uma instância do IAM Identity Center para todas as coleções de clientes e pode suportar até 100 grupos para um único usuário. Se você tentar usar mais do que o número permitido de instâncias, terá inconsistência no processamento da autorização da política de acesso a dados e receberá uma mensagem de erro `403`. 

É possível conceder acesso a coleções, índices ou ambos. Se você quiser que usuários diferentes tenham permissões diferentes, precisará criar várias regras. Para obter uma lista das permissões disponíveis, consulte [Identity and Access Management no Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html). Para obter informações sobre como formatar uma política de acesso, consulte [Conceder a identidades SAML acesso a dados de coleções](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-saml.html#serverless-saml-policies).