本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IAM Identity Center 可信身份传播支持 OpenSearch
<a name="idc-aos"></a>

 现在，您可以通过可[信身份传播](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)使用集中配置 AWS 的 IAM Identity Center 委托人（用户和群组），通过 OpenSearch 服务[应用程序访问亚马逊 OpenSearch 服务](application.md)域。要启用 IAM 身份中心支持 OpenSearch，您需要启用 IAM 身份中心。要详细了解如何执行此操作，请参阅[什么是 IAM 身份中心？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 。请参阅[如何在应用程序中 OpenSearch 将 OpenSearch 域关联为数据源](application.md)？ 了解详情。

您可以使用 OpenSearch 服务控制台、 AWS Command Line Interface (AWS CLI) 或配置 IAM 身份中心 AWS SDKs。

**注意**  
[控制面板（与集群同置）](dashboards.md)不支持 IAM Identity Center 主体。它们只能通过[集中式 OpenSearch 用户界面（仪表板）](application.md)获得支持。

## 注意事项
<a name="idc-considerations"></a>

在将 IAM 身份中心与 Amazon OpenSearch 服务配合使用之前，您必须考虑以下几点：
+ IAM Identity Center 已在该账户中启用。
+ IAM Identity Center 在[区域](opensearch-ui-endpoints-quotas.md)中可用。
+  OpenSearch 域名版本为 1.3 或更高版本。
+ 域上已启用[精细访问控制](fgac.md)。
+ 域与 IAM Identity Center 实例位于同一区域。
+ 域和[OpenSearch 应用程序](application.md)属于同一个 AWS 账户。

## 修改域访问策略
<a name="idc-domain-access"></a>

在配置 IAM Identity Center 之前，您必须更新域访问策略或在 OpenSearch 应用程序中为可信身份传播配置的 IAM 角色的权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
            },
            "Action": "es:ESHttp*",
            "Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
        }
    ]
}
```

------

## 配置 IAM Identity Centity Center 身份验证和授权（控制台）
<a name="idc-configure-console"></a>

您可以在域创建过程中或通过更新现有域启用 IAM Identity Center 身份验证和授权。根据您选择的具体选项，设置步骤会略有差异。

以下步骤说明了如何在 Amazon S OpenSearch ervice 控制台中为 IAM 身份中心身份验证和授权配置现有域：

1. 在**域配置**下，导航至**安全配置**，选择“编辑”，进入“IAM Identity Center 身份验证”部分，勾选**启用通过 IAM Identity Center 进行身份验证的 API 访问**。

1.  按如下方式选择 SubjectKey 和角色键。
   + **主题密钥**-选择一个 UserId（默认）， UserName 然后选择电子邮件以使用相应的属性作为访问域名的委托人。
   + **角色密钥**-选择一个 GroupId（默认），然后 GroupName 使用相应的属性值作为与 IAM Identity Center 委托人关联的所有群组的后端角色。[fine-grained-access-control](fgac.md)

完成更改后，请保存域。

## 配置精细访问控制
<a name="idc-configure-fgac"></a>

在您的 OpenSearch 域上启用 IAM Identity Center 选项后，您可以通过[创建到**后端**角色的角色映射来](fgac.md#fgac-mapping)配置对 IAM 身份中心委托人的访问权限。委托人的后端角色值基于 IAM Identity Center 委托人的组成员资格和 GroupId 或的 RolesKey配置 GroupName。

**注意**  
亚马逊 OpenSearch 服务可以为单个用户最多支持 **100 个群组**。如果您尝试使用的实例数量超过允许的数量，则会遇到与 fine-grained-access-control授权处理不一致的问题，并会收到 403error 消息。

## 配置 IAM Identity Centity Center 身份验证和授权（CLI）
<a name="idc-configure-cli"></a>

```
	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn",  "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
```

## 禁用域上的 IAM Identity Center 身份验证
<a name="idc-configure-disable"></a>

要在您的 OpenSearch 域上禁用 IAM 身份中心，请执行以下操作：

1. 选择域、**Actions（操作）**和 **Edit security configuration（编辑安全配置）**。

1. 取消选中**启用通过 IAM Identity Center 进行身份验证的 API 访问权限**。

1. 选择**保存更改**。

1. 域名处理完毕后，移除为 IAM 身份中心[委托人添加的角色映射](fgac.md) 

要通过 CLI 禁用 IAM Identity Center，可执行以下操作

```
	 aws opensearch update-domain-config \
	     --domain-name my-domain \
	     --identity-center-options '{"EnabledAPIAccess": false}'
```