本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# OpenSearch 的 IAM Identity Center 受信任身分傳播支援
您現在可以透過[信任的身分傳播](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html),使用集中設定的 AWS IAM Identity Center 主體 (使用者和群組),透過 OpenSearch Service [ 應用程式 存取 Amazon OpenSearch Service ](application.md)網域。若要啟用 OpenSearch 的 IAM Identity Center 支援,您需要啟用 IAM Identity Center 的使用。若要進一步了解如何執行此操作,請參閱[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。如需詳細資訊,請參閱[如何在 OpenSearch 應用程式中將 OpenSearch 網域關聯為資料來源?](application.md)。
您可以使用 OpenSearch Service 主控台、 AWS Command Line Interface (AWS CLI) 或 SDKs 來 AWS 設定 IAM Identity Center。
**注意**
透過 [ Dashboards (與叢集共置) ](dashboards.md)不支援 IAM Identity Center 主體。它們僅透過[集中式 OpenSearch 使用者介面 (儀表板) ](application.md)支援。
## 考量事項
將 IAM Identity Center 與 Amazon OpenSearch Service 搭配使用之前,您必須考慮下列事項:
+ 帳戶已啟用 IAM Identity Center。
+ IAM Identity Center 可在您的 [區域](opensearch-ui-endpoints-quotas.md)使用。
+ OpenSearch 網域版本為 1.3 或更新版本。
+ 網域上已啟用[精細存取控制](fgac.md)。
+ 網域與 IAM Identity Center 執行個體位於相同的區域。
+ 網域和 [OpenSearch 應用程式](application.md)屬於同一個 AWS 帳戶。
## 修改網域存取政策
設定 IAM Identity Center 之前,您必須更新網域存取政策或在 OpenSearch 應用程式中為受信任身分傳播設定的 IAM 角色許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/OpenSearchRole"
},
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:us-east-1:111122223333:domain/example-domain/*"
}
]
}
```
------
## 設定 IAM Identity Center 身分驗證和授權 (主控台)
您可以在網域建立程序期間或透過更新現有網域來啟用 IAM Identity Center 身分驗證和授權。設定步驟會因您選擇的選項而略有不同。
下列步驟說明如何在 Amazon OpenSearch Service 主控台中設定 IAM Identity Center 身分驗證和授權的現有網域:
1. 在**網域組態**下,導覽至**安全組態**,選擇編輯並導覽至 IAM Identity Center Authentication 區段,然後選取**啟用使用 IAM Identity Center 驗證的 API 存取**。
1. 選取 SubjectKey 和 Roles 金鑰,如下所示。
+ **主旨金鑰** - 選擇其中一個 UserId (預設)、UserName 和 Email,以使用對應的屬性做為存取網域的主體。
+ **角色金鑰** - 選擇其中一個 GroupId (預設) 和 GroupName,針對與 IAM Identity Center 主體相關聯的所有群組,使用對應的屬性值做為[fine-grained-access-control](fgac.md)的後端角色。
完成變更後,請儲存您的網域。
## 設定精細存取控制
在 OpenSearch 網域上啟用 IAM Identity Center 選項後,您可以透過[建立**與後端**角色的角色映射來設定對 IAM Identity Center 主體的](fgac.md#fgac-mapping)存取。委託人的後端角色值是以 IAM Identity Center 委託人的群組成員資格和 GroupId 或 GroupName 的 RolesKey 組態為基礎。
**注意**
Amazon OpenSearch Service 最多可為單一使用者支援 **100 個群組**。如果您嘗試使用超過允許的執行個體數量,您會遇到與fine-grained-access-control授權處理不一致的情況,並收到 403 錯誤訊息。
## 設定 IAM Identity Center 身分驗證和授權 (CLI)
```
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": true, "IdentityCenterInstanceARN": "instance arn", "SubjectKey": "UserId/UserName/UserEmail" , "RolesKey": "GroupId/GroupName"}'
```
## 在網域上停用 IAM Identity Center 身分驗證
若要在 OpenSearch 網域上停用 IAM Identity Center:
1. 選擇網域、**Actions** (動作) 和 **Edit security configuration** (編輯安全組態)。
1. 取消勾選**啟用透過 IAM Identity Center 驗證的 API 存取**。
1. 選擇**儲存變更**。
1. 網域完成處理後,移除為 IAM Identity Center 主體新增[的角色映射](fgac.md)
若要透過 CLI 停用 IAM Identity Center,您可以使用下列
```
aws opensearch update-domain-config \
--domain-name my-domain \
--identity-center-options '{"EnabledAPIAccess": false}'
```