本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授予 Amazon OpenSearch Ingestion 管道對網域的存取權
Amazon OpenSearch Ingestion 管道需要許可,才能寫入設定為其目的地的 OpenSearch Service 網域。若要提供存取權,您可以使用限制性許可政策來設定 AWS Identity and Access Management (IAM) 角色,以限制對管道傳送資料的網域的存取。例如,您可能想要將擷取管道限制為僅支援其使用案例所需的網域和索引。
**重要**
您可以選擇手動建立管道角色,也可以讓 OpenSearch Ingestion 在管道建立期間為您建立。如果您選擇自動建立角色,OpenSearch Ingestion 會根據您選擇的來源和目的地,將所有必要的許可新增至管道角色存取政策。它會在 IAM 中以您輸入的字首`OpenSearchIngestion-`和尾碼建立管道角色。如需詳細資訊,請參閱[管道角色](pipeline-security-overview.md#pipeline-security-sink)。
如果您讓 OpenSearch Ingestion 為您建立管道角色,則在建立管道之前或之後,您仍需要在網域存取政策中包含該角色,並將其對應至後端角色 (如果網域使用精細分級的存取控制)。如需說明,請參閱步驟 2。
**Topics**
+ [步驟 1:建立管道角色](#pipeline-access-configure)
+ [步驟 2:設定網域的資料存取](#pipeline-access-domain)
## 步驟 1:建立管道角色
管道角色必須具有連接的許可政策,允許其將資料傳送至網域目的地。它還必須具有信任關係,允許 OpenSearch Ingestion 擔任該角色。如需如何將政策連接至角色的指示,請參閱《[IAM 使用者指南》中的新增 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。 **
下列範例政策示範您可以在管道角色中提供[的最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege),供它寫入單一網域:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "es:DescribeDomain",
"Resource": "arn:aws:es:*:111122223333:domain/*"
},
{
"Effect": "Allow",
"Action": "es:ESHttp*",
"Resource": "arn:aws:es:*:111122223333:domain/domain-name/*"
}
]
}
```
------
如果您打算重複使用角色來寫入多個網域,您可以使用萬用字元 () 取代網域名稱,讓政策更為廣泛`*`。
角色必須具有下列[信任關係](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy),允許 OpenSearch Ingestion 擔任管道角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"osis-pipelines.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
## 步驟 2:設定網域的資料存取
為了讓管道將資料寫入網域,網域必須具有允許管道角色存取它的[網域層級存取政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)。
下列範例網域存取政策允許名為 的管道角色`pipeline-role`將資料寫入名為 的網域`ingestion-domain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/pipeline-role"
},
"Action": [
"es:DescribeDomain",
"es:ESHttp*"
],
"Resource": "arn:aws:es:us-east-1:111122223333:domain/domain-name/*"
}
]
}
```
------
### 映射管道角色 (僅適用於使用精細存取控制的網域)
如果您的網域使用[精細存取控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)進行身分驗證,您需要採取額外的步驟來提供對網域的管道存取權。步驟會根據您的網域組態而有所不同:
+ **案例 1:不同的主角色和管道角色** – 如果您使用 IAM Amazon Resource Name (ARN) 做為主使用者,且它與管道角色*不同*,則需要將管道角色映射至 OpenSearch `all_access` 後端角色。這會將管道角色新增為額外的主要使用者。如需詳細資訊,請參閱[其他主要使用者](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html#fgac-more-masters)。
+ **案例 2:內部使用者資料庫中的主要使用者** – 如果您的網域使用內部使用者資料庫中的主要使用者,以及 OpenSearch Dashboards 的 HTTP 基本身分驗證,則無法直接將主要使用者名稱和密碼傳遞至管道組態。反之,請將管道角色映射至 OpenSearch `all_access` 後端角色。這會將管道角色新增為額外的主要使用者。如需詳細資訊,請參閱[其他主要使用者](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html#fgac-more-masters)。
+ **案例 3:相同的主角色和管道角色 (不常見)** – 如果您使用 IAM ARN 做為主使用者,而且它與您用作管道角色的 ARN 相同,則不需要採取任何進一步的動作。管道具有寫入網域所需的許可。此案例並不常見,因為大多數環境使用管理員角色或其他角色做為主角色。
下圖顯示如何將管道角色映射至後端角色:
![\[Backend roles section showing an AWSIAM role ARN for a pipeline role with a Remove option.\]](http://docs.aws.amazon.com/zh_tw/opensearch-service/latest/developerguide/images/ingestion-fgac.png)